Hier, un lecteur régulier de FunInformatique m'a posé une question après avoir lu un article sur la façon de contrôler un PC à distance avec une clé USB. En effet, il se demandait comment savoir si son ordinateur est un PC zombie qui fait partie du réseau d'un pirate informatique, surtout sur Windows.

Pour répondre à cela, j’ai pensé partager avec vous une méthode super simple pour rester au courant de tout ce qui se passe sur votre ordinateur.

En effet, quand un malware ou un spyware, infecte un PC, il commence à fouiller votre disque dur.

Par exemple, il peut voler vos contacts et les envoyer à des spammeurs. De plus, il peut connecter votre ordinateur à d’autres machines infectées pour former un réseau de zombies.

On peut ensuite utiliser ces ordinateurs pour lancer des attaques DDoS, par exemple.

Dans les deux cas, vous ne devriez pas négliger certains signes :

  • Votre ventilateur démarre à pleine vitesse même si votre ordinateur est inactif.
  • Votre ordinateur prend beaucoup de temps à s'éteindre.
  • Vos amis reçoivent des courriels envoyés depuis votre adresse sans que vous les ayez expédiés.
  • Votre accès à Internet ralentit considérablement.
  • Des pop-ups publicitaires s'ouvrent même quand vous avez fermé votre navigateur web.

D'abord, qu'est-ce qu'un PC zombie ?

Un PC zombie, aussi appelé machine zombie ou bot, est un ordinateur personnel infecté par un programme backdoor qui le contrôle à distance, à l'insu de son utilisateur légitime. Cet programme backdoor transforme l'ordinateur en un bot, c'est-à-dire un automate capable d'exécuter des tâches programmées par le pirate.

Comme mentionné dans l'introduction, le pirate peut utiliser le PC zombie à diverses fins malveillantes, telles que:

  • Envoyer des spams.
  • Lancer des attaques par déni de service (DDoS).
  • Voler des informations sensibles, telles que des mots de passe ou des numéros de carte de crédit.
  • Miner des cryptomonnaies.

Comment détecter un programme backdoor sur son PC

Remarque : Cette méthode que je vous présente ne remplace en aucun cas les protections habituelles telles que les antivirus.

Pour commencer, nous allons utiliser un logiciel gratuit très utile, nommé TCPView.

TCPView surveille l'activité des connexions TCP/IP de votre système. Contrairement aux outils de surveillance TCP/IP intégrés à Windows, TCPView indique quel processus est associé à chaque adresse TCP/IP.

Téléchargez cet outil, puis décompressez-le.

Aucune installation n'est nécessaire. Cliquez sur le fichier Tcpview.exe, et la fenêtre du programme s'ouvrira. TCPView actualise chaque seconde les échanges réseau entre votre PC et le monde extérieur.

L'avantage de TCPView par rapport à la commande netstat est qu'il permet de fermer une connexion spécifique sans devoir arrêter le processus correspondant.

Dans le cas d'un PC potentiellement infecté, l'adresse distante peut apparaître comme "exotique".

Par exemple, dans la capture d'écran ci-dessous, vous pouvez voir toutes les connexions ouvertes sur mon ordinateur :

Pour mieux comprendre comment utiliser TCPView pour détecter les activités suspectes sur votre PC, je vous guide à travers l'interface du programme et quelques astuces pour identifier les connexions douteuses. C'est parti!

Interface de TCPView

Quand vous ouvrez TCPView, vous découvrirez une liste dynamique qui montre toutes les connexions réseau en cours sur votre système. Voici ce que vous verrez :

  • Nom du processus : C'est le nom de l'application qui utilise votre réseau.
  • PID (Identifiant de processus) : Un numéro unique qui aide à identifier chaque processus en cours d'exécution.
  • Protocole : Indique si la connexion utilise TCP ou UDP.
  • Adresse locale : C'est l'adresse IP et le port utilisés par votre ordinateur.
  • Adresse distante : L'adresse IP et le port de l'autre côté de la connexion (si elle est établie).
  • État : Vous dira si la connexion est active, en attente, ou fermée.

À la chasse aux adresses IP exotiques

Si une adresse vous semble bizarre ou sort de l'ordinaire, c'est peut-être un signe d'alerte.

Voici comment creuser un peu :

  • Vérifiez la fréquence : Une connexion qui revient souvent peut être un signe qu'un logiciel malveillant communique avec son serveur.
  • Où ça se passe? : Des outils en ligne comme mxtoolbox sont parfaits pour vérifier si une adresse IP est répertoriée sur une liste noire, ce qui peut indiquer un potentiel de danger. Cet outil analyse l'adresse et vous informe si elle a été signalée pour des activités suspectes ou malveillantes. Si vous découvrez que l'adresse IP est sur une liste noire, c'est un signal d'alarme à ne pas ignorer!
  • Le port a son importance : Certains ports sont connus pour être utilisés dans des activités louches. Une petite recherche peut vous éclairer sur la nature de la connexion.

Que faire si quelque chose semble louche?

Si vous avez des doutes sur un processus, commencez par vous informer. Faites une recherche Google avec le nom du processus pour clarifier vos soupçons.

Si vous êtes convaincu qu'il y a un problème, déconnectez-vous en utilisant TCPView et en sélectionnant l'option adéquate avec un clic droit.

Pour renforcer la sécurité, n'oubliez pas de procéder à une analyse complète avec un antivirus gratuit. Un scan antimalware pourrait aussi être bénéfique pour assurer une protection optimale.

À propos de l'auteur :

Ahmed el jaouari

Ahmed EL JAOUARI

Ahmed, fondateur de la plateforme FunInformatique, est diplômé en ingénierie informatique et passionné par la cybersécurité. Avec sa plateforme, il propose des guides pratiques et des tutoriels visuels visant à rendre les technologies numériques accessibles à tous, même aux débutants. Son objectif est de simplifier l'apprentissage des outils numériques en le rendant à la fois intuitif, ludique et engageant.

Questions & Réponses

Posez votre question

Avatar de l'auteur de la question Anne o'Nime
Il y a 8 ans

Question :

Les blackhats peuvent prendre le controle de certain PCzombies, comment peut-on les différencier d'un botnet ?
Car mon PC fait depuis 1mois de tonnes de majs, depuis 3mois tourne quand il est inactif et hier, le pointeur de souris bougeait tout seul puis a disparu, j'ai du redémarer le PC avec le clavier et un peut plus tard mon casque audio jouait de la musique sans raison apparente.

Avatar de l'auteur de la question Bouc
Il y a 9 ans

Question :

Salut Ahmed
merci d'avoir partager ta méthode
par contre comment as tu reconnus que le client "telnet" était un logiciel espion? Grace au port local, au protocole, son adresse ou tout simplement parce que les autres processus ont globalement le même nom?

Avatar de l'auteur de la question Dat_Modo
Il y a 11 ans

Question :

Ok mais comment reconnaître les noms "exotiques" ?
Parce que dans ce cas je n'aurai pas deviné que telnet et nc était malveillant :/
Pourquoi isass.exe ne le serai pas ?
Bref, faut connaître quoi.

Avatar de l'auteur de la question obiwank
Il y a 11 ans

Question :

c'est vieux comme article ça ! pq le redater du 15/03/14 !!!

Avatar de l'auteur de la réponse Ahmed
Il y a 11 ans

reply Réponse :

Afin que les nouveaux visiteurs et abonnés du blog en profite !

Avatar de l'auteur de la question kapuss
Il y a 12 ans

Question :

savez vous si ce genre d'intrusion est courant sur ubuntu ?

Avatar de l'auteur de la réponse Ahmed
Il y a 12 ans

reply Réponse :

Ubuntu est une distribution Linux.
Linux est tout comme Windows ou MacOS X contient des vulnérabilités qui peuvent être exploitées par des hackers. Linux est donc également sensible à ce genre d'intrusion, tout comme Windows.