des ordinateurs inconnus se sont connectés à votre réseau personnel sa

[Jethro Tull]

J'ai un ordinateur portable SONY que j'utilise en solo et qui est protégé par l'antivirus Trend Micro Cillin que je mets régulièrement à jour à pratiquement chaque connection à mon Modem. J'effectue aussi régulièrement des scans.

 

 

 

En janvier 2007, mon antivirus ajouta une toute nouvelle fonctionalité: un scan anti-programmes espions. Au premier scan, il me trouva d'emblée deux ou trois programmes espions dont il me débarassa sans problème.

 

 

 

Mais depuis cette date, mon antivirus m'informe systématiquement chaque fois que je branche mon ordi sur le modem de mon fournisseur d'accès Estvidéo, par une fenêtre d'avertissement :

 

 

 

"Attention: des ordinateurs inconnus se sont connectés sur votre réseau personnel sans fil" !!!

 

 

 

Problème : je n'ai pas de réseau personnel et ni mon modem estvidéo, ni mon ordinateur Sony n'ont la fonctionalité Wifi !!!

 

 

 

Comment une telle chose est-elle possible ?

 

 

 

Mon antivirus me désigne ensuite une liste plus ou moins longue d'adresses IP dont les 6 suivantes qui apparaissent systématiquement :

 

10.146.255.254

 

213.169.163.254

 

83.141.199.254

 

62.241.107.254

 

83.141.223.254

 

10.210.127.254

 

 

 

Une douzaine d'autres adresses apparaisent épisodiquement :

 

212.95.89.254

 

212.95.83.254

 

212.95.81.254

 

212.95.78.254

 

62.241.123.254

 

62.129.185.254

 

62.241.79.254

 

62.129.171.254

 

62.129.165.254

 

83.141.183.254

 

83.141.196.129

 

83.141.192.163

 

 

 

A qui appartiennent toutes ces adresses IP ?

 

 

 

Toutes ces adresses IP ont la même adresse MAC suivante :

 

 

 

00;30;b8;c8;fd;c1

 

 

 

D'après mon fournisseur d'accès Estvidéo, il s'agirait de l'adresse MAC d'un ordinateur portable, mais qui est totalement inconnu de leur réseau...

 

 

 

Comment peut-on savoir qui se cache derrière cette adresse MAC ?

 

 

 

Le "nom de l'ordinateur" inconnu qui est connecté à mon réseau personnel sans fil est toujours : "-----".

 

 

 

Mais il est arrivé deux ou trois fois qu'il s'appelle "HERVE" juste avant de se transformer en "------".

 

Je ne connais aucun Hervé dans mon entourage et il n'y a pas non plus d'Hervé chez Estvidéo.

 

 

 

J'ai ensuite théoriquement la possibilité de refuser l'accès à ces adresses IP et MAC, sauf que la touche "refuser" ne marche pas car elle est totalement désactivée.

 

En passant par une autre fenêtre de mon antivirus, je retrouve ces données et une touche "refuser" qui marche, mais uniquement partiellement.

 

lorsque je selectionne une de ces adresses IP intrusives et que je tape sur "refuser", mon antivirus me répond quelque chose du genre (de mémoire, je n'ai plus mon ordi chez moi, car je l'ai déposé chez un ami) :

 

"Vous avez ajouté avec succès un nouveau module sur la liste..."

 

Mais en fait rien ne change, toutes ces adresses IP réapparaissent systématiquement à nouveau. C'est comme si j'avais pissé dans un violon, j'ai beau répéter la procédure.

 

Par contre, lorsque de temps en temps une toute nouvelle adresse IP intrusive apparait dans cette liste des "ordinateurs inconnus qui se sont connectés à mon réseau personnel sans fil", là çà semble marcher, car la toute nouvelle adresse IP refusée ne réapparait plus par la suite.

 

 

 

J'ai ensuite constaté le phénomène éloquent suivant:

 

Désormais, lorsqu'une toute nouvelle adresse IP, que je ne connais pas encore, apparait sur cette liste des "ordinateurs inconnus qui se sont connectés sur mon réseau personnel sans fil", l'ordinateur en question a alors subitement un autre nom que "-----"et qui est soit mon prénom, soit mon nom de famille, soit le n° de série de mon ordi précédé du mot 'NOM' dans le nom même !

 

Le n° de série de mon ordi est par exemple : XXXL

 

on aura alors : "Nom de l'ordinateur : NOM-XXXL"

 

 

 

S'agit-il d'un hacker qui se paie ma tête afin que j'accepte cette nouvelle adresse IP sur mon antivirus, puisqu'elle porte soit mon prénom comme nom d'ordinateur, soit mon nom de famille, soit le n° de série de mon ordi précédé du mot "NOM" dans le nom même ?

 

Quant à l'adresse MAC, elle peut désormais également être différente de celle déjà citée.

 

 

 

trois exemples concrets :

 

"Des ordinateurs inconus se sont connectés sur mon réseau personnel sans fil"

 

puis on trouvera les adresses IP et MAC habituelles et dans le lot on trouve la toute nouvelle adresse IP suivante :

 

 

 

adresse IP : 213.169.161.160 (première apparition)

 

Nom de l'ordinateur : "PHILIPPE" (c'est mon prénom, qui n'apparait pas dans mon adresse mail, comment le connaît-il ?)

 

adresse MAC : 08;00;46;6f;1e;bb (une nouvelle adresse MAC inconnue)

 

 

 

et

 

 

 

adresse IP : 83.141.199.173 (première apparition)

 

Nom de l'ordinateur : (cette fois c'est mon nom de famille)

 

adresse MAC : 08;00;46;6f;1e;bb

 

 

 

et

 

adresse IP : 213.169.162.78

 

Nom de l'ordinateur : (NOM-XXXL)

 

adresse MAC : 08;00;46;6f;1e;bb

 

 

 

J'ai également eu droit à la nouvelle adresse IP suivante :

 

 

 

adresse IP: 192.168.100.1

 

adresse MAC : 00;0f;9f;15;cb;11 (une troisième adresse MAC inconnue)

 

 

 

a qui appartiennent ces 3 nouvelles adresses IP et ces 3 adresses MAC ?

 

 

 

213.169.161.160

 

83.141.199.173

 

192.168.100.1

 

 

 

08;00;46;6f;1e;bb

 

00;0f;9f;15;cb;11

 

00;30;b8;c8;fd;c1

 

 

 

Que faut-il penser de tout celà et comment savoir ce qui se cache derrière tout çà ?

[pear]

Bonsoir,

 

Beaucoup de ces Ip appartiennent à Eastvidéo.

Voici un lien qui vous permet de le vérifier

http://news.nic.com/cgi-bin/whois.

 

Vous pouvez aussi être victime d'un détournement de DNS:

Postez un rapport Hijackthis

 

Téléchargez Hijackthis de TrendMicro.

* Décompressez le dans un dossier à la racine du disque dur(généralement C:\)

Mais jamais dans un dossier temporaire

renommer ce dossier par exemple Karcher

Sous Vista,,il faut faire clic-droit >> "Exécuter en tant qu'Administrateur" sur Hijackthis.exe sinon HJT tourne mais ne fixe rien.

* Lancer le fichier Hijackthis.exe

* Cliquer sur Do a system scan and save a log file

* Poster le rapport dans un nouveau message

[Pang]

Bonsoir,

 

le modem de mon fournisseur d'accès Estvidéo

Tu es connecté par une ligne adsl classique ou il s'agit d'un modem câble ?

[Jethro Tull]

Super, merci beaucoup pour ces réponses,

 

 

 

"Tu es connecté par une ligne adsl classique ou il s'agit d'un modem câble ?"

 

Estvidéo est un opérateur du câble, qui a d'ailleurs récemment fusionné avec Numéricable. J'ai la télé, le téléphone et internet par le cable.

 

 

 

"http://news.nic.com/cgi-bin/whois." C'est très intéressant, merci, je ne connaissais pas ce site.

 

 

 

Un autre ami m'a signalé le site Geobytes qui permet de localiser géographiquement les adresses IP aussi que le site RIPE qui permet également de connaître leur propriétaires

 

La plupart de ces adresses IP intrusives sont localisées en Suisse (Basel Stadt), mais certaines sont "UNABLE TO LOCATE"...

 

Parmi les adresses IP intrusives épisodiques, certaines sont localisées à Nancy, à Mulhouse et une à Strasbourg (chez moi). Cette dernière me semble particulièrement intéressante car elle appartient à la société "Sdv Plurimédia", j'y reviendrai...

 

 

 

Mais comment des adresses IP basées en Suisse peuvent-elles se connecter sur "mon réseau personnel sans fil", alors que je n'ai pas de réseau personnel et que ni mon ordinateur, et ni mon modem estvidéo n'ont la fonctionalité Wifi ?

 

 

 

Et comment fait-on pour identifier les 3 adresses MAC ?

 

 

 

Qu'est-ce qu'un "détournement de DNS" ? Désolé, je suis un béocien en informatique, mais je peux apprendre.

 

 

 

J'ai en outre constaté le phénomène très étrange suivant.

 

 

 

Au tout début de 2007, le scan général de mon antivirus Trend Micro Cillin marchait très bien, selon la procédure suivante

 

1) recherche des failles Microsoft

 

2) scan anti-programmes espions

 

3) scan anti-virus

 

 

 

Mais par la suite, en passant de la phase 1) au 2), le scan anti-programmes espions scannais subitement indéfiniment dans le vide, sans qu'aucun programme ne défile. En fait, il ne scannait plus rien du tout. Je ne pouvais pas non plus faire un scan exclusif "anti-programmes espions". J'ai dû éteindre et rallumer mon ordi plus d'une dizaine de fois avant que le "scan anti-programmes espions" se remis de nouveau en marche (mais sans rien trouver d'anormal). C'est arrivé maintes fois.

 

 

 

En explorant mon antivirus, j'ai découvert qu'il existait une rubrique "liste des exceptions au scan anti-programmes espions".

 

Et en voulant ouvrir cette fenêtre, stupefaction ! , voila que mon antivirus me demande carrément un mot de passe....

 

Or je n'avais alors défini aucun mot de passe sur mon antivirus, étant le seul à me servir de mon ordinateur. (Kollosale erreur...)

 

 

 

J'ai donc fini par créer mon propre mot de passe sur mon antivirus. Celui-ci me permettait effectivement d'ouvrir normalement toutes les fenêtres, sauf celle de la "liste des exceptions au scan anti-programmes espions"...

 

réponse : "mot de passe erroné"

 

J'ai ensuite changé plusieur fois de mot de passe, mais avec toujours le même résultat.

 

 

 

Beaucoup plus vicieux :

 

 

 

En revenant sur la "page générale" de mon antivirus, j'ai remarqué avec stupeur que le simple fait d'avoir voulu ouvrir la "liste des exceptions au scan anti-programmes espions" désactivait automatiquement la totalité des protections de mon antivirus, et ce sans prévenir !!!!

 

 

 

Heureusement que mon ordinateur était alors déconnecté. Si j'avais fait cela avec mon ordi branché à mon modem, j'aurai pu complètement le planter, d'autan que quelques mois auparavant, mon ordi avait subi un véritable bombardement viral.

 

Pendant plusieur semaines, le simple fait de brancher mon ordi sur mon modem, obligeait mon antivirus à arrêter de 6 à 8 virus à la minute... C'était très stressant. Il va de soit que la première chose que je faisais à chaque connexion, était de me précipiter à télécharger illico les mises à jour de Trend Micro Cillin et d'effectuer régulièrement des scans (qui ne trouvaient rien d'anormal). Par la suite, çà s'est subitement calmé.

 

 

 

J'ai alors envoyé un mail à un ami qui s'y connaît mieux en informatique pour lui expliquer le phénomène anormal du "mot de passe" inconnu pour ouvrir "la liste des exceptions au scan anti-programmes espions". Mais il n'a pas dû être le seul à lire ce mail, car quelques jours plus tard, j'ai eu un plantage complet de mon ordinateur. Ce même ami m'a alors récupéré mes documents et m'a tout réinstallé. Il n'y avait alors plus de mot de passe intrusif pour ouvrir cette fameuse "liste des exceptions au scan anti-programmes espions", dont le contenu était vide.

 

On n'a donc jamais su ce qu'il y avait dedans auparavant.

 

 

 

Ce n'est pas terminé.

 

 

 

Quelques semaines plus tard, mon antivirus m'informait subitement à chaque connexion à mon modem :

 

 

 

votre connexion internet a été modifiée:

 

IP : 83.141.199.254

 

passerelle : 00;30;b8;c8;fd;c1

 

accepter/annuler

 

 

 

J'ai toujours annulé, car je ne voyais pas pourquoi ma connexion aurait été subitement modifiée (par qui, pourquoi ?)

 

La connexion revenait alors à la configuration précédente qui marchait très bien. Mais un beau jour, cette modification m'a probablement été imposée, car je n'ai plus eu cette fenêtre.

 

 

 

Entre temps, et après plusieurs autres péripéties, je ne peux plus me connecter à internet, ni à ma messagerie

 

Diagnostique : mon cache ARP a été vidé (par qui? pourquoi ?)

 

Que faut-il en conclure ?

 

Salut et bon dimanche