Pages : 1
#1 Le 28/07/2020, à 17:47
- Mister Goo
[Résolu] Connexions Sortantes Incontrolables
Bonjour,
J aimerai un avis pour determiner si il s'agit d'un problème de sécurité ou bien d'autre chose.
Lorsque je lance mon navigateur principal firefox plusieurs dizaine de connexions tcp s'ouvrent et mon ip locale envoie des paquets vers des serveurs google, amazone, automattic et bien d'autres.
J'ai installer la pile LAMP sur mon ubuntu 18.04 et j ai installé wordpress multisite local, dolibarr, glpi, un sitetest...
Je soupconne notamment wordpress de se connecter a travers mon serveur local Apache2 et firefox et d envoyer des données a tous ses partenaires meme si je ne l'invite pas.
Est ce possible ? Quel type de données sont envoyées depuis mon pc? Comment controler cela?
Pour visualiser les connexions je lance la commande
sudo watch -n 5 netstat -ptalno4mais souvent je ne peut pas tout voir car l'ecran de la console ne me permet pas de faire defiler les lignes.
Ci dessous c'est un export en csv fait depuis la console d'administration de la box qui liste toutes le connexions de mon pc (59 connexions) quelques minutes apres avoir lancer firefox... Je devais avoir 3 ou 4 onglets ouverts dans mon navigateur a ce moment la.
Hôte IP Sens Port source Port dest. Nom de domaine Timeout
HP-630-Notebook-PC 157.240.195.35 sortant 53726 443 facebook.com 7429
HP-630-Notebook-PC 13.225.239.8 sortant 55906 443 cloudfront.net 7401
HP-630-Notebook-PC 142.250.13.154 sortant 58126 443 7429
HP-630-Notebook-PC 161.71.16.187 sortant 53938 443 siteforce.com 61
HP-630-Notebook-PC 35.244.245.222 sortant 44112 443 googleusercontent.com 7427
HP-630-Notebook-PC 85.222.155.67 sortant 46324 443 salesforce.com 7445
HP-630-Notebook-PC 52.23.41.17 sortant 49196 443 amazonaws.com 119
HP-630-Notebook-PC 172.217.18.232 sortant 43374 443 1e100.net 7450
HP-630-Notebook-PC 34.246.166.31 sortant 49880 443 amazonaws.com 7447
HP-630-Notebook-PC 185.33.220.240 sortant 35420 443 adnexus.net 102
HP-630-Notebook-PC 52.23.41.17 sortant 49204 443 amazonaws.com 119
HP-630-Notebook-PC 52.41.191.53 sortant 34958 443 amazonaws.com 7324
HP-630-Notebook-PC 34.250.130.68 sortant 33472 443 amazonaws.com 7446
HP-630-Notebook-PC 23.56.176.163 sortant 32900 443 akamaitechnologies.com 7428
HP-630-Notebook-PC 185.33.220.240 sortant 35416 443 adnexus.net 103
HP-630-Notebook-PC 172.217.18.226 sortant 44328 443 1e100.net 7428
HP-630-Notebook-PC 15.188.106.218 sortant 44042 443 amazonaws.com 7402
HP-630-Notebook-PC 172.217.171.206 sortant 45790 443 1e100.net 7429
HP-630-Notebook-PC 35.244.231.49 sortant 59506 443 googleusercontent.com 7394
HP-630-Notebook-PC 194.158.122.111 sortant 45446 443 bouyguestelecom.fr 67
HP-630-Notebook-PC 172.217.18.230 sortant 46044 443 1e100.net 7428
HP-630-Notebook-PC 216.58.212.98 sortant 46884 443 1e100.net 7428
HP-630-Notebook-PC 172.217.18.35 sortant 60356 443 1e100.net 7429
HP-630-Notebook-PC 104.83.83.34 sortant 56342 443 akamaitechnologies.com 7427
HP-630-Notebook-PC 194.158.122.199 sortant 44578 443 91
HP-630-Notebook-PC 52.23.41.17 sortant 49206 443 amazonaws.com 118
HP-630-Notebook-PC 13.225.239.8 sortant 55824 443 cloudfront.net 7426
HP-630-Notebook-PC 104.85.41.176 sortant 48382 443 akamaitechnologies.com 7449
HP-630-Notebook-PC 35.227.225.140 sortant 57672 443 googleusercontent.com 7428
HP-630-Notebook-PC 35.244.231.49 sortant 59540 443 googleusercontent.com 7432
HP-630-Notebook-PC 209.197.3.15 sortant 44248 443 hwcdn.net 7398
HP-630-Notebook-PC 194.158.122.111 sortant 45442 443 bouyguestelecom.fr 7449
HP-630-Notebook-PC 91.228.74.189 sortant 35324 443 7428
HP-630-Notebook-PC 93.184.221.133 sortant 43884 443 7428
HP-630-Notebook-PC 216.58.198.68 sortant 59804 443 1e100.net 7429
HP-630-Notebook-PC 172.217.18.38 sortant 53422 443 1e100.net 7393
HP-630-Notebook-PC 185.33.220.240 sortant 35418 443 adnexus.net 102
HP-630-Notebook-PC 93.184.220.29 sortant 40524 80 7442
HP-630-Notebook-PC 212.195.245.6 sortant 40618 443 67
HP-630-Notebook-PC 212.195.245.6 sortant 40732 443 102
HP-630-Notebook-PC 161.71.16.187 sortant 54066 443 siteforce.com 7448
HP-630-Notebook-PC 77.238.180.12 sortant 45798 443 yahoo.com 7400
HP-630-Notebook-PC 91.216.195.7 sortant 47286 443 weborama.fr 1
HP-630-Notebook-PC 161.71.16.187 sortant 53940 443 siteforce.com 61
HP-630-Notebook-PC 35.190.16.14 sortant 34434 443 googleusercontent.com 7432
HP-630-Notebook-PC 85.222.129.214 sortant 35778 443 salesforce.com 7445
HP-630-Notebook-PC 35.244.223.69 sortant 60596 443 googleusercontent.com 7427
HP-630-Notebook-PC 172.217.18.34 sortant 59552 443 1e100.net 7428
HP-630-Notebook-PC 34.246.14.82 sortant 52746 443 amazonaws.com 7442
HP-630-Notebook-PC 52.23.41.17 sortant 49198 443 amazonaws.com 118
HP-630-Notebook-PC 194.158.122.193 sortant 54090 443 bouyguestelecom.fr 97
HP-630-Notebook-PC 85.222.129.215 sortant 43662 443 salesforce.com 7445
HP-630-Notebook-PC 185.33.220.240 sortant 35414 443 adnexus.net 103
HP-630-Notebook-PC 204.79.197.200 sortant 50028 443 a-msedge.net 7446
HP-630-Notebook-PC 89.95.236.196 sortant 56232 443 bbox.fr 7450
HP-630-Notebook-PC 13.225.239.85 sortant 44898 443 cloudfront.net 7427
HP-630-Notebook-PC 172.217.171.194 sortant 53864 443 1e100.net 7428
HP-630-Notebook-PC 52.23.41.17 sortant 49202 443 amazonaws.com 119
HP-630-Notebook-PC 34.246.14.82 sortant 52744 443 amazonaws.com 7443
PROBLEME DE SECURITÉ OU PAS?
Dernière modification par Mister Goo (Le 30/07/2020, à 12:34)
Hors ligne
#2 Le 28/07/2020, à 18:54
- inbox
Re : [Résolu] Connexions Sortantes Incontrolables
Salut,
A vu de nez, de pense que tu ouvres une session Firefox avec un onglet sur Facebook, Bouygues. Tout le reste me semble être des sites secondaires (tracking, publicité, stockage en ligne, etc).
Si tu veux vraiment savoir s'il y a un problème avec ton Firefox, il faut le démarrer sans onglet ouvert.
A+
Edit : Si tu veux voir la liste des sites demandant des connexions, lorsque tu te connectes à un site comme Facebook, installe Noscript. Tu seras, probablement, étonné du nombre de sites concernés.
Dernière modification par inbox (Le 30/07/2020, à 11:02)
Un problème résolu ? Indiquez le en modifiant le titre du sujet.
En ligne
#3 Le 28/07/2020, à 19:50
- bruno
Re : [Résolu] Connexions Sortantes Incontrolables
Il n'y a absolument rien d'anormal dans ce que tu observes.
#4 Le 28/07/2020, à 21:07
- Mister Goo
Re : [Résolu] Connexions Sortantes Incontrolables
Merci pour vos réponses.
Si tu veux vraiment savoir s'il y a un problème avec ton Firefox, il faut le démarrer sans onglet ouvert.
Je vais faire plus attention lorsque je quitte mon firefox a bien fermer tous les onglets. Normalement je le fait.
J'ai fait le menage il y a 2 semaines a cause de ces connexions incontrolées
Dans about:config
passer en false tout ce qui pouvait transmettre des données ou chercher des mises a jour
effacement de tout ce qui pointait vers google facebook et amazone (j en ai peut etre oublier)
Dans les parametres du navigateur :
desactivation des modules (3 modules)
suppression des lien epinglés sur la page d’accueil
supression de la recherche google
parametrer DuckDuckgo dans la barre d adresse qui maintenant me sert aussi de barre de recherche
Tout le reste me semble être des sites secondaires (tracking, publicité, stockage en ligne, etc)
Mais pourquoi mon pc se connecte a tous ces sites secondaires sans que je leur demande ? (en admettant que je n ai pas d onglet ouvert évidement)
Comment éviter ca? 
Il n'y a absolument rien d'anormal dans ce que tu observes.
Ta réponse ne me rassure pas. 
Si 59 connexions a l ouverture de mon navigateur vers des organisations pour qui les données personnelles sont un business n'a rien d'anormal j'aimerai trouver une solution pour controler cela... Mais je ne sais pas comment faire...
Combien de connexions se lancent en meme temps que vos navigateurs? (j avais essayé de regarder il y quelques temps en lancant chromium ... il y en avait un douzaine... je vais refaire des tests pour confirmer)
Que me conseiller vous de chercher pour reduire ce probleme (parce qu en plus firefox freeze souvent)
Trouver des services qui s'activent au lancement de firefox?
Trouver les bons parametres dans firefox?
Trouver les bons parametres dans Apache?
Merci a vous pour vos réponses. 
Hors ligne
#5 Le 29/07/2020, à 00:09
- Coeur Noir
Re : [Résolu] Connexions Sortantes Incontrolables
Il y a un paquet d'extensions pour Firefox qui visent à limiter ce genre « d'interactions » qui sont, cela dit, la base du web depuis une bonne décennie…
Après je ne suis pas du tout un « pro » de la sécurité mais il semble que NoScript, µblock-origin, Decentraleyes et les divers *-Container devraient avoir une influence sur ces connexions sortantes.
Un choix alternatif de DNS ( plutôt que celui de ton FAI ) aura potentiellement une incidence ?
Chez moi avec Firefox ouvert sur Twitter, Facebook, Youtube, Allociné et ce forum :
Toutes les 5,0s: netstat -ptalno4 ASGARD: Wed Jul 29 01:13:54 2020
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name Timer
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 920/systemd-resolve off (0.00/0/0)
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 21300/cupsd off (0.00/0/0)
tcp 0 0 192.168.1.99:52580 104.244.42.66:443 ESTABLISHED 6255/firefox off (0.00/0/0)
tcp 0 0 192.168.1.99:58762 93.184.220.70:443 ESTABLISHED 6255/firefox off (0.00/0/0)
tcp 0 0 192.168.1.99:40656 54.191.136.131:443 TIME_WAIT - temps d'attente (18,78/0/0)
tcp 0 0 192.168.1.99:34888 104.244.43.131:443 ESTABLISHED 6255/firefox off (0.00/0/0)
tcp 0 0 192.168.1.99:39852 93.184.220.29:80 ESTABLISHED 6255/firefox keepalive (1,73/0/0)
tcp 0 0 192.168.1.99:50760 52.35.220.92:443 ESTABLISHED 6255/firefox keepalive (109,93/0/0)
tcp 0 0 192.168.1.99:34084 2.17.40.140:80 ESTABLISHED 6255/firefox keepalive (1,48/0/0)
tcp 0 0 192.168.1.99:40660 54.191.136.131:443 TIME_WAIT - temps d'attente (18,80/0/0)
tcp 0 0 192.168.1.99:52578 104.244.42.66:443 ESTABLISHED 6255/firefox off (0.00/0/0)ou depuis la box ( quelques minutes plus tard, ce qui peut expliquer des différences ) :
Hôte IP Sens Port source Port dest. Nom de domaine Timeout
ASGARD 54.191.236.190 sortant 44402 443 amazonaws.com 2
ASGARD 54.191.236.190 sortant 44398 443 amazonaws.com 7448
ASGARD 2a02:26f0:9400::215:2260 sortant 58576 80 6
ASGARD 2a02:26f0:9400::215:2260 sortant 58572 80 6
ASGARD 93.184.220.29 sortant 40144 80 7447
ASGARD 143.204.222.57 sortant 51346 443 cloudfront.net 7449
ASGARD 2606:4700::6810:f9f9 sortant 33268 443 7438
ASGARD 52.35.220.92 sortant 50760 443 amazonaws.com 7406
ASGARD 104.123.50.106 sortant 35116 80 akamaitechnologies.com 6…et sans NoScript ni *-Container, juste µblock-origin et Decentraleyes.
Je n'ai pas non plus LAMP ni wordpress multisite local, dolibarr, glpi, ou un site test...
Suis chez Bouygues mais n'utilise pas leur DNS, 1.1.1.1 ( cloudflare ) ou 9.9.9.9 ( quadro ) ou d'autres selon l'humeur, je vérifie avec https://www.dnsleaktest.com pour ce que ça vaut.
Dernière modification par Coeur Noir (Le 29/07/2020, à 00:52)
Débuter ⋅ Doc ⋅ Bien rédiger ⋅ Retour commande ⋅ Insérer image | illustrations & captures d'écran < ⋅ >
Hors ligne
#6 Le 29/07/2020, à 07:01
- bruno
Re : [Résolu] Connexions Sortantes Incontrolables
Si 59 connexions a l ouverture de mon navigateur vers des organisations pour qui les données personnelles sont un business n'a rien d'anormal j'aimerai trouver une solution pour controler cela... Mais je ne sais pas comment faire...
Cela n'a rien d'anormal puise que tu te connectes à ces sites.
Ce n'est pas un problème de sécurité mais de vie privée.
Installe les extensions ublock origin, Privacy Badger et Cookie Autodelete pour limiter les pisteurs au minimum. Et pour éviter de diffuser des données personnelles arrête d'utiliser Facebook, Google, Yahoo, Amazon, etc.
Trouver les bons parametres dans Apache?
La sortie de netstat* ne montre aucune connexion entrante. Pour les réglages tout dépend de l'utilisation des service hébergés et s'il doivent être accessibles de l'extérieur ou non. Si c'est juste pour du développement local, mets Apache en écoute uniquement sur l'interface locale (127.0.0.1).
#7 Le 29/07/2020, à 08:30
- Zakhar
Re : [Résolu] Connexions Sortantes Incontrolables
Et pour éviter de diffuser des données personnelles arrête d'utiliser Facebook, Google, Yahoo, Amazon, etc.
+1 !..
Encore que je mettrai en gras le premier (quand on utilise Facebook, même pas la peine de poser une question "privacy" !) et j'enlèverais Amazon de la liste pour son côté bazar-on-trouve-tout (comme à la Samaritaine qui n'a pas encore rouvert !) qui est quand même fort pratique. Mais un bon uMatrix, Ublock Origin (le même auteur) et un Amazon en session privée avec plusieurs comptes limite les pistages.
Dernière modification par Zakhar (Le 29/07/2020, à 08:31)
"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)
Hors ligne
#8 Le 29/07/2020, à 21:04
- Mister Goo
Re : [Résolu] Connexions Sortantes Incontrolables
Merci a tous pour vos réponses...
NoScript, µblock-origin, Decentraleyes et les divers *-Container
Merci -- J utilisait les paramètres de sécurité réglables dans Firefox (suppression des cookies et de l'historique en fin de session, desactivation du pistage, geolocalisation....) en pensant que c'était suffisant .... Mais c'est vrai que depuis que j'ai fait des recherches pour voir ce qui pouvait clocher j ai des doutes...
Cela n'a rien d'anormal puise que tu te connectes à ces sites.
Pas d'accord-- Mon pc se connecte sans que j ouvre leur page et c est ca que je veux comprendre.
Et pour éviter de diffuser des données personnelles arrête d'utiliser Facebook, Google, Yahoo, Amazon, etc.
+2 -- La dessus nous sommes bien tous d'accord
Pour l'instant j'ai désactivé apache pour qu'il ne se lance pas au démarrage du PC et je vais continué de creusé notament du coté de Wordpress...
J ai essayé un peu avec wireshark de voir ce qui se passait et essayer d etablir un lien avec les services/plugin/themes wordpress installés en local mais pas facile a utilisé comme logiciel...
Je pense essayé rkhunter des fois qu il trouve quelque chose dans mon /var/www
:|:|
Hors ligne
#9 Le 30/07/2020, à 06:20
- bruno
Re : [Résolu] Connexions Sortantes Incontrolables
Ci dessous c'est un export en csv fait depuis la console d'administration de la box qui liste toutes le connexions de mon pc (59 connexions) quelques minutes apres avoir lancer firefox... Je devais avoir 3 ou 4 onglets ouverts dans mon navigateur a ce moment la.
Pas d'accord-- Mon pc se connecte sans que j ouvre leur page et c est ca que je veux comprendre.
Tu as plusieurs onglet ouverts donc plusieurs connexion établies vers plusieurs sites. Chacun de ces sites fait appel à des régies publicitaires (adnexus.net et autres), des outils de pistage et d'analyse, des serveurs de contenu dans le cloud (amazonaws et autres), …
C.Q.F.D.
Pour Apache, j'ai oublié de préciser que s'il est installé sur une machine qui est derrière une box, le service est de toute façon inaccessible de l'extérieur à moins d'avoir configuré une redirection de ports sur la box.
Je pense essayé rkhunter des fois qu il trouve quelque chose dans mon /var/www
Cela ne sert à rien. rkhunter ne sert pas à cela et n'a de toute façon rien à faire sur ta machine.
--
[HS]
j'enlèverais Amazon de la liste pour son côté bazar-on-trouve-tout (comme à la Samaritaine qui n'a pas encore rouvert !) qui est quand même fort pratique
Amazon est sans doute le pire de la liste surtout si on prend en compte l'impact social et environnemental.
[/HS]
#10 Le 30/07/2020, à 11:14
- Mister Goo
Re : [Résolu] Connexions Sortantes Incontrolables
Bonjour
Tu as plusieurs onglet ouverts donc plusieurs connexion établies vers plusieurs sites. Chacun de ces sites fait appel à des régies publicitaires (adnexus.net et autres), des outils de pistage et d'analyse, des serveurs de contenu dans le cloud (amazonaws et autres), …
C.Q.F.D.
@Bruno : Merci pour ta réponse j'en était arrivé un peu aux memes conclusions et j'ajouterai que Firefox utilise nativement certains de ces services donc meme sans onglets ouvert des connexions sont établies.
https://www.dsfc.net/logiciel-libre/fir … s-firefox/
https://aws.amazon.com/fr/cloudfront/
https://support.mozilla.org/en-US/questions/922449
https://www.marketscreener.com/AKAMAI-T … -29469420/
J'aurai encore plein de questions qui ne sont plus directement en rapport avec Ubuntu (Apache, Firefox, Wireshark, Wordpress)...
Je passe le sujet en résolu.
Merci a tous pour vos réponses et votre temps.
Hors ligne
#11 Le 30/07/2020, à 16:46
- jlmas
Re : [Résolu] Connexions Sortantes Incontrolables
Un choix alternatif de DNS ( plutôt que celui de ton FAI ) aura potentiellement une incidence ?
Plutôt celui de ton FAI. Il route tes demandes, donc vouloir lui cacher la partie DNS n'est pas très utile. Par ailleurs, il est basé dans ton pays, en respecte les lois et en cas de soucis, tu peux te retourner contre lui à travers la juridiction locale.
En Europe, nous sommes plutôt bien protégés du point de vue vie privée, le RGPD s'applique, y compris à ton FAI.
Hors ligne
#12 Le 31/07/2020, à 13:14
- Coeur Noir
Re : [Résolu] Connexions Sortantes Incontrolables
Plutôt celui de ton FAI. Il route tes demandes, donc vouloir lui cacher la partie DNS n'est pas très utile.
N'est-ce pas aussi donner au FAI la connaissance de toutes tes requêtes ?
Il y a fort à parier que le DNS de Bouygues aura des accointances avec telles régies pub', celui d'Orange avec telle autre etc…
On peut souhaiter vouloir « diluer » cette trace ?
Il me semblait justement que les FAI voyaient d'un mauvais œil le dns-over-https à cause de ça.
( après comme je l'évoquais, j'ai une culture assez vague de la sécurité réseau, donc j'admets d'avance que je peux me fourvoyer complètement ! )
Débuter ⋅ Doc ⋅ Bien rédiger ⋅ Retour commande ⋅ Insérer image | illustrations & captures d'écran < ⋅ >
Hors ligne
#13 Le 31/07/2020, à 13:58
- bruno
Re : [Résolu] Connexions Sortantes Incontrolables
Il est en effet préférable d'utiliser d'autres résolveurs que ceux de son FAI. Même s'il est très douteux que ceux-ci pistent leurs clients sur les requêtes DNS, les résolveurs des FAI sont configurés pour « mentir » sur un certains nombre de requêtes (mensonges parfois imposés par la loi *).
Dans ce cas il faut bien choisir un résolveur respectueux de la vie privée, c'est à dire pas ceux de Google ou autre !
* exemple :
$ dig +short sci-hub.tw @212.27.40.241
127.0.0.1
$ dig +short sci-hub.tw
186.2.163.90Dernière modification par bruno (Le 31/07/2020, à 14:06)
Pages : 1