HandyCafe Docs
owner it-admin

Sécurité et anti-triche

HandyCafe intègre un système anti-triche et de sécurité client à destination de l'exploitant. Il se compose de deux parties : le panneau Sécurité, où vous surveillez les détections et gérez les bannissements, et la page des paramètres de sécurité, où vous configurez les protections qui s'exécutent sur les PC clients. Servez-vous-en pour durcir les processus client, détecter les outils de triche et les débogueurs, bannir des appareils par empreinte matérielle et vérifier les bannissements VAC sur les comptes Steam liés.

Panneau Sécurité

Le panneau Sécurité est organisé en trois onglets : Événements d'altération, Liste noire HWID et Steam VAC. Cliquez sur un onglet en haut du panneau pour passer de l'un à l'autre.

Événements d'altération

L'onglet Événements d'altération affiche l'historique des détections anti-triche signalées par les PC clients. Chaque ligne indique l'Heure, l'Ordinateur (nom convivial avec l'adresse MAC affichée en dessous), la catégorie d'Événement, la Gravité et une Description en langage clair de ce qui a été détecté.

Utilisez la ligne de filtres en haut pour restreindre la liste. Vous pouvez choisir une date (la vue affiche la journée du jour par défaut et se recharge lorsque vous la modifiez), sélectionner une catégorie, choisir une gravité (Critique, Avertissement ou Info) et saisir du texte dans le champ Rechercher par ordinateur ou MAC. Le bouton Actualiser recharge les événements. Le compteur à côté des filtres indique combien d'événements correspondent aux filtres actuels sur le total chargé.

Les catégories d'événements incluent Analyse de processus, Analyse de fenêtres, Analyse de pilotes, Débogueur, Éditeur de mémoire, Injecteur, Triche de jeu, Intégrité binaire, Signature de code, Surveillance DNS et Manipulation de l'horloge. Lorsqu'aucune détection n'existe pour la date sélectionnée, le panneau affiche Aucun événement d'altération à cette date.

Liste noire HWID

L'onglet Liste noire HWID répertorie les appareils bannis par empreinte matérielle (hachage HWID). Le tableau affiche le Hachage HWID, la MAC d'échantillon, la Raison, la Note et l'Heure. Le compteur en haut indique le nombre de bannissements existants.

Pour bannir un appareil, cliquez sur Ajouter un bannissement HWID. Dans la boîte de dialogue, saisissez la MAC (au format AA:BB:CC:DD:EE:FF), une Raison obligatoire et une Note facultative, puis cliquez sur Ajouter le bannissement. Le serveur résout la MAC en empreinte de l'appareil et enregistre le bannissement. Utilisez Annuler pour fermer la boîte de dialogue sans enregistrer.

Pour lever un bannissement, utilisez l'action de suppression sur la ligne (Retirer le bannissement). Le bouton Actualiser recharge la liste. Lorsqu'aucun bannissement n'existe, le tableau affiche Aucun bannissement HWID.

Steam VAC

L'onglet Steam VAC vérifie les bannissements VAC sur les comptes Steam des membres liés à l'aide de l'API Web Steam.

Saisissez votre clé dans le champ Clé API Web Steam et cliquez sur Enregistrer. L'indication précise : Requise pour la recherche des bannissements VAC. Obtenez-en une sur steamcommunity.com/dev/apikey.

Sous Balayage VAC, le bouton Analyser maintenant lance un balayage manuel. Le balayage vérifie le compte Steam de chaque membre lié pour détecter les bannissements VAC et s'exécute automatiquement chaque jour. Le bouton Analyser maintenant est désactivé tant qu'aucune clé API Web Steam n'est enregistrée. Le texte d'état affiche l'heure du Dernier balayage, ou Aucun balayage effectué si aucun balayage n'a encore été lancé.

Configuration de la sécurité client

La page des paramètres de sécurité client détermine les protections que chaque PC client applique. Elle est divisée en Durcissement des processus et Moniteur d'altération.

Utilisez l'interrupteur principal Activer la protection de sécurité du client pour activer ou désactiver l'ensemble du système. Lorsqu'il est désactivé, le client n'applique aucun durcissement de processus et n'exécute aucune sonde du moniteur d'altération. Une bannière sous l'interrupteur indique que les binaires HandyCafe Client, Serveur et Watchdog sont toujours sur liste blanche et que les protections ne les signaleront jamais. Les sections détaillées n'apparaissent que lorsque l'interrupteur principal est activé.

Il s'agit d'une sous-page de paramètres. Les modifications sont validées avec le bouton Enregistrer au niveau de la page, et non par un bouton distinct dans la section.

Durcissement des processus

Le Durcissement des processus applique des politiques d'auto-durcissement au démarrage du client. Chaque bascule porte un badge de risque (RISQUE FAIBLE, RISQUE MOYEN ou RISQUE ÉLEVÉ) et une info-bulle décrivant son rôle. Options disponibles :

  • Protection de la mémoire (DACL) : remplace la DACL du processus de sorte que les jetons non administrateur perdent l'accès en lecture, en écriture et aux threads. Bloque l'attachement standard de Cheat Engine.
  • DEP permanent : maintient la prévention de l'exécution des données (Data Execution Prevention) en permanence afin que la pile et le tas restent non exécutables.
  • Interdire le code dynamique (RISQUE ÉLEVÉ) : bloque le JIT et les allocations exécutables. Peut casser le JIT des shaders du pilote GPU sur certains systèmes et provoquer l'échec de la capture d'écran et du contrôle à distance.
  • Politique de signature AppLocker/WDAC (RISQUE MOYEN) : inscrit le processus dans vos règles existantes de signature binaire AppLocker ou WDAC.
  • Filtre de chargement de DLL (RISQUE MOYEN) : bloque le chargement des DLL depuis des images distantes, privilégie System32 et bloque les images à faible intégrité. Peut casser certaines superpositions de fournisseurs.
  • Bloquer AppInit_DLLs / IME : bloque les vecteurs d'injection AppInit_DLLs, IME et LSP Winsock.
  • Vérification stricte des handles (RISQUE ÉLEVÉ) : déclenche une erreur en cas d'utilisation incorrecte d'un handle. Un défaut d'hygiène des handles dans une bibliothèque tierce fera planter le processus.
  • Linux : bloquer ptrace : empêche l'attachement de ptrace et du débogueur pour les utilisateurs non root sous Linux.
  • macOS : refuser l'attachement du débogueur : refuse tout attachement ultérieur d'un débogueur sous macOS.

Moniteur d'altération

Le Moniteur d'altération exécute des sondes en arrière-plan qui recherchent les outils de triche, les débogueurs et les injecteurs à intervalles aléatoires. Les détections apparaissent dans l'onglet Événements d'altération. Sondes disponibles :

  • Détection de Cheat Engine / éditeur de mémoire : recherche Cheat Engine, ArtMoney, MHS, ReClass et les processus de scan de valeurs similaires.
  • Détection de débogueur / outil de rétro-ingénierie (x64dbg, IDA, Ghidra) : détecte les outils de rétro-ingénierie.
  • Détection d'injecteur de code (Process Hacker, Scylla) : détecte les injecteurs de code tels que Process Hacker, Scylla et kdmapper.
  • Détection de marques de triche de jeu (neverlose, aimware, etc.) : reconnaît les noms de processus de triche commerciale connus et effectue des requêtes DNS pour leurs domaines.
  • Analyse de pilotes suspects : détecte l'abus de pilotes vulnérables. Remarque : RTCore64 est également utilisé par MSI Afterburner, ce qui peut provoquer des faux positifs.
  • Sonde anti-débogage : vérifie les API courantes de présence de débogueur et les points d'arrêt matériels.
  • Vérification d'intégrité de l'exécutable (SHA-256) : hache l'exécutable du client à chaque balayage pour détecter un patch sur disque.
  • Vérification de signature (WinVerifyTrust) : vérifie la signature Authenticode. Laissez cette option désactivée pour les versions bêta non signées.
  • Surveillance des requêtes DNS (liste noire des domaines de triche) : analyse le cache DNS à la recherche de domaines de fournisseurs de triche connus.
  • Analyse des titres de fenêtres : analyse les titres de fenêtres pour repérer les processus de triche qui renomment leur binaire afin d'échapper à la détection par nom.

Intervalles des sondes

Les champs Intervalle de balayage minimal (secondes) et Intervalle de balayage maximal (secondes) déterminent la fréquence d'exécution des sondes du moniteur d'altération. Le client choisit un intervalle aléatoire entre ces deux valeurs pour chaque balayage. La plage autorisée va de 30 à 3600 secondes et le minimum doit être inférieur ou égal au maximum. Si les valeurs sont invalides, la page affiche le message : L'intervalle minimal doit être inférieur ou égal à l'intervalle maximal, et l'enregistrement est bloqué jusqu'à ce que vous les corrigiez.