Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

piratage?

Koban

Bonjour à tous amis linuxiens 🙂 ,

Alors voila, j'écris ce post car je suis convaincu qu'une personne (voisin?) pirate mon réseau wifi depuis un certain moment et je cherche des moyens de vérifier que cela est bien le cas, mais aussi de m'en protéger.

MA CONFIG / MON RESEAU :

mon pc :
en dual boot Ubuntu 13.10 / Windows 8.1
8Go de RAM
Intel® Core™ i5-3230M CPU @ 2.60GHz × 4

routeur :
Livebox 2 SAGEM
WIFI sécurité WPA/WPA2 Auto tkip_aes

sur le réseau :
4 ordinateurs portables (dont 2 appartiennent à des étudiantes qui louent un chambre et utilisent le wifi)
1 ipad
4 smartphones (idem : 2 aux étudiantes)
imprimante + TVbox

LES FAITS :

la première chose chelou que j'ai observé fut l'écriture de smileys pendant une conversation MSN alors que j'étais bien sûr et certain de n'avoir rien écrit (c'était il y a quelques temps, sur windows 7)
quelques semaines après je constate que des extraits de musique techno de quelques secondes se lançent de temps en temps sur mon ordi. Sur le coup je pensais à des sons publicitaires qui se lancent tous seul sur certains sites, mais ma sœur me signale que son ordi déconne et que les mêmes sons bizarres de techno se répètent aussi sur son ordi... pas cool 🙁
plus récemment, sur l'ordi d'une des étudiantes, pendant que je l'aidais à corriger un devoir, je remarque que sur son navigateur, certains mots étaient remplacés au hasard par un mot en particulier (je ne sais plus lequel, mais c'était une sorte de pseudo). En rafraîchissant les pages, les mots remplacés changeaient de place :o Bon après j'ai vu qu'elle avait plein de toolbar et autres saloperies, donc il se peut que ça soit une sorte de virus, mais ça ressemble quand même à une attaque type arp poisonning , non?
très récemment (il y a deux semaines), ma sœur me signale que son application de consultation de compte bancaire de marche plus (un mot de passe erroné a été tapé plus de 3 fois) alors qu'elle est sûre de ne s'être pas trompée...

LES OUTILS QUE J'AI MIS EN PLACE :

après m'être un peu renseigné sur les outils de surveillance/protection réseau, j'installe XARP (un soft sous windows/linux qui détecte les paquets ARP anormaux) et là, horreur 🙁 il me balance plein d'alertes de détections... bon il parait que les niveaux de sécurité 'aggressive' et 'high' peuvent avoir quelques faux positifs donc je mets sur le niveau de sécurité 'basic' et là, pareil, encore des alertes... donc là je stresse, je change le ssid et mdp du wifi en le sécurisant au maximum, mais je me retrouve encore avec des alertes... (à noter que les alertes, pour la plupart, arrivent à intervalles très régulières : soit toutes les 5 minutes, soit toutes les 10 minutes)

j'ai également installé wireshark et je constate que pas mal de paquets transitent, même quand je ne navigue pas sur le net... mais aussi des trucs bizarres dans les warning des 'expert infos' , par exemple :

duplicate IP address configured (192.168.1.16)

et quand je clique sur le paquet en question :

duplicate IP address detected for 192.168.1.16 (xx:xx:xx:xx:aa:d0) - also in use by xx:xx:xx:xx:69:db

et toujours avec wireshark, je remarque des paquets en rapport avec uPnP alors que je l'ai désactiver sur ma livebox...

sinon, j'ai aussi installé OpenVAS pour checker les failles des ordis du réseau. Je suis loin de maitriser ce programme alors je ne pourrais pas rentrer dans les détails, mais les remarques que j'ai vu que j'ai trouvé étranges sont :
- sur l'ipad :

The machine (or a gateway on the network path) crashed when flooded with incorrectly fragmented packets. This is known as the 'jolt2' denial of service attack.

- sur un des pc des étudiantes :

Remote web server is vulnerable to the too long URL vulnerability. It might be possible to gain remote access using buffer overflow.

pourquoi il parle de web server ??

POURQUOI JE PENSE QU'IL S'AGIT D'UN VOISIN :

ce voisin a un autocollant 'FreeBSD' sur sa boite aux lettres (oui ça ne veut rien dire, mais bon... avouez que c'est quand même une étrange coïncidence... ça court pas les rues quand même les fans harcore de FreeBSD)
ce voisin possède deux réseaux wifi : nomduwifi_P (privé) et nomduwifi_X (public, sans mot de passe) . Comme il est juste à côté, et que le signal est assez puissant, il est fort probable que des ordis de chez nous se soient connectés à ce réseau qui ressemble beaucoup à du Wifi-Honey...

Voilà, vous allez peut être me prendre pour un parano fou furieux 😛 mais j'ai besoin de vos conseils et de votre avis là-dessus.
Merci !

psyphi

Les trois premiers faits ressemblent quand même plus à une intrusion par troyen.
Ça m'étonnerait pas que les PCs des personnes qui se connectent sur ton réseau soient complètement vérolé.
Le problème d'adresse IP dupliqué vient surement d'un problème de configuration. Un pirate dupliquerait l'adresse MAC pas l'adresse IP, ça envoie des alertes Popup dans la barre de notification Windows aux deux PC concernés quand ils ont a la même adresse IP, c'est quand même pas très discret!
L'histoire du voisin je n'y crois pas trop, si le type est vraiment un pirate il serait quand même sacrément c** pour se faire prendre en piratant ses voisins et surtout il ne collerait pas d'autocollant Freebsd sur sa boite au lettre. Par contre du coup je pense que tu peux lui demander de l'aide 😛
Si tu veux sécuriser ton réseau et que ta box le permet, filtre tout les ports sauf http 80 et https 443 et n'en n'ouvrent de nouveau qu'a la demande expresse d'un utilisateur du réseau qui doit le justifier. Enfin es tu sûr que les utilisateurs de ton réseau, ne transmette pas le mot de passe wifi à des tiers.

Braun

Bonsoir,
Si ton voisin a un Wifi "sans mot de passe" la probabilité qu'un de tes hôtes s'y soit connecté est quand même assez grande. Ensuite, je ne vois pas trop quels sont les critères de séparation des flux.
Accessoirement je suis toujours étonné de la perméabilité des fournisseurs d'accès dès lors qu'on peut se connecter au moins une fois à un Wifi.
P.S.
Comme psyphi, je pense qu'un renard ne chasse pas à côté de son terrier.

tiramiseb

Salut,

Je suis tout à fait du même avis que psyphi avec sa phrase « Par contre du coup je pense que tu peux lui demander de l'aide ».

Un gars qui a un autocollant FreeBSD sur sa boîte aux lettres, ce n'est probablement pas un méchant pirate... Et il a peut-être tout à fait les compétences pour t'aider. Tu peux aller le voir en lui disant « bonjour monsieur, j'ai vu l'autocollant FreeBSD sur votre boîte aux lettres, je me suis dit que vous pouviez peut-être m'aider à résoudre mon problème, j'ai l'impression que mon réseau est complètement vérolé... » 😛

Rappelle-toi toujours qu'un pirate essaie au maximum d'être discret : faire déconner ton ordinateur sans avoir la possibilité d'en voir les conséquences, ça n'a rien d'amusant...

Koban

Merci pour vos réponses!

En fait, à la base je pensais plus à un script-kiddie qui s'amuse sur Backtrack ou autres... je vous rejoins à 100% sur le fait que quelqu'un de plus chevronné ne va pas s'amuser à pirater ses voisins.

Pour l'histoire des mots qui étaient remplacés, j'avais déjà vu cet article de Korben donc c'est pour ça que je pensais a de l'arp spoofing.

Après c'est vrai que pour le texte qui s'écrit tout seul dans msn et les musiques parasites, y'a de grandes chances que ça vienne d'un trojan. (mais alors pour le coup un trojan qui peut installer des backdoors dans tous les hôtes du réseau de la victime. possible?)

Je retiens l'histoire du filtrage des ports sur la box, je pense que si j'ai encore un soucis qui se présente je vais mettre ça en place (même si les étudiantes vont râler pour leurs conversations Skype ou autre :/ ).

Sinon, je voulais savoir, est-ce qu'il y en a qui connaissent XARP et qui savent si cet outil est fiable? J'ai essayé de chercher de la doc ou des topics sur le net, mais pas facile d'en trouver.

Et puis, pour en revenir au voisin, c'est surtout les deux points wifi (privé et publique) qui me semblent étranges : pour quelle raison quelqu'un aurait 2 box chez lui, ou 2 routeurs... un gars calé en linux/freebsd ne peut pas laisser un réseau wifi sans mot de passe, plus "honey pot" que ça tu meurt. (ou alors il est vraiment très altruiste 😉 )

tiramiseb

Le gars a peut-être simplement un réseau wifi pour ses amis de passage, sur un réseau séparé et particulièrement protégé. Avec un portail captif, peut-être.

Comme ce que fait Free, avec un réseau spécifique à l'utilisateur + un réseau "FreeWifi"...

Braun

Il me semble aussi que de nombreuses box proposent un Wifi personnel et un Wifi semi public ouvert à tous leurs abonnés de passage dans le coin. Le login se faisant avec le code d'abonné de l'hôte de passage.

spinoziste

C'est pas parce que le mec à un autocollant FreeBSD qu'il utilise FreeBSD (j'avais un autocollant Redlight District sur ma porte d'entrée sans être un afficionados de ce quartier) . Secondement tiramiseb je suis d'accord sur le fait que laisser des "traces" ça fait tache mais de là à dire que parce que quelqu'un utilise FreeBSD c'est un gentil , je ne suis pas d'accord du tout :/ . Apres @Koban : Si tu es curieux un simple airodump-ng aurait pu te donner des indices pourquoi se prendre la tete ... :rolleyes: .

Koban

@tiramiseb et @Braun : les box qui proposent ça demandent toujours un ident et mot de passe lorsqu'on se connecte (y'a pas mal de gens qui font circuler des idents free a leur amis, pour qu'ils puissent se connecter sur la freebox de leur voisins). Dans mon cas, la connexion se fait directement, rien n'est demandé, c'est open de chez open (je le sais parce qu'avant d’être victime des attaques je me connectais de temps en temps chez lui quand mon pc portable était trop éloigné de ma box et captait plus rien).

@spinoziste : ouais mais dans ton cas c'est sûrement pour son côté 'décoratif' que le sticker a été placé.
D'accord, c'est pas parce qu'il a le logo freebsd qu'il l'utilise, mais ça prouve qu'il est quand même branché geek/linux/...toussa

spinoziste a écritSi tu es curieux un simple airodump-ng aurait pu te donner des indices pourquoi se prendre la tete

je voudrais bien tester mais j'y connais rien à tout ça :/

spinoziste

Ce qu'il ne peut pas cacher c'est sa presence sur le Wifi que cela soit en spoofant ou quoique ce soit (car sa mac sera là ). Airodump-ng est un outil de la celebrissime suite axée securité ouifi (le premier truc qu'on trouve en tapant: "pirater son voisin ouifi" sur google ou autre ) . Et si tu veux securiser ton wifi pas besoin de l'aide de qui que ce soit il suffit de configurer une clef wpa tres longue avec des caracteres alhanumeriques et speciaux et voila . Apres ça peut être un ami qui a collé cet autocollant ? l'ancien proprietaire/locataire , un mec (ou une nana) qui passait par là , etc ... . Cela peut aussi être un mec cool , un "script-kiddie" comme tu dis qui a trouvé un autocollant FreeBSD à une install party et qui l'a collé sur sa boite apres avoir bu un peu trop de cidre brut . Je pense qu' il ne faut pas juger aux apparences ... . Par contre en "lui demandant" un coup de main tu pourrais au contraire t'exposer à plus d'insecurité en lui laissant toucher ta machine voire ton routeur ce qui est un manque de securité on ne peut plus evident . Tu peux aussi frapper à sa porte lui payer un coup à boire et discuter tranquillement 😉 .