Technologies expliquées simplement

Découvrez si quelqu'un a un accès à distance à votre PC Windows

homme louche accédant à une page de connexion avec un ordinateur portable sur la table

L’un des types de logiciels malveillants les plus dangereux est conçu pour obtenir un accès à distance au PC d’une victime, comme les chevaux de Troie d’accès à distance (RAT) et les rootkits au niveau du noyau. Ils fonctionnent silencieusement, rendant la détection difficile. Si vous êtes préoccupé par le fait que quelqu’un ait un accès à distance non autorisé à votre PC Windows, apprenez à confirmer et à supprimer la menace.

Signes d’avertissement que quelqu’un a accès à votre PC

Bien que la plupart des tentatives d’accès à distance soient silencieuses, elles présentent certains signes d’avertissement. Bien que ces signes puissent être considérés comme des problèmes Windows courants, combinés, ils peuvent constituer une preuve solide d’activité d’accès à distance.

  • Activité inhabituelle de la souris/clavier : si votre curseur se déplace de manière erratique ou que du texte est tapé sans votre intervention, cela pourrait être l’œuvre d’un outil à distance. Même lorsqu’ils ne contrôlent pas activement, ces outils peuvent causer des problèmes comme le curseur qui saute/téléporte. Ce signe peut également servir de confirmation si la souris et le clavier commencent à exécuter des tâches comme accéder à la barre d’adresse du navigateur et entrer une adresse de site web.
  • Programmes s’ouvrant et se fermant d’eux-mêmes : un hacker pourrait également envoyer des commandes pour ouvrir des applications spécifiques (comme un antivirus ou l’invite de commandes) pour contrôler davantage le système ou désactiver des fonctions de sécurité. Si vous remarquez que des programmes s’ouvrent et se ferment d’eux-mêmes, c’est un signal d’alerte.
  • Création de nouveaux comptes utilisateurs inconnus : certains acteurs malveillants peuvent essayer de créer des comptes secondaires pour avoir un accès persistant même après détection. Ils désactiveront probablement le changement d’utilisateur pour cacher les comptes de l’écran de verrouillage. Allez dans Paramètres Windows -> Comptes, et recherchez des comptes secondaires dans les sections Famille et Autres utilisateurs.

Options de comptes dans les paramètres Windows 11

  • Performance soudainement lente : l’activité de contrôle à distance consomme également beaucoup de ressources, donc vous pourriez remarquer une chute soudaine de performance. Cela vaut particulièrement la peine d’être considéré si les baisses de performance surviennent occasionnellement en raison de l’activité de contrôle à distance.
  • Le bureau à distance Windows est activé de lui-même : le bureau à distance Windows est assez vulnérable, donc les hackers l’utilisent souvent pour créer une connexion à distance. Il est désactivé par défaut, donc s’il est activé sans votre intervention, cela pourrait être l’œuvre d’un hacker. Dans les paramètres Windows, allez dans Système -> Bureau à distance et voyez s’il a été activé.

Bureau à distance désactivé dans les paramètres Windows

Comment confirmer que votre PC est accédé à distance

Si vous remarquez les signes ci-dessus, prenez les mesures nécessaires pour confirmer le soupçon. Vous pouvez suivre l’activité des composants/apps impliqués dans le processus d’accès à distance pour confirmer que quelqu’un accède à votre PC Windows. Voici quelques-unes des méthodes les plus fiables :

Vérifiez les journaux de l’Observateur d’événements Windows

L’Observateur d’événements Windows est un excellent outil intégré pour suivre l’activité des utilisateurs et aider à détecter les tentatives d’accès à distance en suivant l’activité RDP et les journaux de connexion.

Recherchez “observateur d’événements” dans la recherche Windows, et ouvrez l’Observateur d’événements.

Allez dans Journaux Windows -> Sécurité, et cliquez sur l’onglet ID d’événement pour trier les événements par ID. Recherchez tous les événements avec l’ID 4624, et vérifiez leurs détails pour vous assurer qu’il n’y a pas d’événements avec Type de connexion 10. L’ID d’événement 4624 est pour les tentatives de connexion, et le Type de connexion 10 correspond aux connexions à distance utilisant des services d’accès à distance, que les hackers peuvent utiliser.

Observateur d'événements Windows montrant l'ID d'événement

Vous pouvez également rechercher l’ID d’événement 4778, car il montre la reconnexion de session à distance. La page de détails de chaque événement vous donnera des informations d’identification importantes, comme le nom du compte ou l’adresse IP du réseau.

Suivez le trafic réseau

L’accès à distance dépend de la connexion réseau, donc suivre le trafic réseau est un moyen fiable de le détecter. Nous recommandons d’utiliser la version gratuite de GlassWire pour cela, car elle aide à suivre et à défendre automatiquement contre les connexions malveillantes.

Dans l’application GlassWire, vous verrez toutes les connexions d’applications sous la section Protection GlassWire. L’application évaluera automatiquement les connexions et signalera les connexions non fiables. Dans la plupart des cas, elle devrait être capable de détecter les connexions à distance malveillantes et de vous avertir.

Section d'évaluation de Glasswire dans l'interface principale

Au-delà des algorithmes de l’application, vous pouvez également rechercher des indices comme une utilisation élevée des données d’une application inconnue. La connexion à distance utilise des données en continu, donc cela devrait être facile à détecter.

Regardez les tâches planifiées

De nombreuses tentatives d’accès à distance sont gérées à l’aide de l’outil Planificateur de tâches dans Windows. Cela les aide à persister à travers les redémarrages du PC et à exécuter des tâches sans avoir besoin de fonctionner en continu. Si votre PC est infecté, vous devriez voir des tâches d’applications inconnues dans le Planificateur de tâches.

Recherchez “planificateur de tâches” dans la recherche Windows, et ouvrez l’application Planificateur de tâches. Dans le panneau de gauche, ouvrez Planificateur de tâches (local) -> Bibliothèque du Planificateur de tâches. Recherchez tout dossier inconnu ou suspect autre que Microsoft. Si vous en trouvez un, faites un clic droit sur la tâche et sélectionnez Propriétés.

Menu Propriétés de la tâche dans le Planificateur de tâches Windows

Dans Propriétés, parcourez les onglets Déclencheurs et Actions pour apprendre ce que fait la tâche et quand elle s’exécute, ce qui devrait suffire à comprendre si c’est mauvais. Par exemple, si la tâche exécute une application ou un script inconnu à la connexion ou lorsque le système est inactif, cela pourrait être à des fins malveillantes.

Onglets Déclencheurs et Actions des Propriétés de la tâche

Si vous ne trouvez pas de tâches suspectes, vous voudrez peut-être jeter un œil au dossier Microsoft. Il est possible qu’un logiciel malveillant sophistiqué se cache dans les dossiers système. Recherchez des tâches qui semblent suspectes, comme ayant des noms génériques comme “systemMonitor” ou des noms mal orthographiés. Heureusement, vous n’aurez pas à rechercher chaque tâche, car la plupart auront l’auteur comme Microsoft Corporation, ce qui est sûr à ignorer.

Comment arrêter l’accès à distance et sécuriser votre PC

Une fois que vous avez confirmé que quelqu’un a un accès à distance à votre PC Windows, votre première étape devrait être de vous déconnecter d’Internet afin qu’il ne puisse pas causer de dommages supplémentaires. Votre priorité devrait être le contrôle des dommages plutôt que de vous débarrasser de la menace. Par conséquent, utilisez un autre appareil pour réinitialiser les mots de passe de comptes importants, comme les comptes de messagerie, les comptes financiers, les comptes de réseaux sociaux, etc. Assurez-vous également de sauvegarder les données importantes.

Suivez les méthodes ci-dessous pour vous débarrasser du logiciel malveillant d’accès à distance :

Exécutez une analyse hors ligne de Microsoft Defender

Si votre système de sécurité est incapable de détecter ou de protéger contre cette attaque d’accès à distance, cela pourrait être un logiciel malveillant avancé, comme des rootkits ou des bootkits. L’analyse hors ligne de Microsoft Defender pourrait vous aider. Elle analysera votre PC pendant le démarrage dans un environnement sécurisé et minimal pour trouver des logiciels malveillants lorsqu’ils sont inactifs.

Pour exécuter l’analyse, recherchez “sécurité Windows” dans la recherche Windows, et ouvrez l’application Sécurité Windows.

Allez dans Protection contre les virus et menaces -> Options d’analyse, sélectionnez Microsoft Defender Antivirus (analyse hors ligne), et cliquez sur Analyser maintenant.

Exécution de l'analyse hors ligne de Windows Defender

Cela redémarrera votre PC et effectuera une analyse complète du système. Si des menaces sont trouvées, elles seront dans la section Historique de protection de l’application Sécurité Windows.

Éliminez les programmes suspects

Que l’analyse détecte quelque chose ou non, vous devriez faire un audit manuel des programmes pour vous assurer que vous n’avez pas un programme inconnu agissant comme une porte d’entrée. Dans les paramètres Windows, allez dans Applications -> Applications installées, et recherchez des applications qui ne font pas partie de Windows et que vous ne vous souvenez pas d’avoir installées. De plus, débarrassez-vous des applications d’accès à distance qui pourraient être compromises, comme TeamViewer, AnyDesk, VNC, Chrome Remote Desktop, etc.

Il est possible qu’une extension de navigateur malveillante en soit la cause. Assurez-vous de vérifier toutes les extensions et de désinstaller celles qui semblent douteuses.

Bloquez les ports d’accès à distance entrants dans le pare-feu

Si vous n’accédez pas à distance à votre PC ou ne recevez d’assistance de personne, vous pouvez bloquer les ports entrants courants pour les connexions à distance dans le pare-feu. Cela bloque les connexions à distance entrantes mais vous permet de contrôler d’autres appareils si nécessaire.

Recherchez “pare-feu Windows Defender” dans la recherche Windows, et ouvrez l’application Pare-feu Windows Defender avec sécurité avancée.

Sélectionnez Règles entrantes -> Nouvelle règle, puis Port -> Suivant. Sélectionnez TCP et fournissez l’un des numéros de port listés ci-dessous.

  • 3389 (Bureau à distance Windows)
  • 5900 (Virtual Network Computing)
  • 5938 (TeamViewer)
  • 6568 (AnyDesk)
  • 8200 (GoToMyPC)

Créer une règle entrante dans le pare-feu Windows

Sélectionnez Bloquer la connexion, et complétez la configuration pour créer les règles. Assurez-vous de donner un nom clair à la règle afin de pouvoir l’identifier plus tard. Répétez ce processus pour chaque port à bloquer.

Effectuez une installation propre de Windows si nécessaire

Si rien ne fonctionne, ou si vous ne voulez pas prendre de risques, effectuer une installation propre de Windows est une autre option. Il est extrêmement rare que des logiciels malveillants survivent à la fois à une analyse antivirus hors ligne et à une installation propre du système d’exploitation. Cependant, vous devrez sauvegarder vos données importantes, car une installation propre supprimera toutes les données de votre PC.

Consultez notre guide sur la façon d’effectuer une installation propre de Windows pour apprendre toutes les étapes pour installer Windows proprement en toute sécurité.

Ne prenez jamais de risques si vous avez des soupçons concernant l’accès au PC, qu’il s’agisse d’accès à distance ou local. Un tel contrôle entraîne toujours des problèmes de sécurité plus importants. Bien sûr, il est préférable d’empêcher que cela se produise en premier lieu, alors assurez-vous d’utiliser ces paramètres de sécurité Windows et les options avancées de Windows Defender.

Crédit image : Vecteezy. Toutes les captures d’écran par Karrar Haider.

Contenu

  1. Signes d'avertissement que quelqu'un a accès à votre PC
  2. Comment confirmer que votre PC est accédé à distance
  3. Vérifiez les journaux de l'Observateur d'événements Windows
  4. Suivez le trafic réseau
  5. Regardez les tâches planifiées
  6. Comment arrêter l'accès à distance et sécuriser votre PC
  7. Exécutez une analyse hors ligne de Microsoft Defender
  8. Éliminez les programmes suspects
  9. Bloquez les ports d'accès à distance entrants dans le pare-feu
  10. Effectuez une installation propre de Windows si nécessaire
Tableau de bord Ello

Ello : Exploration du Réseau Social Privé

Bitdefender n'installant pas : 3 solutions faciles que vous pouvez utiliser

Plus d'informations sur les corrections de Bitdefender

Google supprime Inbox et lui donne six mois à vivre

rapports-d-aspect-16x9

Comprendre les rapports d'aspect vidéo

Gestionnaire de fichiers avec des étiquettes pour organiser vos fichiers : Top 5

Réparer le réveil sur LAN qui ne fonctionne pas

Wake On LAN ne fonctionne pas sur Windows [Résolu]

easycap-mac-mspacman-console

Utiliser EasyCAP pour capturer des VHS et des consoles sur Mac

Google teste une nouvelle fonctionnalité Chrome pour l'éligibilité à la mise à niveau vers Windows 11