Mathieu Réau

Merci pour tes conseils, @calisto06. Pour l'instant, j'ai fait un diagnostic du disque dur avec CrystalDisk, et il apparaît que mon disque dur n'est effectivement pas au mieux de sa forme : Est-ce que les problèmes relevés peuvent effectivement être liés à mon problème ? Je m'occupe en ce moment de vérifier l'intégrité du système. Je vous tiendrai au courant.

Bonjour à tous, chers amis, Voilà ci-dessous l'état dans lequel j'ai trouvé mon ordinateur après l'avoir allumé (puis rallumé, au cas où) ce matin : Comme vous pouvez le remarquer, les intitulés d'icônes ou de boutons sont manquants ou incomplets... Très rassurant, n'est-ce pas ? J'aurais pu prendre quantité d'autres captures d'écran, la plupart des logiciels et fonctions de Windows étaient affectés de la même manière : le texte avait purement et simplement disparu, certaines fenêtres incapables de s'ouvrir proprement à cause du texte manquant ! Seuls les panneaux spécifiques de Windows 10, comme le panneau "Paramètres" ou l'écran de démarrage d'origine ne semblaient pas affectés. Mon ordinateur tourne sous Windows 10 Pro version 20H2. Il est à jour, normalement. J'ai pensé que le problème venait peut-être du logiciel Open-Shell que j'utilise depuis toujours pour avoir un menu de démarrage plus pratique que celui de Windows 10. Comme il est censé modifier l'interface, sait-on jamais... Mais le désactiver n'a rien changé. En revanche, après avoir ouvert Photoshop (qui n'était pas affecté, par contre ; le logiciel dispose de ses propres polices d'affichage ?) pour enregistrer la capture d'écran ci-dessus, de retour sur le bureau, j'ai constaté que les intitulés manquants commençaient à réapparaître jusqu'à ce que, finalement, tout redevienne normal... Vous comprendrez tout de même que je ne sois pas enchanté par la perspective que l'ordinateur me fasse le même caprice au prochain démarrage et que comprendre ce qui se passe, si l'un de vous à une idée sur le sujet, me serait certainement d'une très grande aide ! Je vous en remercie d'avance.

Sur le NAS. Du coup, plus aucune connexion de ce type ne devrait pouvoir l'atteindre, non ? Je songe de plus en plus que les applications de QNAP ne sont pas les plus pointues que l'on puisse trouver... Hélas, environnement logiciel fermé, on ne peut y installer que ce que l'éditeur propose, à la manière d'un téléphone portable (à moins de bien s'y connaître en bidouille, je suppose). Sinon, y a plein de trucs plus efficaces que j'aurais installés dessus depuis longtemps ! Même chose pour le pare-feu, j'imagine...

J'ai désactivé l'IPv6, hier ou avant-hier... ... et, pourtant, mon pare-feu intercepte toujours des trames en IPv6... 2021/07/07 12:09-13:09 2 All IPV4 Any Any 0.0.0.0 Deny 412 All IPV4 Any Any Any Deny 68 All IPV6 Any Any Any Deny

Alors, sur les horaires indiqués, le recensement des évènements signalés donne ça : 2021/07/04 15:00-16:00 3 All IPV4 Any Any 0.0.0.0 Deny 418 All IPV4 Any Any Any Deny 56 All IPV6 Any Any Any Deny 2021/07/04 14:00-15:00 7 All IPV4 Any Any 0.0.0.0 Deny 413 All IPV4 Any Any Any Deny 53 All IPV6 Any Any Any Deny 2021/07/04 13:00-14:00 13 All IPV4 Any Any 0.0.0.0 Deny 404 All IPV4 Any Any Any Deny 53 All IPV6 Any Any Any Deny Et ce qui m'interpelle, par rapport au dernier relevé que je t'ai montré, c'est le bien plus grand nombre de trames de type IPv6. J'observe, sur la durée, que ce nombre est en augmentation progressive depuis le trois juillet au matin et se trouve désormais, pour la dernière heure analysée, à soixante-six. Cela pourrait-il correspondre aux tentatives de connexion sur le port 8080 que tu as relevées ? Ah, c'est de ma faute... En mars, j'avais, dans la panique, paramétré le pare-feu au niveau de sensibilité le plus élevé. Je suis depuis revenu à un réglage plus basique, donc, j'imagine, moins regardant en ce qui concerne le trafic sur le réseau local. Désolé d'avoir omis de le mentionner. À propos de réglages, j'ai voulu voir quelle différence cela faisait selon que mon pare-feu était paramétré sur les réglages basiques ou s'il était mis en mode "Réseau local uniquement", qui doit donc interrompre toutes les tentatives d'accès à distance au NAS. Je m'attendais à ce qu'avec ce dernier mode, le nombre d'alertes augmente sensiblement, mais je n'ai finalement relevé aucune différence notable... Je m'embrouille un peu en essayant d'en tirer des conclusions sur la provenance du problème... Si je ne me trompe pas, cela veut dire que les alertes viennent plutôt de mon réseau local que de l'extérieur ?

Si je comprends bien, la hausse du nombre de paquets refusés ne provient pas d'une agression extérieure ? Du coup, je me demande ce qui se passe, au juste. Le pare-feu serait juste devenu plus sensible depuis la mise à jour ? Sur le rapport, on peut voir la provenance et la nature de toutes les trames refusées, c'est bien cela ? Pour l'essentiel, il s'agit de quoi ? Des requêtes de découverte réseau, comme l'autre jour ? La page permettant de paramétrer les seuils d'alerte de QNAP se présente comme ceci : Elle ne contient que deux options (qui ne rentrent pas entièrement dans cette capture d'écran mais dont j'ai essayé de te montrer le plus gros) : l'intervalle de temps durant lequel les évènements sont observés et le niveau d'évènements maximal déclenchant une alerte lorsqu'il est atteint ou dépassé. Le QuLogCenter mentionné sur cette page sert à gérer les notifications produites par les différentes applications du NAS et permet de définir sous quels critères, à quelle fréquence et par quel biais (e-mail, SMS...) elles sont portées à la connaissance de l'utilisateur. Là, par exemple, le pare-feu est réglé pour que la notification de dépassement du seuil soit traitée comme une alerte et que soient donc appliqués les paramètres de traitement prévus pour des notifications de cette nature. Je ne pense pas devoir te le montrer car ce n'est, en soi, pas directement lié au fonctionnement du pare-feu.

J'ai effectué deux heures d'enregistrement par sessions de trente minutes. J'envoie le dernier rapport, puisqu'il semble que les rapports soient cumulatifs. Dans le contraire, j'enverrai également les autres. QuFirewall_Basic protection_20210704 4.rar

C'est bien ce qu'il me semblait. Je n'ai pas l'impression... Je ne trouve rien de ce genre, en tout cas. Et si je cumulais plusieurs captures d'une demi-heure avec le pare-feu de mon NAS ? Quatre ou cinq, pas exemple. Ça donnerait un échantillon suffisant ?

Trente minutes, c'est le maximum. Ce qui est curieux, c'est que j'étais persuadé d'avoir fait un enregistrement plus long, la dernière fois... Peut-être que la durée maximale a été réduite depuis la dernière mise à jour.

En fait, je dispose de deux interfaces différentes sur mon pare-feu afin "d'analyser" autant que faire se peut l'action qu'il mène. Il y a tout d'abord l'interface de capture des paquets refusés que cette capture d'écran montre intégralement (après une capture) : Elle est d'une simplicité navrante, comme tu peux le constater, la seule chose qu'il est possible de paramétrer étant la durée de l'enregistrement. Lequel, si je comprends bien, s'ajoute en fin de compte au rapport global des précédents enregistrements effectués que je ne peux exporter que de la façon dont je te l'ai toujours envoyé. Et il y a aussi l'interface comptabilisant les paquets interceptés par le pare-feu : Elle ne montre aucun détail de plus et, là encore, la seule chose paramétrable se trouve être l'intervalle durant lequel s'établissent les rapports ici présentés. Je suis désolé, je ne pense pas être en mesure de faire plus avec cette application. Je crois que c'est très basique à côté de ce que d'autres pare-feu plus sophistiqués doivent permettre. J'ai compressé le rapport de ma dernière capture au format .rar. Je ne pensais pas gagner autant ! J'espère que le fichier n'est pas corrompu... QuFirewall_Basic protection_20210703.rar

Des chances qu'elle rate des trucs ?

Ce doit être parce que j'ai désactivé l'application qui ouvrait le port 6881 sur la Livebox. J'imagine que, si je la relance, le trafic réapparaîtra. Puisque je me suis autrefois servi de cette application pour télécharger des torrents, se pourrait-il que ces tentatives de connexion proviennent de peers sondant mon client à la recherche de l'un ou l'autre des fichiers que j'avais téléchargés à l'époque ? Le pare-feu disponible sur le NAS que j'utilise me semble fournir bien peu d'informations à l'utilisateur en-dehors de la création d'un rapport de capture de paquets. Depuis l'application elle-même, je ne peux que consulter le nombre de paquets rejetés par le pare-feu sur une période de temps donnée. À l'heure que tu m'indiques pour ces deux tentatives de connexion suspecte, soit autour de dix-sept heures chez moi, avec le décalage horaire, voici que le pare-feu m'indique : 2021/07/02 16:57-17:57 9 All IPV4 Any Any 0.0.0.0 Deny 403 All IPV4 Any Any Any Deny 3 All IPV6 Any Any Any Deny Le nombre de paquets indiqué sur la ligne du milieu se situe dans la même fourchette que tout au long de ces derniers jours. Sur les deux autres lignes, les évènements bloqués sont plus rares mais se produisent tout de même de temps à autres, dans des proportions similaires. La capture que j'ai faite hier ne traduit donc, en soi, aucune différence notable avec les jours précédents et n'explique pas pourquoi, du jour au lendemain, le nombre de paquets bloqués est passé de moins de 150 à plus de 400... Or, c'est bien ce que je ne comprends pas puisque, d'après toi, il n'y a pas tant de trafic suspect que cela aux portes de mon NAS...

Oui, c'est un véritable soulagement ! Aussitôt dit... QuFirewall_Basic protection_20210702.pcap Merci, Toto !

Ça y est, la réinitialisation du compte administrateur a fonctionné au poil ! Je suis en train de rétablir les connexions comme avant et je ne compte pas y retoucher avant d'avoir de quoi faire une vraie sauvegarde complète de mes fichiers ! Bon, ceci étant derrière moi, reste mon problème de pare-feu qui s'affole pour une raison totalement inconnue... Comme je le demandais avant de faire n'importe quoi avec mes comptes, est-ce que je laisse courir en rehaussant simplement le niveau d'alerte ? Est-ce que je fais une nouvelle capture pour jeter un œil ?

Merci, @Toto61 pour cette trouvaille ! Heureusement, non, il n'est pas trop tard, je n'ai encore rien touché depuis hier soir. J'ai découvert qu'il existe apparemment un moyen de réinitialiser le compte administrateur par défaut (celui que j'ai bêtement désactivé) sans formater le disque. Je commencerai donc par ça et, si ça ne fonctionne toujours pas, j'emploierai la méthode que tu me proposes.

Bon, ben ce que je craignais c'est bien produit : une fois le NAS redémarré, je n'ai plus accès à rien. Mes deux comptes administrateurs sont inaccessibles, aussi bien le nouveau que l'ancien... Je n'ai plus qu'à réinitialiser les paramètres d'usine, je présume...

Effectivement, la procédure est la même, mais je suis passé à l'étape 4 avant de me rendre compte qu'il y avait les étapes 2 et 3... Et en voulant me rattraper, j'ai fait planter le NAS. J'ai toutefois l'impression que mon problème d'accès aux dossiers via mon nouveau compte utilisateur a fini par se résoudre. Les modifications que j'avais lancées ont dû finir par s'appliquer... Mais le système d'exploitation du NAS a complètement planté. Je n'arrive même pas à lancer un redémarrage... Je viens de découvrir que le redémarrage manuel fonctionne, en revanche ! Redémarrage propre, avec extinction des applications. Ça devrait éviter des problèmes... J'espère que je pourrai me reconnecter une fois que ce sera fait.

J'ai encore accès à certains dossiers depuis mon ordinateur, j'en profite pour sauvegarder ce que je peux, au cas où...

J'ai bien reçu la notification de vos deux derniers messages, ceci dit. Peut-être que j'ai juste été distrait la dernière fois... Ben, ça ne ressemble à rien, en fait. Ça dit juste que le seuil d'alerte est dépassé. Severity: Warning Date/Time: 2021/07/01 11:11:07 App Name: QuFirewall Category: Firewall Events Message: [QuFirewall] In time of 2021-07-01 10:49:01 ~ 2021-07-01 11:11:02, the denied amount reach the set threshold: 150. Le seul moyen que j'ai de voir ce qui est retenu par le pare-feu, c'est la capture de paquets comme celles que je t'ai envoyées, mais je n'ai pas le sentiment que la dernière permette d'y voir vraiment plus clair... Je sais que je change de sujet, mais je rencontre en ce moment un problème encore plus préoccupant avec mon NAS. Suivant les recommandations de la dernière mise à jour de son système d'exploitation que je viens de faire, j'ai décidé (je n'aurais pas dû) de migrer du compte administrateur par défaut que j'utilisais jusque-là vers un autre compte. Cela m'a aussitôt causé une monstrueuse quantité que je n'avais pas anticipée de problèmes d'accès aux fichiers contenus sur le NAS depuis mon ordinateur qui l'utilisait comme lecteur réseau. C'est en tentant de résoudre ces problèmes d'accès en répartissant les autorisations nécessaires à mon nouveau compte que je crains d'avoir fait planter l'appareil... Tout d'un coup, dans le tableau de création des autorisations, je ne voyais apparaître plus aucun compte, plus aucun dossier, dans le gestionnaires des utilisateurs, mon nouveau compte avait disparu et, maintenant, le NAS mouline dans la semoule parce que j'ai eu la bête idée d'essayer d'ouvrir un onglet... Je ne sais pas quoi faire, ma hantise étant que, si je fais une bêtise de plus, je ne puisse accéder à plus rien de ce qui est stocké sur le NAS, perdant ainsi de grosses quantités de données que j'ai ajoutées récemment sans avoir eu l'intelligence de les sauvegarder ailleurs... Autant dire que je n'ose plus rien faire sans l'avis de quelqu'un de plus qualifié que moi...

Bizarre, je n'ai pas été notifié par mail de ta réponse... Je me demande quand même ce qui met autant mon pare-feu en alerte si rien dans le suivi du trafic ne semble alarmant... Les fameuses requêtes de découvertes SSDP ou DHCP dont tu parlais ? Le nombre de paquets bloqués chaque heure par le pare-feu reste stable, autour de 400... S'il ne se passe rien de préoccupant, penses-tu que je n'aie plus qu'à rehausser le seuil d'alerte pour éviter d'être embêté par les notifications ? À propos, avec quoi réussis-tu à ouvrir le rapport de capture de paquets de mon pare-feu, exactement ? Le seul moyen que j'ai trouvé pour l'ouvrir, pour ma part, est de le convertir en fichier texte, mais cela le rend quasiment inintelligible alors que sur ta capture d'écran, tout semble parfaitement clair ! Si la prochaine fois, je suis en mesure de le lire tout seul, je n'aurai peut-être pas à venir vous embêter !

Aucune trace d'accès vers mon NAS ? Mais il s'agit pourtant d'une capture provenant du pare-feu de mon NAS ! Il ne doit pas pouvoir s'amuser à bloquer des connexions qui ne lui sont pas destinées, si ? Je continue également de recevoir des alertes du pare-feu qui bloque entre trois cents et quatre cents paquets entrants par heure alors que son seuil d'alerte est fixé à cent cinquante. Et comment se fait-il que tu aies pu lire vingt-sept heures d'enregistrement alors que je n'ai fait qu'une capture de trente minutes, exactement comme la précédente ? C'est fourni avec un historique ? Ça me rassure que tu n'y trouves rien d'alarmant, mais je ne comprends vraiment pas ce qu'il se passe ni si je peux y faire quelque chose.

Voici le rapport de ce nouvel enregistrement. J'espère qu'on y verra plus clair... QuFirewall_Include subnets only_20210628.pcap

Désactiver l'application dont je parlais semble empêcher la réapparition des règles que j'ai supprimées... Sauf que les tentatives d'accès interceptées par mon pare-feu ne s'arrêtent pas, elles ! Alors je suis en train de faire un nouvel enregistrement des paquets interceptés, pour voir d'où ça vient...

Bon sang, les deux règles que j'ai supprimées sont réapparues ! Cette fois, je coupe aussi l'application que je pense être responsable, pour voir si les règles apparaissent de nouveau... Mais qu'est-ce qu'il m'arrive encore ?

En effet, je trouve deux règles sur ma Livebox redirigeant le trafic sur le port 6881 directement vers mon NAS via les protocoles UDP et TCP ! J'ai retrouvé une capture d'écran que j'avais faite lors de la dernière attaque, et ces deux règles n'existaient alors pas. C'est dommage que la date de leur création ne soit pas indiquée, mais il est bien possible que cela se soit produit lors de la mise à jour du NAS l'autre jour... D'après le libellé, l'application associée à ce trafic est un client libtorrent à la version 0.16.17. Après quelques recherches, cela me permet de désigner, je pense, le coupable : mon NAS dispose effectivement d'une application permettant le téléchargement en p2p via libtorrent ! Deux remarques m'interrogent, cependant : je m'en sers très rarement et aucun torrent n'est actif depuis un moment avec cette application la version de libtorrent indiquée dans le tableau de la Livebox n'a rien à voir avec la version 1.2.11 que l'appli sur mon NAS dit utiliser L'application de téléchargement en question fait justement partie de celles que j'ai dû mettre à jour après avoir mis à jour le système d'exploitation du NAS. Il s'est peut-être passé un truc de ce côté-là qui aurait, je sais pas, laissé ouverts des ports de l'ancienne version... Je dis n'importe quoi, mais je ne peux m'empêcher de penser que la concomitance entre la mise à jour et cette avalanche de connexion n'est pas anodine. J'ai flanqué à la poubelle les deux règles de redirection sur la table UPnP de la Livebox... Ça devrait régler le souci ! Je devrais rapidement m'en rendre compte. Encore une fois merci pour ton aide, @Toto61 !