Vous avez peut-être déjà entendu parlé de Undercover, ce logiciel mouchard pour Mac qui permet de recenser les infos relatives à l’IP du voleur de PC, voire de le photographier avec sa webcam. Et bien il est un logiciel équivalent sous Linux : pombo.
Présentation de Pombo
Pombo repose sur un script Python initialement proposé par Sebsauvage (vous n’avez pas décemment le droit de ne pas le comprendre) et qui a été repris et mis à jour par BoboTiG. Ce script est publié sous licence zlib/libpng et nécessite Python 2.7 et PHP 4 (ou 5) pour fonctionner.
Celui-ci collecte :
Nom du système
Adresse IP publique
Date/heure
Information sur toutes les interfaces réseau (filaires et wireless), y compris l’adresse matérielle (MAC) du point d’accès WiFi auquel l’ordinateur est connecté.
Connexions réseau en cours
Informations sur les routeurs proches
La liste de tous les points d’accès WiFi proches, avec leur adresse matérielle (MAC), leur SSID et leur puissance.
Capture d’écran
Photo par la webcam (si vous en avez une)
Le principe de fonctionnement de Pombo est simple :
Sur l’ordinateur à protéger, un script Python envoi toutes les x minutes un rapports d’état du poste (contenant un rapport txt, une copie d’écran et une capture photo faite avec la webcam).
Sur un (ou plusieurs) serveur(s) PHP dont l’accès est protégé par mot de passe, le rapport – qui a été chiffré avec une clé gpg – le fichier est enregistré.
Voici un exemple de rapport par Pombo :
Pombo 0.0.6 report ------------------------------ Computer: Linux ubuntu 2.6.28- ------------------------------ Public IP: 82.124.224.94 ------------------------------ Date/time: 2009-08-24 15:55:01 ------------------------------ Network config: eth0 Link encap:Ethernet
Rapport techniqueCapture d’écran
Photo par webcam
Teléchargement de Pombo
La dernière version de Pombo (version 0.0.7) est disponible au téléchargement ici. Pour un poste Linux, la solution pombo contient 3 fichiers à déployer : pombo.py et pombo.conf (partie client) et pombo.php (partie serveur).
Voici la procédure pour installer Pombo (testé sous Linux Mint 10 et Ubuntu 11.04, éprouvé par BoboTiG sous Debian) :
Installation des dépendances
Pour fonctionner, le script utilise, en plus de Python, les logiciel scrot (pour la capture décran), streamer (pour la capture par webcam), iw, netstat, ifconfig , traceroute (pour les informations relatives au réseau) et pngnq (pour réduire le poids des images png).
Il est donc nécessaire de commencer par installer ces différentes dépendances (même si par défaut la plupart sont déjà installée sur votre système), via ces commandes :
sudo apt-get install python scrot iw ifconfig streamer pngnq
Préparation de la partie serveur
Puis, on upload le fichier pombo.php sur son serveur web gérant le PHP.
Préparation et installation de la partie client
1. Préparation de la clé gpg
gpg --gen-key
L’assistant de création de clé va nous demander le type de clé voulue, sa taille et sa durée de vie, les options par défaut sont très suffisantes (RSA, 2048, clé n’expire pas). Puis, l’utilitaire va nous demander un nom, une adresse mail et un commentaire. Puis, enfin, va nous demander une phrase de password. Notez cette phrase, elle sera nécessaire au déchiffrement des rapports.
Remarque : il est préférable de compliquer un maximum sa phrase de mot de passe en y mêlant majuscules, minuscules et caractères spéciaux. Par exemple : Clé DE cryPTage PouR PomBo crée en 2011!!
La clé va se générer, pour l’aider, il est conseiller d’utiliser son PC (taper des mots, jouer avec la souris, etc. etc.). Une fois la création de la clé terminée, la console devrait afficher la phrase clé 6D69703B marquée comme ayant une confiance ultime où 6D69703B est le KeyID de la clé. Notez ce KeyID, il sera nécessaire pour la suite.
On va à présent exporter la clé avec la commande gpg –export 6D69703B >clefpublique.asc, cela va créer un fichier clefpublique.asc dans votre dossier home. Cette clé sera nécessaire au déchiffrement de ses archives. Il est donc nécessaire de la sauvegarder précieusement (sur un poste autre que celui à protéger, cela va de soi).
Il faut maintenant installer en root (le script s’exécutant en tant que root) avec les commandes :
sudo su gpg --import /chemin/vers/la/clé/publique.asc
(par exemple, dans mon cas : gpg –import clefpublique.asc )
2. Préparation du fichier de configuration
[DEFAULT] gpgkeyid=KeyID de la clé créée plutôt password=Mot de passe spécifié sur le fichier pombo.php serverurl=URL du fichier pombo.php - exemple : http://myserver.com/pombo.php onlyonipchange=True ou False
Si la valeur de onlyonipchange est True, le script ne créera des rapports que si vous changez d’adresse IP : lors du premier fonctionnement, le script enregistrera l’IP publique dans /var/local/pombo et ne créera ensuite les rapports que si l’IP publique est différente. Si vous utilisez un réseau publique (par exemple, accès WIFI MacDo ou d’université), il est préférable de choisir la valeur False.
Remarque : il est possible de spécifier différents serveurs en les séparant pas une virgule (sans espaces).
3. Déploiement des fichiers
A présent, nous allons copier le fichier pombo.conf dans le dossier /etc/ :
cp pombo.conf /etc/
Maintenant, on attribue au fichier pombo.py, les droits nécessaires avec la commande :
chmod +x pombo.py
Puis on le copie dans le dossier /usr/local/bin/ :
cp pombo.py /usr/local/bin/
4. Automatisation des scripts
Afin d’automatiser l’exécution des script, on crée une tâche dans la crontab. Pour cela on exécute la commande sudo crontab -e, on choisit son éditeur de texte et on insère dans la crontab la ligne suivante :
*/15 * * * * /usr/local/bin/pombo.py 2>/dev/null
5. Test de fonctionnement
Afin de s’assurer du fonctionnement du script pombo, on peut exécuter la commande suivante :
sudo -H /usr/local/bin/pombo.py
Si la console répond Server responded: File stored c’est que tout a fonctionné. Une archive zip chiffrée de quelques Ko a été uploadée sur le serveur PHP.
Déchiffrement des rapports
gpg --output nomdefichierdésiree.zip --decrypt nomdelarchivecryptee.gpg
La clé de password utilisée lors de la création de la clé sera nécessaire au déchiffrement. Cela va créer un fichier zip contenant un rapport au format txt, une copie de l’écran du poste et une photo capture faite avec la webcam.
A présent, si un voleur dérobe votre ordinateur, vous pourrez obtenir différentes informations à son sujet (où il se connecte, son bouille, etc.) que vous pourrez communiquer à la police. Peut-être alors pourrez vous récupérer votre ordinateur ou savourer la satisfaction de savoir votre cambrioleur mis en examen. Ce qui moi m’a motivé à écrire cet article; c’est les mésaventure de Weedfast. D’ailleurs, je ne peux que vous encourager à répondre à son appel aux dons (après tout j’aimerai qu’on en ferait autant pour moi dans le même cas de figure).
Je tiens à féliciter Sebsauvage et BoboTiG pour leur dur travail pour la réalisation de Pombo. D’ailleurs, ce dernier a aussi adapté Pombo sous Windows, ce qui fera l’objet d’un prochain test. Si vous trouvez cette actuelle version compliquée d’installation, sachez que pour la version 0.8 devrait intégrer un installeur. Enfin, je tiens en la circonstance à particulièrement remercier BoboTiG pour sa disponibilité et son support.
Tuto disponible en téléchargement au format PDF : [TUTO] Sécurisez son PC sous Linux avec Pombo (6)