Retrouver un portable volé. (du moins essayer)

Bonsoir à tous,

On vole votre laptop. Pas de chance, mais ça arrive malheureusement tous les jours. Vous aimeriez retrouver le (ou la) salop… qui vous l’a piqué. Peut-être que si vous aviez l’adresse IP de l’indélicat vous auriez quelques maigres chances de la récupérer avec l’aide des forces de police. On peut rêver. Mais vous pourriez également tenter de reprendre la main sur cette machine.

Il suffit faire un petit script bash sur vos machines qui envoie silencieusement à un site distant l’IP du moment. Si, consulté sur le statut de cette machine, ce site renvoie un statut “Volé”, le script peut embrayer sur d’autres choses comme prendre une photo - si webcam installée - et la transférer par sur votre site ftp ou ouvrir un port qui vous permettrait de tenter de reprendre le contrôle.

Bien sûr, il faut encore que le voleur allume votre machine et se connecte à internet avant de reformater votre dd. On peut supposer (espérer) qu’une bonne partie des indélicats cherchera d’abord à récupérer des informations ou données utiles. Et s’il est connecté, le mouchard enverra son IP.

J’ai installé ce type de script sur mes machines de mon parc (Linux et Mac). Ça semble fonctionner. Je viens de passer le WE à modifier mon site pour permettre à tout un chacun d’en profiter. Il suffit se se créer un compte et d’installer un script bash.

Voulez-vous me donner votre avis sur la méthode, l’utilité et la fonctionnalité du site et sur les choses à améliorer?

Désolé mais le site est en anglais. J’habite un pays où il faut faire tout en deux langues et je trouvais plus facile de le faire en anglais pour cette raison. La version FR est en cours mais le WE est quasi fini.

En version test. Si vous trouvez que ça vaut le coup, je pourrais mettre ça sur un site dédié.

lumadis.be/trace_ip/index.php

[quote=“ripat”]Bonsoir à tous,

[…]
Il suffit faire un petit script bash sur vos machines qui envoie silencieusement à un site distant l’IP du moment. Si, consulté sur le statut de cette machine, ce site renvoie un statut “Volé”, le script peut embrayer sur d’autres choses comme prendre une photo - si webcam installée - et la transférer par sur votre site ftp ou ouvrir un port qui vous permettrait de tenter de reprendre le contrôle.
[…]

[/quote]

Ça a déjà été réalisé. Quelqu’un avait écrit un programme prenant à intervalle régulier une photo, via la webcam du portable, et la publiant sur le net. Le portable fût volé, et le coupable arrêté quelques temps après grâce à cette méthode. La victime avait reconnu le visage du voleur, qui était une personne de son entourage. Je crois avoir entendu cette histoire à la TV. :smt003

Je pense que la première chose qu’un “petit malin” qui va voler ton portable va faire va être de réinstaller un nouveau système par dessus, ou de booter sur une distrib live pour éviter les “pièges” s’il y a matière à exploiter des données.

Ceci dit : je pense qu’à moins que l’on n’ait un job requérant une grande confidentialité, nos photos de vacances n’intéressent que nous et surtout, si on est dans une position ou il est critique de se faire voler sa machine, on y fait le plus souvent très attention et, quand bien même cela ne suffirait pas, on a souscrit (ou la boite qui t’emploie), un service “antivol” pour portables comme il en existe maintenant.

Perso, si je “taxais” une machine, mon premier réflexe serait de me dire de ne pas la laisser se connecter au net, en tout cas pas avant de l’avoir inspectée et installé mon propre système dessus … M’enfin c’est sans doute parce que je suis au contact de machines toute l’année même si ce n’est toujours pas mon gagne pain ^^.

quan je me suis fait piqué mon premier Nil, (AU LABO!!) il n’avait que 2 ou 3 mois. La premiere chose qui m’a demandé la police était s’il y avait des données “dangereuses” c’est à dire, si mes recherches étaient sur des trucs genre armement, guerre biologique et tout celà.

Sinon, la deuxiéme chose qu’on m’a dit est que surement on ne va jamais le retrouver du fait que la plus part de machines volés sont directement démontés et vendues par pieces detachés.

J’aurai bien aimé avoir un truc comme celà, mais surement n’aurait servi à rien. Dommage.

C’est clair qu’un voleur organisé prend toutes les précautions mais le sont-ils tous?

Je suis en train d’installer la version FR mais le serveur FTP rame abominablement ce matin. Le site risque de planter tant que tous n’est pas transféré. Patience donc.

Hum, oui, le principe est sympa mais innexploitable à moins que tu n’ai aucune protection

Si tu utilise un mot de passe :
1 - Le voleur n’aime pas linux, il te fout un windows dessus
2 - Le voleur va plutot utiliser un liveCD qui n’utilisera pas ton outil.

De plus, si les choses sont correctements faites sur ton laptop, tu utilise un mot de passe bios et tu interdis le boot sur un périférique. Donc, à moins de connaitre les mots de passe constructeur, le pc à de fortes chances d’être vendu en pièces détachées.

Bien sûr.

Mon truc ne marchera que si le voleur rentre chez lui, allume la machine, pour voir… S’il est connecté à internet (WiFi ou cable) le mouchard parlera même si les sessions graphiques sont protégées par mot de passe. Le script s’exécutera même sans login linux.

Tout est basé sur la curiosité et l’inexpérience du voleur. Scénario pas si impossible que ça. Je connais plusieurs cas où un laptop Windows volé et apparu brièvement sur msn.

Dans tous les autres cas, c’est cuit.

bah mes machines gèrent toutes leur propre domaine dyndns, afin de faciliter la prise en main à distance éventuelle.
Donc pas vraiment forcé de se casser les pieds pour sortir des photos du voleur, si tu sais sous quel ip la machine a démarré la dernière fois, déjà, ça aide.

c’est pas bête ton système, ripat
c’est vrai qu’il faut que le type qui vole le portable 1)ne démarre pas un autre système 2)connecte la machine à internet, mais il y a toujours des moyens de contourner…

1. désactivation du boot sur cd/usb/floppy dans le BIOS, protection de BIOS par mot de passe, protection de Grub par mot de passe, etc.
2. avec la multiplication des hotspots (neuf, fon, …) et des accès 3G, je pense qu’il doit être possible de forcer le portable à se connecter silencieusement au premier réseau disponible.
   reste plus qu’à mettre des mots de passe forts à tous les comptes systèmes et utilisateurs pour pas que le mec ouvre de session et que le script puisse continuer à nous envoyer sa tronche et son IP ( des fois que les enquêteurs en ai quelque chose à faire )

P.S.: en parlant de mots de passe “forts”, fran.b, si tu passes par là, aurais-tu une idée de combien de temps pourrait tenir un pass de 12 caracères (majuscules, minuscules, chiffres et caractères spéciaux) face à John ? c’est sur mon portable justement, donc je me vois pas laisser tourner John 3 semaines ^^

Les mots de passe de plus de 10 lettres craqués par john sont les suivants:

[quote]basketball
porsche911
thunderbird
california
cannondale
jethrotull
prometheus
rastafarian
roadrunner
strawberry
christopher
cunningham
enterprise
hellohello
newaccount
nightshadow
revolution
tinkerbell
winniethepooh
[/quote] Sur la session en cours, il en a trouvé 7 le deuxième jour, 3 le second, 4 le 3ième (en cours)… L’essai précédent, il avait tourné 133 jours au moins. 12 lettres avec Majuscules minuscules et chiffres est pour moi introuvable sauf si c’est un truc bidon…

[quote=“mattotop”]bah mes machines gèrent toutes leur propre domaine dyndns, afin de faciliter la prise en main à distance éventuelle.
Donc pas vraiment forcé de se casser les pieds pour sortir des photos du voleur, si tu sais sous quel ip la machine a démarré la dernière fois, déjà, ça aide.[/quote]

Quand tu as plusieurs machines derrière un router, tu affectes la même IP à chacun des dyndns, c’est ça?

machine1.dyndns.org --> IP 123.123.123.123 machine4.dyndns.org --> IP 123.123.123.123 machine3.dyndns.org --> IP 123.123.123.123

Je pousse mon raisonnement plus loin. Le voleur pique la machine. S’installe dans un réseau d’entreprise. La mise à jour du dyndns révélera l’IP du router de l’entreprise. Pas l’IP interne si j’ai bien suivi. Dans mon système, on pourrait imaginer que le script envoie également l’IP interne.

De plus, toujours dans le contexte du voleur derrière un router qui bloque les connexion ssh entrantes, on ne peut plus reprendre la main. Alors qu’on peut supposer que le mouchard de la machine pourra toujours envoyer des infos en sortie.

c’est un pass créé par un générateur, donc pas un mot du dictionnaire, qui n’a aucune signification et totalement imprononçable. rien de bidon donc
je crois que je peux considérer mon password comme sûr.
merci fran.b :smt002

[quote=“ripat”][quote=“mattotop”]bah mes machines gèrent toutes leur propre domaine dyndns, afin de faciliter la prise en main à distance éventuelle.
Donc pas vraiment forcé de se casser les pieds pour sortir des photos du voleur, si tu sais sous quel ip la machine a démarré la dernière fois, déjà, ça aide.[/quote]

Quand tu as plusieurs machines derrière un router, tu affectes la même IP à chacun des dyndns, c’est ça?

machine1.dyndns.org --> IP 123.123.123.123 machine4.dyndns.org --> IP 123.123.123.123 machine3.dyndns.org --> IP 123.123.123.123 [/quote]
tant que les machines sont sur le même réseau elles auront la même IP publique (celle du routeur), mais si l’une d’elle est volée le dyndns prendra l’IP publique du réseau sur lequel la machine sera connectée ( celui du méchant voleur en l’occurrence )

je vois pas trop l’intérêt d’envoyer également l’IP interne au réseau, mis à part peut-être dans un réseau d’entreprise composé de plusieurs sous réseaux…

là c’est fort possible, encore que j’ai déjà vu des admins réseau tellement paranos qu’ils bloquaient tout, même en sortie… mais c’est loin d’être le cas partout, enfin je pense

J’ai mis la version française en ligne. Infomaniak rame un peu moins cette après-midi.
lumadis.be/trace_ip/index.php

quote="ripat"
Je pousse mon raisonnement plus loin. Le voleur pique la machine. S’installe dans un réseau d’entreprise. La mise à jour du dyndns révélera l’IP du router de l’entreprise. Pas l’IP interne si j’ai bien suivi. Dans mon système, on pourrait imaginer que le script envoie également l’IP interne.

De plus, toujours dans le contexte du voleur derrière un router qui bloque les connexion ssh entrantes, on ne peut plus reprendre la main. Alors qu’on peut supposer que le mouchard de la machine pourra toujours envoyer des infos en sortie.[/quote] Ah oui, tu as raison, on peut toujours faire mieux, par exemple en mettant un openvpn qui se connecte sur un serveur central (et aprés, dés que tu vois le tuyau se connecter, tu te connectes à l’adresse vpn interne de la machine distante. Je parlais juste de ce qu’on pouvait faire minimal à peu de frais.

C’est pas idiot le coup du VPN, il y a juste à gérer le cas où le réseau de ton VPN coïncide avec le réseau d’où la machine se connecte…

D’autant plus que ce n’est pas une pratique inutile pour un parc maison, même en dehors des cas de vol.

Ben oui mais si ton réseau maison est 192.168.1.0/24 et que tu mets un VPN. Tu vas dehors sur un réseau qui est aussi 192.168.1.0/24, le VPN ne va pas fonctionner et pire tu flingues la connexion réseau [en fait, ça m’est arrivé récemment et j’ai du me bricoler des alais pour changer de réseau, ça a été assez moche mais je n’ai pas trouver d’autres méthodes…]

Il y a quand même un paquet d’autres réseaux à utiliser. On peut éviter déjà le 10.0.0.0/8 et le 192.168.[0,1,138].0/24 qui sont large utilisés, et en tapant surtout dans le 172.[16-32].0.0/16, on est à peu prés sûr d’éviter les conflits.

Et 17, 37, 47, par exemple sont de bon nombres à utiliser pour se distinguer, psychologiquement, mieux que 1,3,7,11, 128 ou 254 (pour ce qui nous interresse). Sauf que maintenant que je les ai cités, on va y penser plus comme choix, donc ça sera moins vrai.

Hum, c’est vrai, ça ne règle pas mon souci (j’ai mis le VPN en bridge…) mais pour le pbm du vol, ça règle les soucis. Par contre il faut choisir sur quel port tu écoutes le VPN, sur des campus universitaires ou de grandes écoles, souvent l’UDP est largement controlé (pour stopper les jeux en réseau), sur un campus, je n’ai trouvé que les ports IMAP/ POP3 et POP3-SSL en tcp qui était ouvert en sortie (j’avais fait un script pour voir quel port était ouvert, c’était impressionnant, tout était bloqué). On peut imaginer qu’un port POP3 ou POP3-SSL est toujours ouvert pour qu’on puisse chercher son courrier, faire écouter le VPN sur le POP3-SSL (995) doit marcher à peu près partout même dans un contexte parano.