Surveiller les sites Web cachés et les connexions Internet

Vous pouvez être à peu près sûr que votre ordinateur est connecté au serveur hébergeant mon site Web pendant que vous lisez cet article, mais en plus des connexions évidentes aux sites ouverts dans votre navigateur Web(web browser) , votre ordinateur peut se connecter à toute une série d'autres serveurs. qui ne sont pas visibles.

La plupart du temps, vous ne voudrez vraiment rien faire d'écrit dans cet article car cela nécessite de regarder beaucoup de choses techniques, mais si vous pensez qu'il y a un programme sur votre ordinateur qui ne devrait pas être là pour communiquer secrètement sur Internet , les méthodes ci-dessous vous aideront à identifier tout ce qui est inhabituel.

Il convient de noter qu'un ordinateur exécutant un système d'exploitation tel(operating system) que Windows avec quelques programmes installés finira par établir de nombreuses connexions avec des serveurs externes par défaut. Par exemple, sur ma machine Windows 10 après un redémarrage et sans programme en cours d'exécution, plusieurs connexions sont établies par Windows lui-même, notamment OneDrive , Cortana et même la recherche sur le bureau. Lisez mon article sur la sécurisation de Windows 10 pour en savoir plus sur les moyens d'empêcher Windows 10 de communiquer trop souvent avec les serveurs Microsoft .

Il existe trois façons de surveiller les connexions que votre ordinateur établit avec Internet : via l' invite de commande(command prompt) , en utilisant Resource Monitor ou via des programmes tiers. Je vais mentionner l' invite de commande(command prompt) en dernier car c'est la plus technique et la plus difficile à déchiffrer.

Moniteur de ressources

Le moyen le plus simple de vérifier toutes les connexions établies par votre ordinateur consiste à utiliser Resource Monitor . Pour l'ouvrir, vous devez cliquer sur Démarrer(Start) puis taper  moniteur de ressources(resource monitor) . Vous verrez plusieurs onglets en haut et celui sur lequel nous voulons cliquer est Réseau(Network) .

moniteur de ressources

Sur cet onglet, vous verrez plusieurs sections avec différents types de données : Processus avec activité(Processes with Network Activity) réseau , Activité réseau(Network Activity) , Connexions TCP( TCP Connections) et Ports d'écoute( Listening Ports) .

processus de surveillance des ressources

Toutes les données répertoriées dans ces écrans sont mises à jour en temps réel. Vous pouvez cliquer sur un en-tête dans n'importe quelle colonne pour trier les données par ordre croissant ou décroissant. Dans la section Processus avec activité réseau (Processes with Network Activity ) , la liste comprend tous les processus qui ont tout type d' activité réseau(network activity) . Vous pourrez également voir la quantité totale de données envoyées et reçues en octets par seconde pour chaque processus. Vous remarquerez qu'il y a une case à cocher vide à côté de chaque processus, qui peut être utilisée comme filtre pour toutes les autres sections.

Par exemple, je n'étais pas sûr de ce qu'était nvstreamsvc.exe , alors je l'ai vérifié, puis j'ai regardé les données dans les autres sections. Sous Activité réseau(Network Activity) , vous souhaitez consulter le champ Adresse(Address)  , qui devrait vous donner une adresse IP(IP address) ou le nom DNS(DNS name) du serveur distant.

moniteur de ressources de processus de filtrage

En soi, les informations ici ne vous aideront pas nécessairement à déterminer si quelque chose est bon ou mauvais. Vous devez utiliser certains sites Web tiers pour vous aider à identifier le processus. Tout d'abord, si vous ne reconnaissez pas un nom de processus(process name) , allez-y et recherchez -le en utilisant le nom complet, c'est- à -dire (nvstreamsvc.exe)nvstreamsvc.exe(Google) .

recherche de processus

Toujours, cliquez sur au moins les quatre à cinq premiers liens et vous aurez instantanément une bonne idée de savoir si le programme est sûr ou non. Dans mon cas, c'était lié au service de streaming NVIDIA(NVIDIA streaming) , qui est sûr, mais pas quelque chose dont j'avais besoin. Plus précisément, le processus consiste à diffuser des jeux depuis votre PC vers le NVIDIA Shield , que je n'ai pas. Malheureusement, lorsque vous installez le pilote NVIDIA(NVIDIA driver) , il installe de nombreuses autres fonctionnalités dont vous n'avez pas besoin.

Étant donné que ce service fonctionnait en arrière-plan, je n'ai jamais su qu'il existait. Il n'apparaissait pas dans le panneau GeForce(GeForce panel) et j'ai donc supposé que le pilote venait d'être installé. Une fois que j'ai réalisé que je n'avais pas besoin de ce service, j'ai pu désinstaller certains logiciels NVIDIA(NVIDIA software) et me débarrasser du service, qui communiquait tout le temps sur le réseau, même si je ne l'utilisais jamais. C'est donc un exemple de la façon dont l'exploration de chaque processus peut vous aider non seulement à identifier les logiciels malveillants potentiels, mais également à supprimer les services inutiles qui pourraient éventuellement être exploités par des pirates.

Deuxièmement, vous devez rechercher l' adresse IP ou le nom DNS(IP address or DNS name) répertorié dans le champ Adresse(Address) . Vous pouvez consulter un outil comme DomainTools , qui vous donnera les informations dont vous avez besoin. Par exemple, sous Network Activity , j'ai remarqué que le processus steam.exe(steam.exe process) se connectait à l'adresse IP 208.78.164.10(IP address 208.78.164.10) . Lorsque j'ai branché cela dans l'outil mentionné ci-dessus, j'ai été heureux d'apprendre que le domaine est contrôlé par Valve , qui est la société propriétaire de Steam .

adresse ip whois

Si vous voyez qu'une adresse IP(IP address) se connecte à un serveur en Chine ou en Russie(China or Russia) ou dans un autre endroit étrange, vous pourriez avoir un problème. Googler le processus vous mènera normalement à des articles sur la façon de supprimer le logiciel malveillant.

Programmes tiers

Resource Monitor est génial et vous donne beaucoup d'informations, mais il existe d'autres outils qui peuvent vous donner un peu plus d'informations. Les deux outils que je recommande sont TCPView et CurrPorts . Les deux se ressemblent à peu près, sauf que CurrPorts vous donne beaucoup plus de données. Voici une capture d'écran de TCPView :

tcpview

Les lignes qui vous intéressent le plus sont celles dont l'état (State)est(ESTABLISHED) ESTABLISHED . Vous pouvez cliquer avec le bouton droit sur n'importe quelle ligne pour terminer le processus ou fermer la connexion. Voici une capture d'écran de CurrPorts :

cours

Encore une fois, regardez les connexions ÉTABLIES(ESTABLISHED) lorsque vous parcourez la liste. Comme vous pouvez le voir dans la barre de défilement en bas, il y a beaucoup plus de colonnes pour chaque processus dans CurrPorts . Vous pouvez vraiment obtenir beaucoup d'informations en utilisant ces programmes.

Ligne de commande

Enfin, il y a la ligne de commande(command line) . Nous utiliserons la commande netstat pour nous donner des informations détaillées sur toutes les connexions réseau actuelles sorties dans un fichier TXT(TXT file) . Les informations sont essentiellement un sous-ensemble de ce que vous obtenez de Resource Monitor ou des programmes tiers, elles ne sont donc vraiment utiles que pour les techniciens.

Voici un exemple rapide. Tout(First) d'abord , ouvrez une invite de commande administrateur et tapez(Administrator command prompt and type) la commande suivante :

netstat -abfot 5 > c:\activity.txt

commande netstat

Attendez(Wait) environ une minute ou deux, puis appuyez sur CTRL + C sur votre clavier pour arrêter la capture. La commande netstat ci-dessus capture essentiellement toutes les données de connexion réseau(network connection) toutes les cinq secondes et les enregistre dans le fichier texte(text file) . La partie – abfot est un ensemble de paramètres permettant d'obtenir des informations supplémentaires dans le fichier. Voici ce que signifie chaque paramètre, au cas où vous seriez intéressé.

aide de la commande netstat

Lorsque vous ouvrez le fichier, vous verrez à peu près les mêmes informations que celles que nous avons obtenues des deux autres méthodes ci-dessus : nom du processus(process name) , protocole, numéros de port local et distant, IP Address/DNS name , état de la connexion(connection state) , ID du processus, etc. .

sortie netstat

Encore une fois(Again) , toutes ces données sont une première étape pour déterminer si quelque chose de louche(something fishy) se passe ou non. Vous devrez faire beaucoup de recherches sur Google(Googling) , mais c'est le meilleur moyen de savoir si quelqu'un vous espionne ou si un logiciel malveillant envoie des données de votre ordinateur à un serveur distant. Si vous avez des questions, n'hésitez pas à commenter. Prendre plaisir!



About the author

Je suis un expert en informatique avec plus de 10 ans d'expérience dans l'industrie des logiciels et des navigateurs. J'ai conçu, construit et géré des installations complètes de logiciels, ainsi que développé et maintenu des navigateurs. Mon expérience me donne la capacité de fournir des explications claires et concises sur des sujets complexes - qu'il s'agisse du fonctionnement de Microsoft Office ou de la manière de tirer le meilleur parti de Mozilla Firefox. En plus de mes compétences en informatique, je suis également un écrivain adepte et je peux communiquer efficacement en ligne et en personne.



Related posts