Bonjour,

En allant voir mes mails aujourd'hui, j'ai reçu une alerte de sécu critique de google concernant mon compte. Apparemment ça concerne un de mes PC sous Ubuntu 20.04.

J'ai donc procédé à un changement de MDP et fait le tour de mon compte, mais je n'ai rien remarqué d'étrange. Le PC en question a été déconnecté  automatiquement par précaution.

Mais c'est vrai que j'ai remarqué ces temps-ci que amazon me demandait souvent de résoudre une image pour vérifier si je n'étais pas un bot, tout comme très souvent le soir, j'ai droit systématiquement à la page d'erreur "erreur interne décelée" qui ne se manifeste pas sur une VM au même moment par exemple.

Du coup, j'ai peut-être bien chopé une saloperie via le navigateur, mais je ne comprends pas comment. Je n'ai pas d'extensions douteuses installées, que du très connu.

Une idée sur comment savoir ? Car évidemment pas d'AV sur Linux en général. C'est la première fois en 15 ans de Linux qu'un truc pareil se produit.
Merci

Il semble qu'il existe un Ubuntu rescue pack, pour créer une clé USB bootable pour scanner un Linux :
https://ualinux.com/en/ubuntu-rescuepack

Pas testé en ce qui me concerne...

Bonjour,

En allant voir mes mails aujourd'hui, j'ai reçu une alerte de sécu critique de google concernant mon compte. Apparemment ça concerne un de mes PC sous Ubuntu 20.04.

J'ai donc procédé à un changement de MDP et fait le tour de mon compte, mais je n'ai rien remarqué d'étrange. Le PC en question a été déconnecté  automatiquement par précaution.

Mais c'est vrai que j'ai remarqué ces temps-ci que amazon me demandait souvent de résoudre une image pour vérifier si je n'étais pas un bot, tout comme très souvent le soir, j'ai droit systématiquement à la page d'erreur "erreur interne décelée" qui ne se manifeste pas sur une VM au même moment par exemple.

Du coup, j'ai peut-être bien chopé une saloperie via le navigateur, mais je ne comprends pas comment. Je n'ai pas d'extensions douteuses installées, que du très connu.

Une idée sur comment savoir ? Car évidemment pas d'AV sur Linux en général. C'est la première fois en 15 ans de Linux qu'un truc pareil se produit.
Merci

reprenons :
1. t'as vu quoi/où/quand/comment une intrusion?

simple mail de google, "nouvelle activité de telle ip" ou "connexion suspecte de tel appareil"

et tu reconnais pas l'appareil?
alors c'est que quelqu'un a eu tes mdp de google
ca signifie pas du tout que ton ordi/navigateur est vérolé, c'est une notification de compte.
quelle localisation/ip est précisée? c'est le plus important (avec le navigateur bien entendu)

à première vue, ni l'ordi ni le navigo ne semblent concernés.

2. c'est juste une histoire de connexion IP? est ce que t'as pas laissé un compte google trainer dans un vieux tel refilé au voisin/cousin/autre?
j'en connais beaucoup qu'ont eu ca : compte google absolument pas piraté mais le compte hurle au loup en voyant l'ancien tel se connecter d'une box inconnue.. sans qu'aucun piratage n'ait été tenté !

sinon, un éventuel vpn? ou autre appli mobile testée? ou autre procédure un peu inhabituelle sur l'ordi?

dire "j'ai été piraté" c'est hyper vague :
-virus qu'a supprimé des fichiers?
-ransomware qu'a chiffré les documents?
-malware qui fait des choses bizarres sur ordi?
-publiciware qui affiche des filles en pettie tenue en notification chrome?

ya mille explications pour un "piratage", des éléments bien plus précis et concrets sont nécessaires pour apporter un début de réponse cohérente

Je n'ai remarqué aucune activité évocatrice d'un virus comme des popup ou des redirections bizarres. Pas de ransomware non plus. Juste amazon qui trouve à redire et pense que je suis un bot depuis plusieurs jours avec cette erreur du site tous les soirs et que je trouvais bizarre.

L'alerte google, n'est pas simplement une nouvelle connexion (j'ai déjà eu ce type de mail), mais une alerte critique, que je ne connaissais pas. L’appareil en question est mon PC portable, confirmé par la déconnexion du compte... à 6h40 du matin. À ce moment là le PC était en veille et non connecté au réseau. Y'a donc bien un truc.

Et voici ce que ça m'affiche, ça à l'air plus sérieux qu'une simple connexion... :

Le problème n'est pas vraiment google, mais le truc chopé si c'est bien le cas.

Pour le coup, j'ai eu de la chance que google prévienne d'un truc, sinon je crois que j'en aurais pas tenu compte.

Si le scan AV ne donne rien, je crois que je vais repartir sur une install fraîche pour être sûr vu que de toute façon, y'a la nouvelle LTS qui va sortir et que le support de la 20.04 se termine dans un an, ça ne pourra pas faire de mal.

Le problème n'est pas vraiment google, mais le truc chopé si c'est bien le cas.

Pour le coup, j'ai eu de la chance que google prévienne d'un truc, sinon je crois que j'en aurais pas tenu compte.

Si le scan AV ne donne rien, je crois que je vais repartir sur une install fraîche pour être sûr vu que de toute façon, y'a la nouvelle LTS qui va sortir et que le support de la 20.04 se termine dans un an, ça ne pourra pas faire de mal.

"suspect"
"logiciel malveillant"
"peuvent"

le mail de google est flou et ambigü au possible, il n'apporte rien concret à la suspiçion de menace.
rien du tout.
un rootkit sous linux? un autre type de malware?
ca existe : oui.
mais rien n'est indiqué ici..

"attention, logiciel potentiellement malveillant sur appareil linux!"

moi je pense que la renault r4 d'en face est malveillante pour la pollution.. du coup on les met toutes en quarantaine?

la seule piste possible, c'est le xz backdoor vu il y a peu, et si
google le   considère   
   potentiellement       
  dangereux 
sans apporter une once de détails à sa décision, alors c'est plus que problématique (comme avertissement, pas comme suspicion)

je pige meme pas qu'une boite aussi énorme apporte
un avertissement
aussi critique
sans étaler la moindre trace détaillée/raisonnement de décision.

désolé pour le bout de pavé illustré, mais il a au moins le mérite de davantage de clareté que l'avertissement de google, ya pas débat;

""google a voulu communiquer""

google, qui s'en étonne...