D'autres utilisateurs sont connectés à cet ordinateur

Bonjour.

Apparemment vous avez eu votre réponse ici.

Bonjour

Quelques remarques :

Ce matin, une sénior qui utilise Ubuntu sur Linux (système d'exploitation dont je ne me suis jamais servi)

Ubuntu n'est pas sur Linux, c'est une distribution Linux (parmi tant d'autres), et Linux est un système d'exploitation.

Apparemment vous avez eu votre réponse ici.

Le message que cette personne a observé signifie qu'elle (ou une de son entourage) a ouvert d'autres sessions. Si dans l'une de ces sessions, un arrêt est déclenché, les autres sessions sont notifiées.

Le vrai problème, c'est qui a ouvert cette autre session :

• cette personne, par mégarde ?
• quelqu'un de son entourage, à son insu ?
• quelqu'un d'extérieur ?

À ce stade rien ne permet d'écarter cette éventualité. Cette dernière explication la moins probable, mais pas exclue. En outre, un "bon pirate" peut parfaitement masquer ses traces. La nouvelle rassurante, c'est qu'un mauvais pirate aura laissé des trace, et un "bon pirate" a peu de chance de s'intéresser à l'ordinateur d'un particulier, qui plus est sous Linux.

Bref, si on veut regarder d'un peu plus près ce qui s'est passé, voir la suite de ce message.

Voir l'historique des connexions

Sous Linux, il est possible de consulter le fichier /var/log/auth.log pour regarder qui a ouvert une session, depuis où et à quelle moment. Ce serait le premier endroit où regarder pour essayer de voir par qui des sessions ont été ouvertes à ce moment. Une manière de les consulter consiste à lancer, dans un terminal, la commande :

sudo gedit /var/log/auth.log

Si tu veux plus de détails, reporte-nous le contenu de ce fichiers autour de la date de l'incident.

Attention : si l'intrus acquiert des droits administrateurs sur la machine (et qu'il y pense), il peut masquer ses traces.

Y-a-t'il pu y avoir intrusion ?

Une intrusion ne peut avoir lieu que si certaines conditions sont réunies.

• Soit l'intrus a profité d'une faille qui lui a permis d'attaquer la machine cible
• Soit la machine a été infectée par un logiciel malveillant qui a ouvert une porte à un éventuel pirate.

Attaque par le réseau

Une telle attaque se fait sous deux conditions :

1. l'attaquant peut atteindre l'ordinateur
2. un logiciel attaquable est installé sur l'ordinateur

Concernant le premier point, comme le grand public gens se connectent à Internet via une box et leur ordinateur n'est donc pas directement accessible sur Internet (leur IP publique est en réalité celle de leur box).

Sans redirection de port, leur ordinateur n'est donc pas atteignable et donc pas attaquable.

• Est-ce que cette personne a configuré une redirection de port ? (On peut le vérifier dans les paramètres de la box).
• Si oui, est-ce que certaines de ces redirections sont faites vers son ordinateur, et si oui, vers quels services ?

Si son réseau wifi a été piraté par un voisin, ou qu'on est sur un réseau wifi public, peut tenter d'attaquer son ordinateur sans être bloqué.

• Utilise-t'elle son ordinateur ailleurs que via son réseau wifi ?

Concernant le second point, il faudrait voir si des logiciels susceptibles d'être attaqués sont installés. Cela concerne des services réseaux tels que ssh, un serveur web, un serveur de base de donnée ? Si la personne débute en informatique, la réponse à ces questions est vraisemblablement non, ce qui écarte ce genre d'attaque.

• Pour s'en assurer il faudrait nous reporter le résultat de :

netstat -ntlp

Attention : un "bon pirate" peut avoir altéré cette commande et dans ce cas, son résultat n'est pas faible

Attaque par logiciel malveillant

C'est sans doute l'attaque la plus facile a réaliser, et c'est pour ça qu'il y a tant de spam. Cette attaque peut être réalisée de deux manières : (i) soit en installant sciemment un logiciel qui n'est pas sûr --ce qui ne devrait jamais arriver sous Linux et si on l'utilise correctement; (ii) soit en ouvrant par mégarde un logiciel qui n'est pas sûr (pièce jointe d'email infectée...)

Pour écarter ces possibilités, il faudrait répondre à ces questions :

• Est-ce que des logiciels ont été installés uniquement via la logithèque (l'équivalent du store sur un téléphone portable) ?
• Est-ce que la logithèque n'utiliser que des sources logicielles sûres (e.g., les sources logicielles configurées par défaut) ?

Si la personne débute en informatique, la réponse à ces questions est vraisemblablement oui, ce qui écarte ce premier vecteur d'attaques.

Cependant, une pièce jointe d'email reste une vecteur d'attaque possible. Heureusement pour cette personnes, les attaques par email sont de nos jours plutôt destinées à extorquer des données personnelles qu'infecter des ordinateurs, et les virus ou pièces jointes malveillantes sont davantage conçues pour attaquer des postes Windows (puisqu'il y a plus de public) et des clients mails faiblement sécurisés.

• Est-ce que cette personne a t'elle déjà ouvert une pièce jointe suspecte ?

En résumé

Peu importe ce qui est arrivé à cette personne, quelques rappels sont toujours utile pour éviter les ennuis (quelque soit l'appareil et son système d'exploitation) :

• utiliser un mot de passe fort (et idéalement, pas le même partout)
• installer uniquement des logiciels via des sources logicielle sûres (donc se contenter de la logithèque dans sa configuration par défaut) : et donc
  • ne pas ouvrir de pièces jointes suspectes
  • ne pas installés logiciels récupérés manuellement sur Internet
• en cas d'utilisation de logiciels susceptibles d'être attaqués (donc, des services réseaux tels que ssh, un serveur web, un serveur de base de données), veiller à ce qu'ils soient correctement sécurisés
• mettre à jour régulièrement son ordinateur pour bénéficier des correctifs de sécurité
• comprendre ce qu'on fait / être rigoureux.se (dans le cas présent, il est étrange que la personne en question ne se souvienne pas avoir ouvert une autre session)

Bonne chance