Catégorie : Dépannage – Mise à niveau

Arnaque au support téléphonique (suite)

Récemment j’ai dépanné un ami victime d’une arnaque de type TechScam: Un faux-support technique demande d’appeler un certain numéro ou de télécharger un pseudo logiciel de sécurité. La stratégie malveillante utilisée consiste à faire apparaître un message crédible (Microsoft – aide au dépannage) suite à un blocage du système (MS Windows) lors de la phase de démarrage ou suite à un blocage sur une page du navigateur.

L’attaque

En résumé, voici ce qui est advenu à la victime, en cours de navigation sur le web. Un écran bleu (Blue Screen of Death) apparaît après le blocage du navigateur et un message signé Microsoft est affiché proposant d’appeler un numéro de téléphone pour un dépannage en ligne. Impossible alors de fermer le navigateur par action sur l’icône de fermeture habituel.

La machine paraissant bloquée, le sentiment d’impuissance s’installe et la proposition d’assistance en ligne semble une solution crédible (Le logo Microsoft suscite la confiance). Bien entendu le prétendu service d’assistance en ligne n’a rien à voir avec Microsoft.

L’appel au numéro de téléphone indiqué sur la fenêtre d’aide, établi un contact avec un technicien qui propose d’installer les logiciels nécessaires à la réparation. Il s’agit entre autres de ScreenConnect et de PC Privacy Shield. Ensuite pour finaliser le dépannage le technicien demande les données bancaires, en particulier le RIB. Il demande ensuite une certaine somme d’argent pour nettoyer l’infection.

Pendant l’échange téléphonique un certain nombre de données personnelles sont piratées, en particulier tous les identifiants et mots de passe des abonnements aux services dématérialisés. Parmi ces derniers, les identifiants et mots de passe du compte bancaire de la victime. Mon ami victime de l’attaque a réagi quand il a vu défilé ses identifiants et mots de passe dans la fenêtre ouverte par PC Privacy Shield. Il a alors décidé de couper la communication téléphonique avec le service d’assistance.

Explication: Par défaut, tous les navigateurs internet (Firefox, Google Chrome, Internet Explorer ou Edge) stockent vos mots de passe en clair.
Cela permet de proposer des gestionnaires de mots de passe capables de remplir les formulaires de connexion automatiquement.
Si cela facilite l’utilisation du WEB au quotidien, il existe un revers : il est possible de voler les mots de passe du navigateur internet.

C’était déjà trop tard, la victime ayant semble-t-il communiqué son RIB. De plus les identifiants et mots de passe des abonnements aux services web étaient probablement déjà arrivés dans des mains malveillantes. Dans le cas d’une arnaque à l’assistance téléphonique le service malveillant cherche à vendre une prestation au prix fort. En général, à ma connaissance le vol des identifiants et mots de passe, ne faisait pas jusqu’à maintenant partie de ce type d’arnaque.

Nature et faiblesse de l’attaque

Cette version ancienne de l’arnaque utilise le blocage du navigateur web. Elle fonctionne de la façon suivante:

Elle est diffusée par des publicités depuis des sites web
Elle bloque le navigateur WEB, boucle de popup, passage en plein écran, popup d’authentification. Le but est de vous empêcher de cliquer sur la croix de fermeture
Elle tente de se faire passer pour Microsoft, afin de vous faire mettre en relation avec un soit-disant technicien Microsoft : logo, message de Windows ou Microsoft. Certaines affiches de fausses pages de MS Defender.

Cette version a évolué vers une version utilisant le blocage de l’ouverture du système (MS Windows). L’utilisation du trojan Winlock a permis cette évolution. Cette nouvelle version est plus efficace car elle suscite plus de stress chez l’utilisateur qui ne sait pas comment redémarrer son équipement. Dans le cas de mon ami victime de l’arnaque il suffisait de recourir au gestionnaire de tâches pour tuer le navigateur. Il était alors possible de continuer à utiliser l’équipement.

Actions à entreprendre pour éviter l’utilisation frauduleuse du compte bancaire et des comptes d’abonnement aux autres services

Comptes bancaires: changer les mots de passe, demander à la banque une opposition sur les virements ou prélèvements douteux.

Comptes d’abonnement aux autres services web: Changer les mots de passe.

Nettoyage du système

Dans le cas présent, il faut supprimer Privacy Shield et Screen Connect:

Télécharger et installer « MalwareBytes », logiciel de détection et de suppression de Malware. Lancer MalwareBytes après installation. Après scan du système, mettre en quarantaine tous les logiciels malveillants détectés (Screen Connect en fait partie, probablement).
Désinstaller PC Privacy Shield et Screen Connect (méthode normale de désinstallation de logiciel Windows). Rechercher les fichiers exécutables de ces deux logiciels si la désinstallation normale est impossible et les effacer. Nettoyer le registre système des clés utilisant les termes « Privacy Shield » et ensuite « Screen Connect » en utilisant la commande regedit
Installer un ou des bloqueurs de publicité comme extensions (add on) du navigateur (ou des navigateurs) internet. MalwareBytes est une des extensions conseillées (elle est gratuite).
Protéger les mots de passe de vos comptes aux services web enregistrés en clair par votre navigateur par un mot de passe principal (en passant par le menu « paramètres », puis « vie privée et sécurité », dans Firefox):
Mot de passe général dans Firefox

Bien entendu, par la suite il faudra procéder régulièrement aux mises à jour de sécurité du système, utiliser des bloqueurs de pub dans le navigateur et prendre les précautions « normales » pour un usage sécurisé des services web et de votre courrier électronique.

Vous pouvez en plus signaler la malveillance sur le site: https://www.internet-signalement.gouv.fr/

Et Voila.

Arnaques à l’assistance technique

Hier j’ai reçu un appel téléphonique d’une de mes connaissances qui me demandait de l’aide.

Son micro-ordinateur portable était bloqué après la séquence de démarrage et la saisie du mot de passe utilisateur. Une fenêtre ayant un caractère un peu officiel l’informait que la machine était infectée et que le seul moyen de continuer à l’utiliser était d’appeler un numéro de téléphone qui s’affichait de façon ostentatoire. Ma réponse alors: « n’appelle surtout pas ce numéro, c’est une arnaque« . Après plusieurs tentatives de redémarrage de la machine à ma demande, force fut de constater plusieurs échecs. A chaque tentative, après saisie du mot de passe utilisateur la machine restait figée sur l’écran proposant d’appeler le prétendu service d’assistance. J’ai alors décidé de me rendre sur place pour dépanner. Précisons avant d’aller plus loin qu’il est question ici d’une machine ancienne (6 ans) équipée d’un système MS Windows 8.1

Voici un petit résumé en forme de guide des quelques opérations nécessaires à la réhabilitation d’une machine victime d’une attaque de ce type. A noter qu’il n’est pas question ici d’une simple page (de type pop-up scam) qui s’afficherait lorsque vous utilisez votre navigateur internet. Il est question d’une technique plus radicale qui probablement sature le microprocesseur à l’aide d’un morceau de code viral. L’objectif à travers cette technique est clairement d’empêcher l’exécution de la fin de la séquence de démarrage du système. L’utilisateur est alors tenté d’utiliser son téléphone pour requérir l’assistance qui lui est proposée. S’il cède à cette tentation, son interlocuteur lui propose d’intervenir sur la machine à distance en l’échange d’un forfait à régler par carte bancaire. A la suite de ça l’installation d’un logiciel de contrôle à distance de type « TeamViewer » permet à l’interlocuteur d’installer absolument n’importe quoi sur la machine.

La première chose à faire est de redémarrer la machine après arrêt complet (Hard Reset). Pour ça il faut démonter la batterie, débrancher l’alimentation secteur. Après cet arrêt, rebrancher le cordon d’alimentation secteur et ensuite initier un démarrage sans échec. Le mode de démarrage sans échec, dans le jargon technique Microsoft c’est un démarrage en mode dégradé, sans le chargement de tous ces petits modules qui font ressembler votre écran à un bureau bien rangé. Pour démarrer dans ce mode il faut solliciter la touche F8 du clavier tout de suite après avoir appuyé sur le bouton de démarrage. Une suite d’écrans s’affiche alors proposant d’accéder au mode sans échec (deux possibilités: mode graphique ou mode terminal texte). En général, l’accès au mode sans échec avec écran graphique permet de reprendre la main. Ce fut le cas ce jour là. Le recours à la ligne de commande peut parfois être nécessaire si l’infection est sérieuse. Important: le mode sans échec doit être choisi avec liaison internet activée. Cette dernière permet ensuite de télécharger les applications nécessaires au nettoyage.

Une fois la machine redémarrée en mode sans échec, un nettoyage de l’infection peut être entamé. L’examen des logiciels installés peut permettre de détecter une installation suspecte. Pour ça il faut se rendre dans la page « Applications et fonctionnalités » du menu. Le recours, ensuite à un logiciel anti-malware est généralement suffisant pour détecter et éradiquer l’infection. Les références pour ce type de réparation sont: « Spy Hunter » et « Malwarebyte ». Il a suffit de télécharger Malware Byte et de le lancer pour venir à bout de l’infection.

Comment cette machine a-t-elle pu être contaminée ?

Plusieurs facteurs ont contribué à l’intrusion d’un logiciel malveillant :

  1. La version du système d’exploitation est ancienne et les mises à jour de sécurité ne sont pas réalisées aussi souvent que nécessaire;
  2. Aucun logiciel anti-virus n’est actif sur la machine. C’est en grande partie dû à la présence lors de l’achat de la machine de versions d’essai du produit Mac Affee (antivirus proposé en bundle avec le système). Cette version d’essai n’a pas été activée par l’utilisateur (il faut payer une licence). Ce logiciel étant devenu inactif mais restant présent sur la machine, l’anti-virus (MS Defender) du système est resté inactif. Résultat: open bar;
  3. Manque de vigilance de l’utilisateur qui fait confiance aux sites Web qu’il visite et en particulier aux sites qui proposent le téléchargement d’applications gratuites (et infestées par malwares, adwares et autres joyeusetés).

En conclusion je vous conseille de veiller à la mise à jour régulière de votre système, d’utiliser au minimum l’anti-virus proposé par le fournisseur (Ici Microsoft MS Defender), de bien réfléchir à deux fois avant de cliquer sur un lien douteux ou de télécharger une application gratuite depuis une site dont la réputation n’est pas certifiée. Installez les additifs que je recommande dans un précédent article (2 mai 2020) pour votre navigateur internet. Si vous avez l’intention malgré tout de ne pas suivre ces conseils, soyez prêts à mettre les mains dans le cambouis pour dépanner. Mon dernier conseil pour les aventureux qui utilisent MS Windows: ayez toujours un volume « Recover » du système prêt pour une réinstallation. De plus conservez le code de la licence d’utilisation du système.

Voila.

Amélioration des performances du PC par remplacement du disque dur

Votre vieux micro-ordinateur donne des signes de faiblesse (lenteur au démarrage ou à l’exécution des programmes) et/ou ses limites de capacité de stockage sont atteintes (et vous ne voulez pas utiliser de disque externe – connexion USB ou similaire). Peut-être même votre disque dur signale une panne prochaine (avertissement sonore – et message du système). Bonne nouvelle: il est encore possible, au lieu de racheter un nouvel équipement, de remplacer le disque dur d’origine par un Solid State Drive (SSD): un disque statique (sans partie mécanique / plateaux rotatifs, tête mobile), utilisant des mémoires flash et beaucoup plus rapide que l’ancien. Les prix des SSD sont devenus abordables avec le début de leur production de masse. A titre d’exemple, un SSD de 512 Go peut se trouver à 90 € chez les revendeurs spécialisés.

Si et seulement si vous-vous sentez capable de manipuler un tourne vis, si vous pratiquez un minimum la langue anglaise, et si vous êtes curieux vous pouvez réaliser cette transformation vous même. Sinon, adressez vous à l’assembleur micro-informatique le plus proche de chez vous (ce genre de magasin existe encore et on y est en général accueilli par des gens très compétents).

Avant de vous lancer par vous-même dans cette aventure, il faut tout d’abord réaliser une sauvegarde de tous vos fichiers importants (prudence, prudence..). Vérifiez quel type de connexion votre micro-ordinateur utilise pour raccorder le Disque Dur. Les connecteurs à la norme SATA (norme qui spécifie notamment un format de transfert de données ainsi qu’un format de câble d’alimentation) sont utilisés pour raccorder les SSD. Si la carte mère de votre micro-ordinateur ne possède pas ces connecteurs (elle utilise alors l’ancien standard ATA, avec une connectique parallèle), il existe la possibilité de connecter sur un connecteur libre de la carte mère une carte d’extension PCI qui embarque un contrôleur SATA. En générale, cette dernière option n’existe pas sur les PC portables.

  • Connecteurs SATA (un pour les données, un autre pour l’alimentation électrique)
  • Différents types de connecteurs PCI (PCI Express en haut, PCI 32 en bas)

Si vous êtes l’heureux possesseur d’un micro-ordinateur portable récent, probablement celui-ci utilise-il des connecteurs SATA M.2, différents des connecteurs SATA précédents. Pour le savoir, consultez les caractéristiques technique de votre équipement. In fine, vous le saurez de façon certaine en ouvrant la bête. Attention à la différence entre SSD M2 et SSD M2 NVME (voir photo ci-dessous)

Vous avez identifié le standard et le type de connexion qui vous sont nécessaires. Bravo, 50% du travail est fait. Maintenant passons à la partie qui concerne la sauvegarde des données et au transfert du système d’exploitation de votre ancien disque sur le nouveau. La méthode la plus triviale consiste en un clonage du disque existant. Pour réaliser ce clonage, privilégiez donc une solution Open Source: Clonezilla. Vous pouvez le télécharger sur le site clonezilla ici: Clonezilla. Choisissez la version « live » qui peut être rendue « bootable » (l’ordinateur peut alors démarrer depuis Clonezilla) sur une clé USB, ou un CD/DVD. Une fois Clonezilla live installé sur le support de votre choix, il faut démarrer l’ordinateur depuis ce support (et non plus depuis le Disque Dur). Pour cela vous devez accéder au BIOS de l’ordinateur pendant la première partie de la phase de démarrage. Ordinateur à l’arrêt, mettez en marche et appuyez sur la touche ou le jeux de touches qui donne(nt) accès au BIOS (un message brièvement affiché à l’écran signale en général quelle(s) touche(s) du clavier utiliser). Une fois que l’écran affiche les options du BIOS, choisissez la fenêtre qui donne accès aux priorités de démarrage. Modifiez l’ordre des priorités de façon à ce que le BIOS lance en premier le système présent sur le support qui contient Clonezilla live. Après ce changement de la priorité de démarrage, sauvez la nouvelle configuration du BIOS et redémarrez l’ordinateur sans oublier au préalable de connecter le support de clonezilla live (clé USB ou CD/DVD). Si tout va bien, l’ordinateur démarre alors dans une session Clonezilla. Il ne reste plus qu’à sauvegarder la totalité du disque dur sur un support externe (par exemple: un disque dur externe connectable par le port USB). Le support externe doit avoir au moins la capacité de contenir l’ensemble des informations enregistrées sur le disque à cloner. Une fois le transfert du disque sur le support externe effectué et vérifié, il ne reste plus qu’à arrêter l’ordinateur, le débrancher du secteur et procéder au remplacement du disque existant par le SSD. Après ce remplacement, redémarrez l’ordinateur, toujours à partir de Clonezilla live et procéder à la restauration depuis le support externe (celui qui contient l’image clone du disque initial). N’oubliez pas que si le SDD possède une capacité supérieure (en Go) au disque dur précédent, il faut envisager d’étendre le volume de restauration de façon à ne pas scinder le SDD en deux volumes (un premier contenant le système initial restauré et un second vierge).

Après clonage, éteindre l’ordinateur, enlevez le support de Clonezilla live de l’ordinateur et redémarrez l’ordinateur. Vous avez maintenant exactement le même système qu’avant le remplacement du disque dur mais sur une machine améliorée.

Voila.

En complément, pour ceux qui ne sont pas familiers avec la langue anglaise et qui ne maitrisent pas les notions informatiques de base, voici un mode d’emploi pas à pas de Clonezilla rédigé par les experts de « Comment ça marche » (suivez le lien). Notez que cette description pas à pas contient l’utilisation d’un logiciel de gravure de CD, et qu’il est peut-être inutile de le télécharger si vous posséder déjà un logiciel de ce type.

Remise à niveau et seconde vie

Les produits technologiques pour le grand public (Smart Phones, micro-ordinateurs, tablettes, produits connectés, etc..) ont ceci de remarquable que leur durée de vie sans panne peut dépasser les quinze ans. Mais les progrès réalisés dans la miniaturisation, les logiciels, les technologies sont tellement rapides qu’un produit est considéré obsolète bien avant sa fin de vie physique (due à panne ou mauvais entretien).

Les micro-ordinateurs sont peut-être moins impactés par cette frénésie du remplacement que les smartphones dans la mesure ou ils sont depuis plus longtemps devenus des objets de la vie courante. Il est également vrai que chacun vit maintenant avec son smartphone en permanence, ce qui est moins vrai pour le micro-ordinateur.

Quoiqu’il en soit, les utilisateurs de micro-ordinateurs sont confrontés aux phénomènes de ralentissement, échauffement, dégradation générale des performances qui ne manquent pas d’apparaitre pendant la vie normale de ce type d’équipement. Ces phénomènes apparaissent en général avant que l’équipement atteigne l’obsolescence par inadaptation de sa structure à l’évolution des interfaces, des systèmes d’exploitation et des programmes applicatifs.

Plusieurs causes, en dehors du non respect des conditions d’utilisation préconisées par le fabricant, sont à l’origine de ces phénomènes:

  1. Absence d’administration de l’équipement. Entendez par là:
    1. absence de protection contre l’utilisation inappropriée (pas de protection par mot de passe),
    2. permission laissée à l’installation de programmes dangereux (vérolés),
    3. absence de mises à jour régulières des programmes pouvant permettre l’intrusion à un attaquant lorsque l’équipement est connecté à l’internet,
    4. visite de sites WEB malveillants,
    5. ouverture de pièces jointes vérolées dans les emails, etc..
  2. Absence de maintenance. Entendez par là:
    1. absence de nettoyage des systèmes de ventilation/refroidissement,
    2. absence de diagnostic régulier de l’état des éléments « consommables », par exemple les disques durs,
    3. absence d’entretien des lecteurs optiques (lecteurs de CD DVD)
  3. Fin de vie d’éléments à durée de vie définie. Entendez par là:
    1. Panne de disque dur (durée de vie 5 ans en utilisation intense),
    2. dégradation excessive de la qualité des dissipateurs thermiques,
    3. Pile de sauvegarde BIOS CMOS déchargée,
    4. Panne de composants de qualité inappropriée (défaut de conception des circuits, très rare)

Concernant la prévention des défaillances survenant par manque d’administration et de maintenance, je ne vais pas faire une énumération et un développement des conseils de prévention. La liste ci-dessus est un bon départ pour votre propre réflexion.

Par contre dès que votre équipement est devenu difficilement utilisable (lenteur excessive, plantages fréquents, infection avec demande de rançon, etc..). Il est temps de penser à nettoyer les dégâts (supposés ou réels). Si vous avez un niveau d’expertise suffisant, vous pouvez tenter un nettoyage des infections et une remise en cohérence de votre système d’exploitation. Sinon, le recours à la ré-installation pure et dure du système d’exploitation peut s’avérer nécessaire.

C’est à ce moment de l’histoire qu’on regrette généralement de ne pas avoir faite une copie du Système d’exploitation, ni de copies des fichiers auxquels on tient. La bonne nouvelle c’est que Microsoft, dans sa grande bonté, livre maintenant avec la pré-installation de MS Windows sur le disque dur des équipements destinés au grand public une sauvegarde du Système. Elle est placée dans un volume du disque dur, que vous devez prendre soin de ne pas effacer (généralement le volume D: qui est nommé « Recovery »). Le déclenchement de la procédure de restauration est accessible à partir du menu « démarrer » puis – paramètres – mise à jour et sécurité.

Si MS Windows ne démarre plus, la procédure de restauration du Système (pour MS Windows uniquement) est accessible en alternative au démarrage normal du système à partir d’une combinaison de touches du clavier (voir les données constructeur, chaque constructeur utilisant une combinaison différente).

Si les mises à jour du système ne sont plus supportées par le fournisseur de votre équipement (quel qu’il soit), alors il est temps de changer de système et de passer à un système d’exploitation sous licence Libre (Linux ou similaire). Cette alternative va redonner du tonus à votre vieil équipement.

Si les performances de votre vieil équipement sont devenues insuffisantes pour faire tourner les programmes d’aujourd’hui, pensez à une mise à niveau matérielle. Une augmentation de la mémoire RAM, le remplacement de votre vieux Disque Dur par une unité de stockage de type SSD beaucoup plus rapide peuvent créer une belle augmentation de performance. Ces modifications sont à la portée de tout utilisateur habile et curieux. Voir à ce propos mon prochain article sur « Augmentation des performances par remplacement du Disque Dur ».

Si en dépit de tous ces conseils, vous décidez de changer votre équipement pour un micro-ordinateur flambant neuf, envisagez d’utiliser votre vieil équipement comme secours. De plus vous pouvez donner une seconde vie à votre vieil équipement en vous en servant comme serveur multimédia ou comme élément de votre chaine HiFi (voir mon article sur »La HiFi et la Video HD intégrées au réseau local »).

Voila.