- Cheval de Troie (informatique)
-
Pour les articles homonymes, voir Cheval de Troie (homonymie).
Un cheval de Troie (Trojan Horse en anglais) est un logiciel d’apparence légitime, conçu pour exécuter des actions à l’insu de l'utilisateur. En général, il utilise les droits appartenant à son environnement pour détourner, diffuser ou détruire des informations, ou encore pour ouvrir une porte dérobée qui permet à un pirate informatique de prendre, à distance, le contrôle de l'ordinateur. Les trojans sont programmés pour être installés de manière invisible, notamment pour corrompre l'ordinateur hôte. La principale différence entre les virus, les vers et les chevaux de Troie est que ces derniers ne se répliquent pas. Ils sont divisés en plusieurs sous-classes comprenant entre autres les portes dérobées, les logiciels espions, les droppers, etc..
Le téléchargement ou le partage de programmes d'origine peu sûre est une source de contamination.
Sommaire
Historique
Les chevaux de Troie informatiques tirent leur nom de la légende narrée dans l'Iliade, texte homérique, à propos de la méthode utilisée par les grecs pour conquérir la ville de Troie : le héros Ulysse fait construire un immense cheval de bois qu'il place devant les portes de Troie et dans lequel il se cache avec ses compagnons. Lorsque les Troyens découvrent ce cheval ils sont persuadés qu'il s'agit d'un cadeau divin et le font entrer dans leurs murs. Une fois la nuit tombée, Ulysse et ses compagnons sortent de leur cachette et ouvrent les portes de la ville au reste de l'armée qui pille la ville et massacre les Troyens; le premier cheval de Troie informatique se présentait comme un jeu ou une application d'apparence légitime, mais une fois installé, il endommageait en fait l'ordinateur hôte.
Vecteurs d'infection
Une infection par un cheval de Troie fait généralement suite à l'ouverture d'un raccourci contenant le virus. La partie serveur est envoyée par courriel et se présente sous la forme d'une amélioration d'un logiciel (ex : MSN, Adobe Photoshop, Internet Explorer ...). Il peut aussi se présenter sous la forme d'un test de QI ou d'un jeu à but lucratif, etc. Il est important de savoir qu'une entreprise de micro-informatique ne propose jamais de mises à jour de ses programmes par courriel.
Types et modes opératoires
Les chevaux de Troie se répartissent en plusieurs sous-catégories, et ont chacune leur mode de fonctionnement :
- Les portes dérobées sont les plus dangereux et les plus répandus des chevaux de Troie. Il s'agit d'un utilitaire d'administration à distance permettant à l'attaquant de prendre le contrôle des ordinateurs infectés via un LAN ou Internet. Leur fonctionnement est similaire à ceux des programmes d'administration à distance légitimes à la différence que la porte dérobée est installée et exécutée sans le consentement de l'utilisateur. Une fois exécutée, elle surveille le système local de l'ordinateur et n'apparait que rarement dans le journal des applications actives. Elle peut notamment envoyer, réceptionner, exécuter, supprimer des fichiers ou des dossiers, ainsi que redémarrer la machine. Son objectif est de récupérer des informations confidentielles, exécuter un code malicieux, détruire des données, inclure l'ordinateur dans des réseaux de bots, etc. Les portes dérobées combinent les fonctions de la plupart des autres types de chevaux de Troie. Certaines variantes de portes dérobées sont capables de se déplacer, mais uniquement lorsqu'elles en reçoivent la commande de l'attaquant.
- Les chevaux de Troie PSW recherchent les fichiers système qui contiennent des informations confidentielles (comme les mots de passe, les détails du système, les adresses IP, les mots de passe pour les jeux en ligne, etc.) puis envoient les données recueillies à la personne mal-intentionnée par mail.
- Les chevaux de Troie cliqueurs redirigent les utilisateurs vers des sites Web ou d'autres ressources Internet. Pour cela, ils peuvent notamment détourner le fichier hosts (sous Windows). Ils ont pour but d'augmenter le trafic sur un site Web, à des fins publicitaires ; d'organiser une attaque par déni de service ; ou de conduire le navigateur web vers une ressource infectée (par des virus, chevaux de Troie, etc.).
- Les chevaux de Troie droppers installent d'autres logiciels malveillants à l'insu de l'utilisateur. Le dropper contient un code permettant l'installation et l'exécution de tous les fichiers qui constituent la charge utile. Il l'installe sans afficher d'avertissement ou de message d'erreur (dans un fichier archivé ou dans le système d'exploitation). Cette charge utile renferme généralement d'autres chevaux de Troie et un canular (blagues, jeux, images, etc.), qui lui, a pour but de détourner l'attention de l'utilisateur ou à lui faire croire que l'activité du dropper est inoffensive.
- Les chevaux de Troie proxy servent de serveur proxy. Ils sont particulièrement utilisées pour diffuser massivement des messages électroniques de spam.
- Les chevaux de Troie espions sont des logiciels espions et des d'enregistrement des frappes, qui surveillent et enregistrent les activités de l'utilisateur sur l'ordinateur, puis transmettent les informations obtenues (frappes du clavier, captures d'écran, journal des applications actives, etc.) à l'attaquant.
- Les chevaux de Troie notificateurs sont inclus dans la plupart des chevaux de Troie. Ils confirment à leurs auteurs la réussite d'une infection et leur envoient (par mail ou ICQ) des informations dérobées (adresse IP, ports ouverts, adresses de courrier électronique, etc.) sur l'ordinateur attaqué.
- Les bombes d'archives sont des fichiers archivés infectés, codés pour saboter l'utilitaire de décompression (par exemple, Winrar ou Winzip) qui tente de l'ouvrir. Son explosion entraîne le ralentissement ou le plantage de l'ordinateur, et peut également noyer le disque avec des données inutiles. Ces bombes sont particulièrement dangereuses pour les serveurs.
- Les Man in the Browser (en) infectent les navigateurs web.
Symptômes d'une infection
- Activité anormale du modem, de la carte réseau ou du disque dur (des données sont chargées en l'absence d'activité de la part de l'utilisateur)
- Réactions curieuses de la souris
- Ouvertures impromptues de programmes ; du lecteur CD/DVD
- Plantages répétés
- Redémarrage répété du système
Prévention et lutte
Pour lutter contre ce genre de programme malveillant, l'utilisation d'un antivirus et d'un pare-feu peut s'avérer efficace. Dans certains cas[1], l'utilisateur peut se retrouver obligé démarrer sur un autre système d'exploitation, puis de redémarrer en mode sans échec pour pouvoir reprendre la main. Il faut ensuite utiliser un anti-malware (par exemple, Malwarebytes' Anti-Malware)
Exemples
- Back Orifice
- Darkcomet-RAT
- Poison Ivy[2] (Active)
- Y3k RAT[3] (Inactive)
- LANfiltrator[4]
Notes et références
- Cet article est principalement issu de l'article de viruslist.com
- Trojan : Faux enregistrement/activation de Windows sur Malekal.com. Mis en ligne le 8 juillet 2011
- Remote administration tool, Poison ivy.com 20 November 2008. Consulté le 5 February 2011
- BD Y3K RAT 1.1, Symantec date undisclosed. Consulté le 5 February 2011
- Backdoor.Lanfiltrator, Symantec date undisclosed. Consulté le 5 February 2011
Voir aussi
Articles connexes
Wikimedia Foundation. 2010.