Comment détecter un logiciel de surveillance informatique ou d'email ou d'espionnage
En tant que professionnel de l'informatique, je surveille régulièrement les ordinateurs et les courriers électroniques des employés. C'est essentiel dans un environnement de travail, tant pour des raisons administratives que pour la sécurité. La surveillance des courriers électroniques, par exemple, vous permet de bloquer les pièces jointes pouvant contenir un virus ou un logiciel espion. La seule fois où je dois me connecter à un ordinateur d'utilisateur et travailler directement sur son ordinateur, c'est pour résoudre un problème.
Cependant, si vous sentez que vous êtes surveillé alors que vous ne devriez pas l'être, voici quelques astuces que vous pouvez utiliser pour déterminer si vous avez raison. Tout d’abord, surveiller un ordinateur signifie qu’il peut voir tout ce que vous faites sur votre ordinateur en temps réel. Bloquer des sites pornographiques, supprimer des pièces jointes ou bloquer le courrier indésirable avant qu'il n'atteigne votre boîte de réception, etc. n'est pas vraiment un processus de surveillance, mais plutôt du filtrage.
Le seul gros problème sur lequel je veux insister avant de poursuivre est que si vous êtes dans un environnement d'entreprise et pensez être surveillé, vous devez supposer qu'il peut voir TOUT ce que vous voyez sur votre ordinateur. En outre, supposons que vous ne pourrez pas trouver le logiciel qui enregistre tout. Dans les environnements d'entreprise, les ordinateurs sont tellement personnalisés et reconfigurés qu'il est presque impossible de détecter quoi que ce soit à moins d'être un pirate informatique. Cet article est davantage destiné aux utilisateurs à domicile qui pensent qu'un ami ou un membre de leur famille essaie de les surveiller..
Surveillance informatique
Alors maintenant, si vous pensez toujours que quelqu'un vous espionne, voici ce que vous pouvez faire! Le moyen le plus simple et le plus simple de se connecter à votre ordinateur consiste à utiliser le Bureau à distance. La bonne chose est que Windows ne prend pas en charge plusieurs connexions simultanées tant qu'une personne est connectée à la console (il y a un hack pour cela, mais je ne m'inquiéterais pas). Cela signifie que si vous êtes connecté à votre ordinateur XP, 7 ou Windows 8 et que quelqu'un s'y connecte à l'aide de la BUREAU À DISTANCE INTÉGRÉ fonction de Windows, votre écran deviendrait verrouillé et il vous dirait qui est connecté.
Alors pourquoi est-ce utile? C'est utile car cela signifie que pour que quelqu'un puisse se connecter à VOTRE session sans que vous le remarquiez ni que votre écran ne soit repris, il doit utiliser un logiciel tiers. Cependant, en 2014, personne ne sera aussi évident et il est beaucoup plus difficile de détecter des logiciels tiers furtifs..
Si nous recherchons un logiciel tiers, généralement appelé logiciel de contrôle à distance ou logiciel de réseau virtuel (VNC), nous devons repartir à zéro. Habituellement, lorsque quelqu'un installe ce type de logiciel sur votre ordinateur, il doit le faire en votre absence et le redémarrer. Donc, la première chose qui pourrait vous aider est que votre ordinateur a été redémarré et que vous ne vous en souvenez plus..
Deuxièmement, vous devriez vérifier dans votre Menu Démarrer - Tous les programmes et pour voir si quelque chose comme VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC, etc. est installé. Souvent, les gens sont négligés et pensent qu'un utilisateur normal ne saura pas ce qu'est un logiciel et l'ignorera tout simplement. Si l'un de ces programmes est installé, quelqu'un peut se connecter à votre ordinateur à votre insu, à condition que le programme s'exécute en arrière-plan en tant que service Windows..
Cela nous amène au troisième point. Généralement, si l’un des programmes énumérés ci-dessus est installé, son icône apparaîtra dans la barre des tâches, car elle doit fonctionner en permanence pour fonctionner..
Vérifiez toutes vos icônes (même celles qui sont cachées) et voyez ce qui est en cours d'exécution. Si vous trouvez quelque chose dont vous n'avez pas entendu parler, effectuez une recherche rapide sur Google pour voir ce qui apparaît. Il est assez facile pour un logiciel de surveillance de masquer l'icône de la barre des tâches. Par conséquent, si vous ne voyez rien d'inhabituel, cela ne signifie pas que vous n'avez pas installé de logiciel de surveillance..
Donc, si rien ne se présente aux endroits évidents, passons aux choses plus compliquées.
Vérifier les ports du pare-feu
Encore une fois, comme il s'agit d'applications tierces, elles doivent se connecter à Windows sur différents ports de communication. Les ports sont simplement une connexion de données virtuelle par laquelle les ordinateurs partagent directement des informations. Comme vous le savez peut-être déjà, Windows est fourni avec un pare-feu intégré qui bloque la plupart des ports entrants pour des raisons de sécurité. Si vous n’exécutez pas de site FTP, pourquoi le port 23 devrait-il être ouvert??
Ainsi, pour que ces applications tierces se connectent à votre ordinateur, elles doivent utiliser un port, qui doit être ouvert sur votre ordinateur. Vous pouvez vérifier tous les ports ouverts en allant à Début, Panneau de contrôle, et fenêtre pare-feu. Puis cliquez sur Autoriser un programme de fonctionnalité via le pare-feu Windows sur le côté gauche.
Vous verrez ici une liste de programmes avec des cases à cocher. Ceux qui sont cochés sont «ouverts» et ceux non cochés ou non listés sont «fermés». Parcourez la liste et voyez s'il existe un programme que vous ne connaissez pas ou qui correspond à VNC, à la télécommande, etc. Si c'est le cas, vous pouvez bloquer le programme en décochant la case correspondante.!
Vérifier les connexions sortantes
Malheureusement, c'est un peu plus compliqué que ça. Dans certains cas, il peut y avoir une connexion entrante, mais dans de nombreux cas, le logiciel installé sur votre ordinateur n'aura qu'une connexion sortante vers un serveur. Sous Windows, toutes les connexions en sortie sont autorisées, ce qui signifie que rien n'est bloqué. Si tout le logiciel d'espionnage enregistre des données et les envoie à un serveur, il utilise uniquement une connexion sortante et ne s'affiche donc pas dans cette liste de pare-feu..
Pour attraper un tel programme, nous devons voir les connexions sortantes de notre ordinateur aux serveurs. Il y a une foule de façons de le faire et je vais en parler ici un ou deux. Comme je l'ai dit plus tôt, cela devient un peu compliqué maintenant, car nous avons affaire à un logiciel vraiment furtif et vous ne le trouverez pas facilement.
TCPView
Tout d’abord, téléchargez un programme appelé TCPView de Microsoft. C'est un très petit fichier et vous n'avez même pas besoin de l'installer, il suffit de le décompresser et de double-cliquer sur Tcpview. La fenêtre principale ressemblera à ceci et n'aura probablement aucun sens.
En gros, il vous montre toutes les connexions de votre ordinateur à d’autres ordinateurs. Sur le côté gauche se trouve le nom du processus, qui correspond aux programmes en cours d'exécution, tels que Chrome, Dropbox, etc. Les seules autres colonnes à examiner sont: Adresse distante et Etat. Allez-y, triez par colonne d’état et examinez tous les processus énumérés sous ÉTABLI. Établi signifie qu'il existe actuellement une connexion ouverte. Notez que le logiciel d'espionnage peut ne pas toujours être connecté au serveur distant. Il est donc conseillé de laisser ce programme ouvert et de surveiller tout nouveau processus susceptible d'apparaître dans l'état défini..
Ce que vous voulez faire, c'est filtrer cette liste vers les processus dont vous ne connaissez pas le nom. Chrome et Dropbox ne posent pas de problème, mais qu'est-ce que openvpn.exe et rubyw.exe? Eh bien, dans mon cas, j'utilise un VPN pour me connecter à Internet et ces processus sont destinés à mon service VPN. Cependant, vous pouvez simplement rechercher ces services sur Google et vous en rendre compte rapidement. Le logiciel VPN n'est pas un logiciel d'espionnage, donc ne vous inquiétez pas. Lorsque vous recherchez un processus, vous serez instantanément en mesure de dire s'il est sécurisé ou pas en regardant simplement les résultats de la recherche..
Une autre chose à vérifier concerne les colonnes de droite, Paquets envoyés, Octets envoyés, etc. Tri par octets envoyés et vous pouvez voir instantanément quel processus envoie le plus de données de votre ordinateur. Si quelqu'un surveille votre ordinateur, il doit envoyer les données quelque part. Par conséquent, à moins que le processus ne soit extrêmement bien masqué, vous devriez le voir ici..
Explorateur de processus
Process Explorer de Microsoft est un autre programme que vous pouvez utiliser pour trouver tous les processus en cours d'exécution sur votre ordinateur. Lorsque vous l'exécutez, vous verrez beaucoup d'informations sur chaque processus et même des processus enfants s'exécutant dans des processus parents..
Process Explorer est assez impressionnant, car il se connecte à VirusTotal et peut vous dire instantanément si un processus a été détecté comme un malware ou non. Pour cela, cliquez sur Les options, VirusTotal.com puis cliquez sur Vérifiez VirusTotal.com. Il vous amènera sur leur site Web pour lire le TOS, fermez-le et cliquez Oui sur le dialogue dans le programme.
Une fois que vous avez fait cela, vous verrez une nouvelle colonne indiquant le taux de détection du dernier balayage pour un grand nombre de processus. Il ne pourra pas obtenir la valeur pour tous les processus, mais c'est mieux que rien. Pour ceux qui n'ont pas de score, lancez-vous et recherchez manuellement ces processus dans Google. Pour ceux avec des scores, vous voulez quasiment dire 0 / XX. Si ce n'est pas 0, lancez-vous sur Google ou cliquez sur les numéros à transférer sur le site Web de VirusTotal pour ce processus..
J'ai également tendance à trier la liste par nom de société et par tout processus ne comportant pas de société répertoriée. Je vérifie par Google. Cependant, même avec ces programmes, vous ne verrez peut-être pas tous les processus.
Rootkits
Il existe également une classe de programmes furtifs appelés rootkits, que les deux programmes ci-dessus ne pourront même pas voir. Dans ce cas, si vous ne trouvez rien de suspect lors de la vérification de tous les processus ci-dessus, vous devrez essayer des outils encore plus robustes. Rootkit Revealer est un autre bon outil de Microsoft, mais il est très ancien..
Malwarebytes Anti-Rootkit Beta est un autre bon outil anti-rootkit, que je recommande vivement, car son outil anti-malware est classé n ° 1 en 2014. Un autre outil populaire est GMER..
Je vous suggère d'installer ces outils et de les exécuter. S'ils trouvent quelque chose, supprimez ou supprimez ce qu'ils suggèrent. En outre, vous devez installer un logiciel anti-malware et anti-virus. Un grand nombre de ces programmes furtifs que les gens utilisent sont considérés comme des logiciels malveillants / virus. Ils seront donc supprimés si vous exécutez le logiciel approprié. Si quelque chose est détecté, assurez-vous de le rechercher sur Google afin de savoir s'il s'agissait ou non d'un logiciel de surveillance..
Surveillance du courrier électronique et du site Web
Vérifier si votre courrier électronique est surveillé est également compliqué, mais nous nous en tiendrons aux choses simples pour cet article. Chaque fois que vous envoyez un email à partir d'Outlook ou d'un client de messagerie sur votre ordinateur, il doit toujours se connecter à un serveur de messagerie. Maintenant, il peut soit se connecter directement, soit via un serveur proxy, qui prend une requête, la modifie ou la vérifie et la transmet à un autre serveur..
Si vous utilisez un serveur proxy pour la messagerie ou la navigation Web, les sites Web auxquels vous accédez ou les courriels que vous écrivez peuvent être sauvegardés et consultés ultérieurement. Vous pouvez vérifier pour les deux et voici comment. Pour IE, allez à Outils, puis options Internet. Clique sur le Les liaisons onglet et choisissez Paramètres lan.
Si la case Serveur proxy est cochée et qu'elle dispose d'une adresse IP locale avec un numéro de port, cela signifie que vous passez d'abord par un serveur local avant d'atteindre le serveur Web. Cela signifie que tout site Web que vous visitez en premier passe par un autre serveur exécutant un type de logiciel qui bloque l'adresse ou la consigne simplement. La seule fois où vous seriez en sécurité, c'est si le site que vous visitez utilise SSL (HTTPS dans la barre d'adresse), ce qui signifie que tout ce qui est envoyé de votre ordinateur au serveur distant est crypté. Même si votre entreprise devait capturer les données entre les deux, celles-ci seraient cryptées. Je dis quelque peu en sécurité, car si un logiciel d’espionnage est installé sur votre ordinateur, il peut capturer les frappes au clavier et donc enregistrer tout ce que vous tapez sur ces sites sécurisés..
Pour votre messagerie d'entreprise, vous recherchez la même chose, une adresse IP locale pour les serveurs de messagerie POP et SMTP. Pour vérifier dans Outlook, allez à Outils, Comptes mail, Cliquez sur Modifier ou sur Propriétés, puis recherchez les valeurs des serveurs POP et SMTP. Malheureusement, dans les environnements d'entreprise, le serveur de messagerie est probablement local et vous êtes donc très certainement surveillé, même s'il ne s'agit pas d'un proxy..
Vous devez toujours faire attention lorsque vous écrivez des courriels ou naviguez sur des sites Web au bureau. Essayer de percer la sécurité pourrait également vous causer des ennuis s’ils découvraient que vous aviez contourné leurs systèmes! Les informaticiens n'aiment pas ça, je peux vous le dire par expérience! Toutefois, si vous souhaitez sécuriser votre navigation sur le Web et votre activité de courrier électronique, le mieux est d’utiliser un VPN comme Private Internet Access..
Cela nécessite l'installation d'un logiciel sur l'ordinateur, ce que vous ne pourrez peut-être pas faire en premier lieu. Cependant, si vous le pouvez, vous pouvez être pratiquement sûr que personne ne pourra voir ce que vous faites dans votre navigateur, pourvu qu'aucun logiciel d'espionnage local ne soit installé! Il n'y a rien qui puisse cacher vos activités au logiciel d'espionnage installé localement car il peut enregistrer des frappes au clavier, etc. Si vous avez des questions ou des préoccupations, n'hésitez pas à commenter. Prendre plaisir!