Comment détecter une attaque de hacker

La plupart des vulnérabilités informatiques peuvent être exploitées de différentes manières. Les hackers peuvent utiliser un seul exploit en particulier, plusieurs exploits en même temps, une configuration inadéquate de l’un des composants du système ou même une porte dérobée (backdoor, en anglais) introduite au préalable.

Au vu de ce qui précède, la détection des attaques de hacker n’est pas une tâche facile, en particulier pour les utilisateurs inexpérimentés. Le présent article propose quelques indications pour vous aider à savoir si votre machine est la cible d’une attaque, ou si la sécurité de votre système a été compromise. Cependant, si votre système a été piraté, il est fort probable que votre machine ait au moins l’un des comportements suivants.

Machines sous Windows :

  • Un trafic du réseau sortant anormalement élevé. Si vous utilisez un accès par ligne commutée ou une connexion ADSL, et que vous remarquez un volume inhabituellement élevé de trafic sortant (en particulier, lorsque votre ordinateur est inactif ou qu’il ne charge pas de données nécessaires), alors il est possible que votre ordinateur soit compromis. Votre ordinateur peut soit être utilisé pour envoyer du spam, soit être infectépar un ver de réseau qui se reproduit et envoie ses propres copies. Pour les connexions par câble, cette observation est moins pertinente. En effet, il est plutôt fréquent d’avoir le même volume de trafic sortant que de trafic entrant, même si vous ne faites que visiter des sites ou télécharger des fichiers depuis Internet.
  • Une activité plus élevée du disque ou des fichiers suspects dans le répertoire racine de tout lecteur. Après avoir forcé le système, beaucoup de hackers effectuent un scanning de tous les documents et fichiers intéressants, lesquels contiennent des identifiants et des mots de passe pour accéder à des comptes d’e-paiement, comme PayPal. De la même manière, certains vers cherchent sur le disque des fichiers contenant des adresses e-mails afin de les utiliser pour se propager. Si vous remarquez une suractivité du disque, même quand le système est inactif, ainsi que des fichiers avec des noms suspects dans des dossiers habituels, cela peut être l’indication d’un piratage du système ou d’une infection par un malware.
  • Un grand nombre de paquets provenant d’une adresse unique, qui est arrêté par un pare-feu personnel. Après avoir localisé une cible (par exemple, l’IP d’une entreprise ou le groupe d’utilisateurs d’un réseau domestique), les hackers mettent souvent en route des outils qui essaient d’utiliser différents exploits pour entrer dans le système. Si vous utilisez un pare-feu personnel (élément indispensable contre les attaques de hacker) et si vous remarquez un nombre inhabituellement élevé de paquets stoppés venant d’une même adresse, alors c’est le signe que votre ordinateur est attaqué. La bonne nouvelle, c’est que si votre pare-feu personnel vous rapporte ces attaques, alors vous êtes probablement protégé. Cependant, en fonction du nombre de services que vous exposez sur Internet, le pare-feu personnel pourrait vous faire défaut en cas d’attaque dirigée contre un service FTP spécifique, qui fonctionne sous votre système et qui a été rendu accessible à tous. Dans ce cas-ci, la solution consiste à bloquer temporairement l’adresse IP en question, jusqu’à ce que les tentatives de connexion cessent. Beaucoup de pare-feu personnels et d’IDS ont une fonction intégrée qui permet d’appliquer cette solution.
  • Votre antivirus vous prévient soudainement que des portes dérobées ou des chevaux de Troie ont été détectés, même si vous n’avez rien fait d’inhabituel. Bien que les attaques de hacker puissent être complexes et innovantes, beaucoup d’entre elles s’appuient sur des portes dérobées ou des chevaux de Troie déjà connus pour obtenir l’accès à un système compromis. Si votre antivirus détecte et rapporte de tels malwares, alors ce peut être l’indication que votre système est accessible depuis l’extérieur.

Machines sous Unix :

  • Des fichiers suspects enregistrés dans le dossier /tmp. Beaucoup d’exploits dans le système Unix s’appuient sur la création de fichiers temporaires dans le dossier standard /tmp. Ces dossiers ne sont pas toujours supprimés après le piratage du système. Il en va de même pour certains vers qui infectent les systèmes Unix : ils se copient eux-mêmes dans le dossier /tmp, qu’ils utilisent ensuite comme « home ».
  • Des systèmes binaires modifiés, tels que « login », « telnet », « ftp », « finger », voire d’autres daemons complexes comme « sshd », « ftpd » etc. Après avoir pénétré le système, un hacker essaie en général de sécuriser son accès en installant une porte dérobée dans l’un des daemons, avec un accès direct à d’autres systèmes. Il peut aussi le faire en modifiant les utilitaires standards du système, lesquels sont utilisés pour se connecter à d’autres systèmes. Les binaires modifiés font souvent partie d’un rootkitet restent généralement « invisibles » lors d’une vérification directe. Dans tous les cas, il est bon de mettre à jour une base de donnéesavec les sommes de contrôle pour chaque logiciel utilitaire, et de les vérifier régulièrement lorsque l’ordinateur est déconnecté et en monde « single user ».
  • Des fichiers modifiés /etc/passwd, /etc/shadow ou d’autres fichiers systèmes modifiés dans le dossier /etc. Parfois, des attaques de hacker ajoutent dans /etc/passwd un nouvel utilisateur, ce qui permettra au hacker de se connecter plus tard à distance. Vérifiez que le dossier de mots de passe ne contienne pas de nom d’utilisateur suspect et contrôlez tous les ajouts, en particulier si vous travaillez sur un système multi-utilisateur.
  • Des services suspects ajoutés dans /etc/services. Pour ouvrir une porte dérobée dans un système Unix, il suffit parfois d’ajouter deux lignes de texte. La porte s’ouvre en modifiant les fichiers /etc/services et /etc/ined.conf. Vérifiez attentivement ces deux fichiers pour voir s’ils contiennent des ajouts qui indiqueraient la présence d’une porte ouverte liée à un port inutilisé ou suspect.