Sujet Précédent Sujet Suivant

Wifi piratée ou fausse alerte?

Fermé
Kukrapok - 28 août 2013 à 00:28
 Kukrapok - 30 août 2013 à 00:12
Bonjour a tous,

Après m être triture l esprit un bon moment je pense que le plus simple est sans doute de demander conseil à des connaisseurs.
Voilà mon souci:
Depuis un moment je trouvais ma connexion vraiment lente (je possède une freebox, la version 4, je crois, mon ordi principal étant connecte par câble ethernet et le tout fourni par fibre optique)

Me demandant si un voisin indélicat ne profiterait pas de mon wifi et etant peu cale en matiere de reseau, je me procure Achiwa en version d essai (en complément de wireless network watcher qui n avait jusque la rien trouve d anormal). Après avoir repère mes différents appareils connectes (2 téléphones, la box et mon ordi) je constate qu il me reste un appareil non identifié sur mon réseau, ce qui me surprend car ayant une clé de cryptage wpa2 (pas très complexe, une dizaine de caractères avec lettres chiffres et symboles) je me croyais plutôt safe.

Un peu inquiet et en cherchant sur le net, je parviens, a partir des premiers caractères de son adresse Mac, a voir qu il s agit de la "signature" d un produit netasq (a ma connaissance, rien chez moi ne proviens de cette boîte) et en me renseignant sur DHCP etc, je m aperçois qu étrangement, l ip attribue a ce périphérique se situe hors de la plage d attribution (elle va normalement de xxx.xxx.0.50 a 0.100 alors que ce périphérique en possède une du type xxx.xxx.1.249 de mémoire), mon manque de connaissance ne me permet pas de savoir si c est possible ou si c est louche.

Au final je me dis "bon, tant pis, change ta clé wpa, ça le découragera sans doute ou lui fera au moins perdre trois jours a la retrouver", je passe donc a une clé un peu plus complexe d une vingtaine de caractères. Le lendemain, soit aujourd'hui, j ai laisse achiwa en route toute la journée pour voir si l intru était de retour, et effectivement, vers la même heure que la veille (20h30) le périphérique apparaît a nouveau, comme la veille il reste connecté une quarantaine de minutes, et comme la veille il disparaît et ne revient pas de la soirée.

Je suis vraiment surprit que quelqu un soit parvenu a revenir sur mon réseau malgres le changement de mot de passe en seulement quelques heures, a tel point que je me demande si tout ça ne pourrait pas s expliquer par le fait que ce soit juste un de mes propres périphériques sans que je ne m aperçoive duquel, mais ça me parait peu probable vu que, logiquement, seuls ceux pour lesquels j ai renseigné la nouvelle clé peuvent se connecter.

Par précaution j ai mît une clé aléatoire de 63 caractères et active l attribution de baux fixes pour les adresses Mac connues en laissant le dhcp limite a une seule et unique ip. Je verrais demain si le périphérique fantôme est de retour mais si c est le cas je ne sais pas quoi faire de plus.

Du coup, ma question est simple, qu en pensez vous? Ça vous semble étrange? Possible? Pensez vous que j ai bien un intru ou que je me bat contre moi même? Ou même un conseil qui pourrait m aider a identifier le périphérique voir a lui empêcher l accès a mon réseau?

Merci beaucoup pour votre aide et désole d avoir été si long :/
A voir également:

8 réponses

Réponse 1 / 8
Joe
28 août 2013 à 07:20
Salut,


Un "intrus" wifi a une adresse MAC, tu as activé le filtrage MAC?...

Note l'adresse MAC de l'intrus, et compare avec le décodeur par exemple.
0
Réponse 2 / 8
Kukrapok
28 août 2013 à 09:45
Salut,

Merci pour ta réponse
Effectivement j avais vu sur le net qu il y avait aussi cette solution de bloquer les adresses Mac, mais en farfouillant dans m interface de ma freebox j n ai rien trouve qui permette de la faire, je pense que ça doit être une option seulement pour les versions supérieures de box.
Ma seule option avec les adresses Mac, a priori, ce sont les baux permanents.

Par contre quand tu parles de comparer avec l adresse Mac du décodeur, je supposes que tu me parles du boîtier free qui me permet d avoir accès aux chaînes Tv du FAI non? Si c est le cas j ignorais qu il faisait partie du réseau, je regarderais en rentrant du boulot, mais cela dit il était éteint lors de mon scan précédant, mes seuls appareils en tensions a ce moment la étant les deux mobiles et mon Pc, tous ayant été identifiés.

Mais je jetterais tout de même un oeil ce soir pour le décodeur :)
0
Réponse 3 / 8
Mstr Messages postés 9973 Date d'inscription lundi 11 janvier 2010 Statut Contributeur sécurité Dernière intervention 28 septembre 2015 1 889
28 août 2013 à 09:53
Hello,

Pour info, Netasq c'est une marque de Firewall physique pour les professionnels normalement.

Je vois pas ce que ferais un Firewall physique connecté au wifi en plus (je savais même pas que ces firewalls pouvaient se co en wifi).

Pour moi, c'est une fausse alerte.

Qu'est ce que tu entends par lent ? Parce que si t'es en fibre, tu devrais même pas voir la différence même si yavait 5 personnes connectée sur ton réseau..
0
Joe
28 août 2013 à 10:56
Netasq, VPN peut être aussi.
0
Réponse 4 / 8
Kukrapok
28 août 2013 à 12:41
Salut mstr,

Merci pour ta réponse

Quand je dit que ma connexion me semble plus lente, je ne voulais pas dire que c était réellement atrocement lent, j ai simplement eu l impression que certaines pages web me semblaient s afficher bien moins vite qu avant. Pareil pour les vidéos en ligne (par ex joueur du grenier) ça met vraiment longtemps a charger.
Après je sais que free et YouTube ne font pas bon ménage mais ça semblait sensiblement plus long quand même.

Étrange cette histoire de firewall physique. Je me situe dans une zone très étudiante sans entreprises a proximité. Et si comme dit Joe c est un VPN, ça pourrait être un particulier? A moins que ça puisse être (je sais même pas si ça existe et si c est possible) un firewall directement présent dans la freebox et qui aurait sa propre adresse Mac? Ou bien est ce qu il se pourrait (la encore je pense pas mais bon) qu une machine se connecte à mon réseau en n étant pas physiquement a portée du wifi?

Questions de noob, je sais :p
0
Mstr Messages postés 9973 Date d'inscription lundi 11 janvier 2010 Statut Contributeur sécurité Dernière intervention 28 septembre 2015 1 889
28 août 2013 à 14:09
Bah, c'est à ça que j'ai pensé pour le Netasq, mais normalement ce sont des boîtiers très cher qui coûtent plusieurs centaines, même milliers d'euros parfois, donc je pense pas.

On peut s'en servir comme VPN, mais on peut faire un VPN avec quasi n'importe quel boitier donc ça ne veut rien dire.

Et justement, la plupart du temps un Netasq est utilisé dans un milieu pro aussi pour gérer les VPN des sites extérieurs ou des employés ayant besoin de se connecter quand ils sont en déplacement, donc ce n'est pas anormal du tout.

Toutes les connexions sont très lentes sur Youtube, c'est déjà le cas chez Orange, alors je n'ose pas imaginer chez Free.
On galère a charger une pauvre vidéo en 360P alors qu'a côté ça ça on peut regarder des streaming en 1080P sans problème, cherchez l'erreur. xD

Pour moi, si ta box est en WPA2 et en plus que tu viens de changer la clé, les chances que quelqu'un soit sur ton réseau son quasi nulle.
0
kukrapok > Mstr Messages postés 9973 Date d'inscription lundi 11 janvier 2010 Statut Contributeur sécurité Dernière intervention 28 septembre 2015
28 août 2013 à 15:12
Merci

C est vrai que c est cohérent.
Sinon un ami a qui j ai exposé le problème a eu une autre idée que je vous fais partager. Il pense que ça pourrait être quelqu un qui est connecté au freewifi, pour lequel il suffit juste d être client free et absolument pas de connaître la cle wpa. Ça pourrait peut être être ça? Il me suffirait donc de désactiver freewifi.

En tout cas ce soir en rentrant je vais commencer par regarder si mes manip d hier ont empêché le périphérique mystère de se connecter aujourd'hui et je vous tiens au courant.
0
Mstr Messages postés 9973 Date d'inscription lundi 11 janvier 2010 Statut Contributeur sécurité Dernière intervention 28 septembre 2015 1 889
Modifié par Mstr le 28/08/2013 à 15:15
Ah, c'est possible en effet. Je ne connais pas si bien les freebox.. :(.

De toute façon, autant désactiver le freewifi si tu ne t'en sert pas. Tu pourras ensuite regarder si tu revois ce fameux périphériques tout de même.

Tiens nous au courant de la suite ^^
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
kukrapok
29 août 2013 à 10:15
Bon, dernières nouvelles du front.
Hier soir en rentrant chez moi le mystérieux périphérique était connecte, une nouvelle fois hors de ma plage dhcp et malgres ma cle wpa a 63 caractères aléatoires.
J ai donc directement été couper freewifi et une autre fonctionnalité (dont je ne me rappelle pas du nom) mais d après le net pas necessaire.
Malgres ça, toujours ce même périphérique présent.

Cela dit j ai peut être avance!
En fait, la "bonne" nouvelle c est que c est effectivement probablement moi même ce mystérieux périphérique. Car j ai cru remarqué, en faisant différent tests, qu il n est détecte que lorsque je suis moi même présent a l apart. J ai poussé dans ce sens et je me suis rendu compte que cet appareil n était détecte par achiwa que lorsque mon iPhone se connecte lui même au wifi (sachant que achiwa détecte aussi le iPhone par ailleurs) et que si je déconnecte le wifi du iPhone lorsque lui et l autre peripherique sont détectés, les deux sortent de la détection d achiwa. Et enfin, étrangement, lorsque mon autre programme qui scan les machines connectés, il ne détecte pas l intru alors que le scan comprend sa plage ip.

Cela dit je ne suis quand même pas trop rassuré car il reste des choses pas nettes:

- pourquoi lorsque mon iPhone se connecte au wifi et qu il reste longtemps connecte, l intru n est plus détecte au bout de quelques minutes?

-pourquoi lorsque mon iPhone passe en veille (le wifi se désactivant donc) et que je le déverrouille (réactivant le wifi) l intru est parfois détecte et parfois non?

- et enfin et surtout, d ou vien ce programme netasq et comment le virer de mon tel?

J espère que ces infos aident un peu
0
Mstr Messages postés 9973 Date d'inscription lundi 11 janvier 2010 Statut Contributeur sécurité Dernière intervention 28 septembre 2015 1 889
29 août 2013 à 10:29
Bah on avance c'est déjà ça ! :D

Par contre je vois vraiment pas la corrélation entre un Netasq et un iphone, là, aucune idée.

Comme quoi les iphones c'est caca (c'est une blague hein ^^)
0
kukrapok > Mstr Messages postés 9973 Date d'inscription lundi 11 janvier 2010 Statut Contributeur sécurité Dernière intervention 28 septembre 2015
29 août 2013 à 13:25
Nouvelle piste?
La boîte pour laquelle je boss m avait autorisé a utiliser le wifi de l entreprise pour voir mes mails et surfer sur le net de mon iPhone le midi.
Après vérification ils utilisent justement netask. Du coups penses tu que ça puisse être netask qui m ait attribué un programme dans mon tel ou un truc comme ça qui du coup cherche a se connecter depuis chez moi?
0
Mstr Messages postés 9973 Date d'inscription lundi 11 janvier 2010 Statut Contributeur sécurité Dernière intervention 28 septembre 2015 1 889
29 août 2013 à 13:34
Ah.

Bah c'est ton iphone qui se connecte au netasq de ta boite pour vérifier les mails alors peut être

. Et donc tu vois le Netasq apparaître quand ton tel check les mails.
0
kukrapok > Mstr Messages postés 9973 Date d'inscription lundi 11 janvier 2010 Statut Contributeur sécurité Dernière intervention 28 septembre 2015
29 août 2013 à 13:48
Pas teste à l appart.
La je suis au boulot et j ai balance un scan via une apli. J ai trouve la même adresse Mac que celle de netask que j ai a la maison. C est donc certain que c est lié au tel.
Maintenant ce qui me surprend c est qu une adresse Mac c est sence être une adresse physique non? Comment un programme (ou en tout cas pas le programme wifi du tel) puisse obtenir sa propre adresse Mac?
0
Mstr Messages postés 9973 Date d'inscription lundi 11 janvier 2010 Statut Contributeur sécurité Dernière intervention 28 septembre 2015 1 889
29 août 2013 à 13:51
L'adresse mac est une adresse physique associée à la carte réseau oui.
0
Réponse 6 / 8
EGP-Swyx Messages postés 6664 Date d'inscription dimanche 18 mars 2012 Statut Contributeur Dernière intervention 7 janvier 2019 624
29 août 2013 à 13:58
Bonjour, pour Faire quelque chose de simple et efficace :
Si tu as un cryptage WEP, passe en WPA PSK et met une clef du style "I4m4r1ch81chd0nty4kn0w". pour avoir l'habitude de faire du pentest, c'est très dur à craquer. par ailleurs, désactive la fonction WPS et tu devrais être tranquille.

Voilà c'est tout ce que tu as à faire =)
0
Mstr Messages postés 9973 Date d'inscription lundi 11 janvier 2010 Statut Contributeur sécurité Dernière intervention 28 septembre 2015 1 889
29 août 2013 à 13:59
C'est déjà le cas Swyx, il est en WPA2 :)
0
EGP-Swyx Messages postés 6664 Date d'inscription dimanche 18 mars 2012 Statut Contributeur Dernière intervention 7 janvier 2019 624
29 août 2013 à 14:06
donc change la clef, et vire absolument de WPS. après si t'as toujours une mauvaise co, appelle free.
0
Kukrapok
29 août 2013 à 14:32
Salut.
En fait oui, je suis en wpa2 depuis toujours. J ai change ma cle wpa tous les soirs cette semaine, avec a chaque fois 63 caractères aléatoires.
Malgres ça tout les soirs j ai retrouve ce périphérique sur mon réseau. C est bizarre que la cle ait déjà était crackee.
Quant au wps j ai cherche partout dans mon interface et sur le net, mais apparemment il n existe pas sur mon modèle de freebox
0
EGP-Swyx Messages postés 6664 Date d'inscription dimanche 18 mars 2012 Statut Contributeur Dernière intervention 7 janvier 2019 624
29 août 2013 à 14:43
mmm ok. et les péripphériques, t'as essayé le filtrage mac?
0
Kukrapok > EGP-Swyx Messages postés 6664 Date d'inscription dimanche 18 mars 2012 Statut Contributeur Dernière intervention 7 janvier 2019
29 août 2013 à 14:55
Malheureusement impossible de faire un filtrage Mac sur ma version de box. J ai essayé de mettre des baux dhcp permanent en ouvrant la plage d attribution d ip a une seule et unique ip mais le périphérique parvient a se connecter hors de la plage
0
Réponse 7 / 8
Bridget. Messages postés 3816 Date d'inscription lundi 16 juillet 2012 Statut Contributeur Dernière intervention 21 février 2014 403
Modifié par Bridget. le 29/08/2013 à 15:55
Salut,

Ma soeur a un phénomène du même genre depuis que son entreprise lui a "offert" un pc pour le travail. Il est réglé en vpn par sécurité. Je cherche aussi pour la rassurer.

Il y a plusieurs sujets sur ce problème de périphérique fantôme.
Voici quelques réflexions glanées :

- "Le plus probable, c'est surement juste un doublon d'ip sur le réseau local entre 2 ordis. As tu mis une plage d'adresse assez large pour tes machines ?
--> ex : si tu as 2 ordis + 1 tablette, il faut définir une plage d'au moins 3 adresses + une pour le routeur de 192.168.0.10 à 192.168.0.13."

- "Il est probable que ton problème soit le bail DHCP (lenteur, bug etc ...)"

- "Tu n'aurais pas une machine virtuelle de lancée sur un de tes postes ?"

- "Quand ce périphérique apparaît, essaie un utilitaire genre "Ip scanner" pour voir d'un peu plus près ce que sont les appareils connectés et les ports ouverts"
Lien ip scanner : https://www.advanced-ip-scanner.com/fr/

Je ne sais pas si cela vous sera utile pour avancer.
Cordialement Bridget :)
0
Réponse 8 / 8
Kukrapok
30 août 2013 à 00:12
Salut Bridget et merci pour ta réponse :)

Pour ma part, a l issue de cette soirée je dirais que le problème est quasi résolu, pour pas dire résolu tout court.
Les détails techniques m échappent encore (et m échapperont sans doute toujours) mais il semble a présent sur et certain que c est lié a firewall de mon travail.

J en suis arrive à cette conclusion logique après m être renseigne directement auprès de notre informaticienne. Je lui ai expliqué mon problème et mes réflexions. Elle m a confirme que l adresse ip attribuée chez moi au périphérique netasq est bien la même que celle que j ai chez moi. Elle n a pas pu me confirmer l adresse Mac. Cela dit, vu que quand j ai lancé un scan d ip au travail avec mon portable je suis tombé sur cette ip, et que j ai du coup pu vérifier que l adresse Mac associée à cette ip est bien la même que celle que je détecte chez moi, je me dis que ça ne peut être que ça.

Sur le coup je me suis dit "ouais mais c est peut être juste ton tel que tu détecte au boulot aussi" mais a la réflexion c est sans doute bien l équipement informatique (tout simplement a cause de cette confirmation d ip par notre pôle informatique)

D ailleurs ce soir le périphérique n a pas été détecte du tout chez moi, allez savoir pourquoi.

Petite anecdote pas liée a notre problème netasq et qui n est sans doute rien d important, mais j ai remarqué que depuis que j ai attribué mes baux permanent l autre soir, lorsque je lance un scan du réseau avec wireless network watcher, il me détecte deux adresses Ip pour une seule adresse mac, celle de mon Pc principal, l une étant de type xxx.xxx.0.40 (la permanente que je lui ai donne) et l autre qui fini par 255. Étrangement lorsque je lance ce même scan via mon Pc portable avec le même logiciel il ne détecte que celle finissant par 40. Quant a achiwa c est pareil. Je pense que le logiciel a du garder en mémoire (?) son ancienne adresse ip d avant l attribution des baux permanents.

Enfin tout ça m aura au moins rassure, je pense que je n ai finalement pas de problème de sécurité :)
0

Discussions similaires

code universel pour wifi
block -
BUL_BAN -

3 réponses
comment faire une fausse carte d'identite
bratwilliam -
Chris 94 -

3 réponses
Code Free Wifi Secure : comment en récupérer
Coralie -
jee pee -

8 réponses