Comment détecter les logiciels de surveillance ou d’espionnage des ordinateurs et des courriels

En tant que professionnel de l’informatique, je surveille régulièrement les ordinateurs et les courriels des employés. C’est essentiel dans un environnement de travail à des fins administratives ainsi que pour la sécurité. La surveillance des e-mails, par exemple, permet de bloquer les pièces jointes qui pourraient contenir un virus ou un logiciel espion. La seule fois où je dois me connecter à l’ordinateur d’un utilisateur et effectuer un travail directement sur son ordinateur, c’est pour régler un problème.

Cependant, si vous avez l’impression d’être surveillé alors que vous ne devriez pas l’être, il existe quelques petites astuces que vous pouvez utiliser pour déterminer si vous avez raison. Tout d’abord, surveiller l’ordinateur de quelqu’un signifie qu’il peut observer tout ce que vous faites sur votre ordinateur en temps réel. Bloquer les sites pornographiques, supprimer les pièces jointes ou bloquer les spams avant qu’ils n’arrivent dans votre boîte de réception, etc. n’est pas vraiment de la surveillance, mais plutôt du filtrage.

Le GROS problème sur lequel je veux insister avant de continuer est que si vous êtes dans un environnement d’entreprise et que vous pensez être surveillé, vous devez supposer qu’ils peuvent voir TOUT ce que vous faites sur l’ordinateur. Partez également du principe que vous ne serez pas en mesure de trouver le logiciel qui enregistre tout. Dans les environnements professionnels, les ordinateurs sont tellement personnalisés et reconfigurés qu’il est pratiquement impossible de détecter quoi que ce soit, à moins d’être un pirate informatique. Cet article s’adresse davantage aux utilisateurs à domicile qui pensent qu’un ami ou un membre de la famille essaie de les surveiller.

Surveillance informatique

Alors maintenant, si vous pensez toujours que quelqu’un vous espionne, voici ce que vous pouvez faire ! La façon la plus simple et la plus facile pour quelqu’un de se connecter à votre ordinateur est d’utiliser le bureau à distance. La bonne nouvelle est que Windows ne prend pas en charge les connexions simultanées multiples lorsque quelqu’un est connecté à la console (il existe un hack pour cela, mais je ne m’en préoccuperais pas). Ce que cela signifie, c’est que si vous êtes connecté à votre ordinateur XP, 7 ou Windows 8 et que quelqu’un devait s’y connecter en utilisant la fonction BUILT-IN REMOTE DESKTOP de Windows, votre écran deviendrait verrouillé et il vous dirait qui est connecté.

Alors pourquoi est-ce utile ? C’est utile parce que cela signifie que pour que quelqu’un puisse se connecter à VOTRE session sans que vous le remarquiez ou que votre écran soit pris en charge, il doit utiliser un logiciel tiers. Cependant, en 2014, personne ne sera aussi évident et il est beaucoup plus difficile de détecter les logiciels tiers furtifs.

Si nous recherchons un logiciel tiers, qui est généralement appelé logiciel de contrôle à distance ou logiciel de calcul de réseau virtuel (VNC), nous devons commencer à partir de zéro. Habituellement, lorsque quelqu’un installe ce type de logiciel sur votre ordinateur, il doit le faire pendant que vous n’êtes pas là et il doit redémarrer votre ordinateur. Donc la première chose qui pourrait vous mettre la puce à l’oreille est si votre ordinateur a été redémarré et que vous ne vous souvenez pas de l’avoir fait.

Deuxièmement, vous devriez vérifier dans votre menu Démarrer – Tous les programmes et voir si quelque chose comme VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC, etc. est installé. Souvent, les gens sont négligents et pensent qu’un utilisateur normal ne sait pas ce qu’est un logiciel et l’ignore tout simplement. Si l’un de ces programmes est installé, alors quelqu’un peut se connecter à votre ordinateur sans que vous le sachiez, tant que le programme fonctionne en arrière-plan comme un service Windows.

Cela nous amène au troisième point. Habituellement, si l’un des programmes énumérés ci-dessus est installé, il y aura une icône pour lui dans la barre des tâches, car il doit être constamment en cours d’exécution pour fonctionner.

Vérifiez toutes vos icônes (même celles qui sont cachées) et voyez ce qui est en cours d’exécution. Si vous trouvez quelque chose dont vous n’avez pas entendu parler, faites une recherche rapide sur Google pour voir ce qui apparaît. Il est assez facile pour un logiciel de surveillance de cacher l’icône de la barre des tâches, donc si vous ne voyez rien d’inhabituel à cet endroit, cela ne signifie pas que vous n’avez pas de logiciel de surveillance installé.

Si rien n’apparaît aux endroits évidents, passons aux choses plus compliquées.

Vérifier les ports du pare-feu

Encore, parce que ce sont des applications tierces, elles doivent se connecter à Windows sur différents ports de communication. Les ports sont simplement une connexion de données virtuelle par laquelle les ordinateurs partagent directement des informations. Comme vous le savez peut-être déjà, Windows est livré avec un pare-feu intégré qui bloque un grand nombre de ports entrants pour des raisons de sécurité. Si vous n’exécutez pas un site FTP, pourquoi votre port 23 devrait-il être ouvert, n’est-ce pas ?

Donc, pour que ces applications tierces puissent se connecter à votre ordinateur, elles doivent passer par un port, qui doit être ouvert sur votre ordinateur. Vous pouvez vérifier tous les ports ouverts en allant dans Démarrer, Panneau de configuration, et Pare-feu Windows. Ensuite, cliquez sur Autoriser un programme ou une fonction par le Pare-feu Windows sur le côté gauche.

Vous verrez ici une liste de programmes avec des cases à cocher à côté. Ceux qui sont cochés sont « ouverts » et ceux qui ne sont pas cochés ou qui ne figurent pas dans la liste sont « fermés ». Parcourez la liste et voyez s’il y a un programme que vous ne connaissez pas ou qui correspond à VNC, à la télécommande, etc. Si c’est le cas, vous pouvez bloquer le programme en décochant la case le concernant !

Vérifier les connexions sortantes

Malheureusement, c’est un peu plus compliqué que cela. Dans certains cas, il peut y avoir une connexion entrante, mais dans de nombreux cas, le logiciel installé sur votre ordinateur n’aura qu’une connexion sortante vers un serveur. Dans Windows, toutes les connexions sortantes sont autorisées, ce qui signifie que rien n’est bloqué. Si tout ce que fait le logiciel d’espionnage est d’enregistrer des données et de les envoyer à un serveur, alors il n’utilise qu’une connexion sortante et n’apparaîtra donc pas dans cette liste de pare-feu.

Pour attraper un tel programme, nous devons voir les connexions sortantes de notre ordinateur vers les serveurs. Il y a toute une série de façons dont nous pouvons le faire et je vais en parler d’une ou deux ici. Comme je l’ai dit plus tôt, cela devient un peu compliqué maintenant parce que nous avons affaire à un logiciel vraiment furtif et vous n’allez pas le trouver facilement.

TCPView

Premièrement, téléchargez un programme appelé TCPView de Microsoft. C’est un très petit fichier et vous n’avez même pas besoin de l’installer, il suffit de le décompresser et de double-cliquer sur Tcpview. La fenêtre principale ressemblera à ceci et n’aura probablement aucun sens.

Basiquement, il vous montre toutes les connexions de votre ordinateur à d’autres ordinateurs. Sur le côté gauche se trouve le nom du processus, qui sera les programmes en cours d’exécution, c’est-à-dire Chrome, Dropbox, etc. Les seules autres colonnes que nous devons examiner sont Remote Address et State. Allez-y et triez par la colonne State et regardez tous les processus listés sous ESTABLISHED. Établi signifie qu’il y a actuellement une connexion ouverte. Notez que le logiciel d’espionnage peut ne pas toujours être connecté au serveur distant, c’est donc une bonne idée de laisser ce programme ouvert et de surveiller tout nouveau processus qui pourrait apparaître sous l’état établi.

Ce que vous voulez faire, c’est filtrer cette liste aux processus dont vous ne reconnaissez pas le nom. Chrome et Dropbox sont très bien et pas de quoi s’alarmer, mais qu’en est-il de openvpn.exe et rubyw.exe ? Eh bien, dans mon cas, j’utilise un VPN pour me connecter à Internet et ces processus sont donc destinés à mon service VPN. Cependant, vous pouvez simplement chercher ces services sur Google et les découvrir rapidement par vous-même. Les logiciels VPN ne sont pas des logiciels d’espionnage, donc pas d’inquiétude à ce sujet. Lorsque vous recherchez un processus, vous serez instantanément en mesure de dire si oui ou non il est sûr en regardant simplement les résultats de la recherche.

Une autre chose que vous voulez vérifier sont les colonnes d’extrême droite appelées Paquets envoyés, Octets envoyés, etc. Triez par Octets envoyés et vous pourrez voir instantanément quel processus envoie le plus de données depuis votre ordinateur. Si quelqu’un surveille votre ordinateur, il doit envoyer les données quelque part, donc à moins que le processus soit extrêmement bien caché, vous devriez le voir ici.

Process Explorer

Un autre programme que vous pouvez utiliser pour trouver tous les processus en cours d’exécution sur votre ordinateur est Process Explorer de Microsoft. Lorsque vous l’exécutez, vous verrez tout un tas d’informations sur chaque processus et même les processus enfants qui s’exécutent à l’intérieur des processus parents.

Process Explorer est assez génial car il se connecte à VirusTotal et peut vous dire instantanément si un processus a été détecté comme malware ou non. Pour ce faire, cliquez sur Options, VirusTotal.com, puis cliquez sur Vérifier VirusTotal.com. Cela vous amènera à leur site Web pour lire les TOS, il suffit de fermer cela et de cliquer sur Oui sur le dialogue dans le programme.

Une fois que vous faites cela, vous verrez une nouvelle colonne qui montre le taux de détection du dernier scan pour un grand nombre de processus. Il ne sera pas en mesure d’obtenir la valeur pour tous les processus, mais c’est mieux que rien. Pour ceux qui n’ont pas de score, allez-y et recherchez manuellement ces processus dans Google. Pour ceux qui ont un score, vous voulez qu’il soit à peu près égal à 0/XX. Si ce n’est pas 0, allez-y et Google le processus ou cliquez sur les numéros pour être amené au site Web VirusTotal pour ce processus.

J’ai aussi tendance à trier la liste par nom de société et tout processus qui n’a pas de société listée, je Google pour vérifier. Cependant, même avec ces programmes, vous ne verrez peut-être pas tous les processus.

Rootkits

Il existe également une classe de programmes furtifs appelés rootkits, que les deux programmes ci-dessus ne pourront même pas voir. Dans ce cas, si vous n’avez rien trouvé de suspect en vérifiant tous les processus ci-dessus, vous devrez essayer des outils encore plus robustes. Un autre bon outil de Microsoft est Rootkit Revealer, cependant il est très ancien.

Les autres bons outils anti-rootkit sont Malwarebytes Anti-Rootkit Beta, que je recommande vivement puisque leur outil anti-malware a été classé #1 en 2014. Un autre populaire est GMER.

Je vous suggère d’installer ces outils et de les exécuter. S’ils trouvent quelque chose, retirez ou supprimez ce qu’ils suggèrent. En outre, vous devriez installer un logiciel anti-malware et anti-virus. Beaucoup de ces programmes furtifs que les gens utilisent sont considérés comme des logiciels malveillants/virus, ils seront donc supprimés si vous exécutez le logiciel approprié. Si quelque chose est détecté, assurez-vous de le googler afin de savoir si c’était un logiciel de surveillance ou non.

Courrier électronique &Surveillance de sites Web

Vérifier si votre courrier électronique est surveillé est également compliqué, mais nous nous en tiendrons aux choses faciles pour cet article. Chaque fois que vous envoyez un courriel à partir d’Outlook ou d’un autre client de messagerie sur votre ordinateur, il doit toujours se connecter à un serveur de messagerie. Maintenant, il peut soit se connecter directement, soit se connecter à travers ce qu’on appelle un serveur proxy, qui prend une requête, la modifie ou la vérifie, et la transmet à un autre serveur.

Si vous passez par un serveur proxy pour le courrier électronique ou la navigation Web, que les sites Web auxquels vous accédez ou les courriels que vous écrivez peuvent être enregistrés et consultés plus tard. Vous pouvez vérifier les deux et voici comment. Pour IE, allez dans Outils, puis dans Options Internet. Cliquez sur l’onglet Connexions et choisissez Paramètres du réseau local.

Si la case Serveur Proxy est cochée et qu’elle possède une adresse IP locale avec un numéro de port, cela signifie que vous passez d’abord par un serveur local avant d’atteindre le serveur web. Cela signifie que tout site Web que vous visitez passe d’abord par un autre serveur exécutant une sorte de logiciel qui bloque l’adresse ou l’enregistre simplement. Le seul cas où vous seriez un peu en sécurité est celui où le site que vous visitez utilise le protocole SSL (HTTPS dans la barre d’adresse), ce qui signifie que tout ce qui est envoyé de votre ordinateur au serveur distant est crypté. Même si votre entreprise devait saisir les données entre les deux, elles seraient cryptées. Je dis quelque peu sûr parce que si un logiciel d’espionnage est installé sur votre ordinateur, il peut capturer les frappes au clavier et donc capturer tout ce que vous tapez sur ces sites sécurisés.

Pour votre messagerie d’entreprise, vous vérifiez la même chose, une adresse IP locale pour les serveurs de messagerie POP et SMTP. Pour vérifier dans Outlook, allez dans Outils, Comptes de messagerie, et cliquez sur Modifier ou Propriétés, et trouvez les valeurs pour POP et serveur SMTP. Malheureusement, dans les environnements d’entreprise, le serveur de messagerie est probablement local et vous êtes donc très certainement surveillé, même si ce n’est pas par le biais d’un proxy.

Vous devriez toujours être prudent dans l’écriture de courriels ou la navigation sur des sites Web pendant que vous êtes au bureau. Essayer de percer la sécurité pourrait également vous causer des problèmes s’ils découvrent que vous avez contourné leurs systèmes ! Les informaticiens n’aiment pas ça, je peux vous le dire par expérience ! Cependant, il vous voulez sécuriser votre navigation Web et l’activité de messagerie, votre meilleur pari est d’utiliser VPN comme Private Internet Access.

Cela nécessite l’installation d’un logiciel sur l’ordinateur, ce que vous pouvez ne pas être en mesure de faire en premier lieu. Cependant si vous le pouvez, vous pouvez être à peu près sûr que personne n’est en mesure de voir ce que vous faites dans votre navigateur tant que leur logiciel d’espionnage local n’est pas installé ! Rien ne peut cacher vos activités à un logiciel d’espionnage installé localement, car il peut enregistrer les frappes au clavier, etc. Faites donc de votre mieux pour suivre les instructions ci-dessus et désactiver le programme de surveillance. Si vous avez des questions ou des préoccupations, n’hésitez pas à commenter. Amusez-vous bien!

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.