Cheval de Troie (informatique)

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Page d'aide sur l'homonymie Pour les articles homonymes, voir Cheval de Troie (homonymie).

Un cheval de Troie (Trojan Horse en anglais) est un type de logiciel malveillant, souvent confondu avec les virus ou autres parasites. Le cheval de Troie est un logiciel en apparence légitime, mais qui contient une malveillance. Le rôle du cheval de Troie est de faire entrer ce parasite sur l'ordinateur et de l'y installer à l'insu de l'utilisateur.

Le programme contenu est appelé la "charge utile". Il peut s'agir de n'importe quel type de parasite : virus, keylogger, logiciel espion... C'est ce parasite, et lui seul, qui va exécuter des actions au sein de l'ordinateur victime. Le cheval de Troie n'est rien d'autre que le véhicule, celui qui fait "entrer le loup dans la bergerie". Il n'est pas nuisible en lui-même car il n'exécute aucune action, si ce n'est permettre au vrai parasite de s'installer.

Dans le langage courant, par métonymie on nomme souvent "cheval de Troie" le parasite contenu à l'intérieur. Cette confusion est en partie alimentée par les éditeurs d'antivirus, qui utilisent "trojan" comme nom générique pour désigner différents types de programme malveillants qui n'ont rien à voir avec des trojans.

Historique[modifier | modifier le code]

Les chevaux de Troie informatiques (ou trojan horses en anglais) tirent leur nom d'une célèbre légende de la Grèce antique. Il s'agit de la méthode utilisée par les Grecs pour conquérir la ville de Troie : le héros Ulysse fit construire un immense étalon de bois qu'il plaça devant les portes de Troie et dans les flancs duquel il se cacha avec ses compagnons. Lorsque les Troyens découvrirent ce cheval, ils le firent entrer eux-mêmes dans leur cité. Ils s'endormirent sans méfiance tandis que le cheval se trouvait dans leurs murs. À la nuit tombée, Ulysse et ses compagnons sortirent de leur cachette et ouvrirent les portes de la ville au reste de l'armée, qui détruisit la ville et massacra les Troyens.

Un cheval de Troie informatique est un programme d'apparence inoffensive mais qui en contient un autre, malveillant celui-là. Le cheval de Troie est installé par l'utilisateur lui-même, qui ignore qu'il fait pénétrer un parasite sur son ordinateur. C'est pourquoi on a baptisé ce type de programme "cheval de Troie", qu'Ulysse utilisa pour contourner les défenses adverses par la ruse.

Le premier cheval de Troie informatique se présentait comme un jeu ou une application[réf. nécessaire] d'apparence légitime, mais une fois installé, il endommageait l'ordinateur hôte[précision nécessaire].

Vecteurs d'infection[modifier | modifier le code]

Le cheval de Troie prend l'apparence d'un logiciel existant, légitime et parfois même réputé, mais qui aura été modifié pour y dissimuler un parasite. L'utilisateur va télécharger et installer le programme, pensant avoir affaire à une version saine. En réalité, le logiciel véhicule un parasite qui va pouvoir s'exécuter sur son ordinateur. Les logiciels crackés peuvent être des chevaux de Troie qui vont allécher l'internaute qui cherche à obtenir gratuitement un logiciel normalement payant (Adobe Acrobat pro, Photoshop, Microsoft Office..).

Ces versions trafiquées auront été téléchargées sur des sites non-officiels ou des plateformes peu sûres (P2P). Télécharger les logiciels sur le site officiel de l'auteur ou du distributeur évite d'avoir affaire à une version trafiquée. Cela n'est évidemment pas possible pour se procurer des versions crackées, mais faisable pour tous les logiciels gratuits.

Notions voisines du cheval de Troie[modifier | modifier le code]

Le cheval de Troie ne doit pas être confondu avec d'autres notions proches :

  • L' injecteur (ou dropper, en anglais) est quasiment identique au cheval car il sert lui aussi de véhicule pour une malveillance. Mais l'injecteur est un programme spécialement fabriqué pour propager des parasites, alors que le cheval est une version modifiée d'un programme existant et légitime.
  • La porte dérobée (backdoors) est un programme qui va s'exécuter discrètement sur l'ordinateur où il est installé pour y créer une faille de sécurité. Le backdoor ouvre un ou plusieurs ports sur la machine, ce qui lui permet d'accéder à internet librement et de télécharger, à l'insu de l'utilisateur, un parasite. Le backdoor n'est donc pas un cheval de Troie : il ne véhicule pas le parasite en lui, il va simplement ouvrir l'accès et récupérer, via internet, le programme malveillant qui se trouve sur un serveur distant.
  • Le RAT (Remote administration tool) est un logiciel de prise de contrôle à distance d'un ordinateur. Un RAT peut être un outil légitime (par exemple pour le dépannage à distance), mais il peut aussi être utilisé par un pirate pour s'emparer d'une machine. Dans ce cas, l'introduction du RAT sur la machine à contrôler se fait à l'insu de l'utilisateur. Par exemple, par un cheval de Troie qui contient le RAT, mais le RAT n'est pas le cheval. Contrairement à ce qu'on lit parfois, le T de RAT ne signifie pas Trojan mais Tool (outil).
  • Les bombes de décompression ne transportent pas de parasite, mais elles peuvent être confondues avec les chevaux de Troie car la notion de conteneur entre aussi en jeu. Il s'agit d'un fichier compressé, par exemple un fichier zip, de taille raisonnable tant qu'il n'est pas ouvert. Mais lorsque l'utilisateur va tenter de la décompresser, elle va générer un fichier monstrueux de plusieurs gigaoctets. Cette "explosion" entraîne le ralentissement ou le plantage de l'ordinateur, et sature le disque dur avec des données inutiles. Bien qu'il s'agisse de conteneurs malveillants, le fonctionnement des bombes de décompression n'a donc rien à voir avec celui des chevaux de Troie. En effet, elles ne transportent aucun parasite indépendant, elles saturent la machine de données aléatoires.

Types et modes opératoires[modifier | modifier le code]

Les chevaux de Troie se répartissent en plusieurs sous-catégories, et ont chacune leur mode de fonctionnement :

  • Les chevaux de Troie PSW recherchent les fichiers système qui contiennent des informations confidentielles (comme les mots de passe, les détails du système, les adresses IP, les mots de passe pour les jeux en ligne, etc.) puis envoient par mail les données recueillies à la personne malintentionnée.
  • Les chevaux de Troie cliqueurs redirigent les utilisateurs vers des sites Web ou d'autres ressources Internet. Pour cela, ils peuvent notamment détourner le fichier hosts (sous Windows). Ils ont pour but d'augmenter le trafic sur un site Web, à des fins publicitaires ; d'organiser une attaque par déni de service ; ou de conduire le navigateur web vers une ressource infectée (par des virus, chevaux de Troie, etc.).
  • Les chevaux de Troie proxy servent de serveur proxy. Ils sont particulièrement utilisées pour diffuser massivement des messages électroniques de spam.
  • Les chevaux de Troie notificateurs sont inclus dans la plupart des chevaux de Troie. Ils confirment à leurs auteurs la réussite d'une infection et leur envoient (par mail ou ICQ) des informations dérobées sur l'ordinateur attaqué (adresse IP, ports ouverts, adresses de courrier électronique, etc.).
  • Les Man in the Browser (en) infectent les navigateurs web.

Symptômes d'une infection[modifier | modifier le code]

  • Activité anormale du modem, de la carte réseau ou du disque dur (des données sont chargées en l'absence d'activité de la part de l'utilisateur)
  • Réactions curieuses de la souris
  • Ouvertures impromptues de programmes ; du lecteur CD/DVD
  • Plantages répétés
  • Redémarrage répété du système

Prévention et lutte[modifier | modifier le code]

Pour lutter contre ce genre de programme malveillant, l'utilisation d'un antivirus peut s'avérer efficace, mais reste souvent insuffisante. Il est conseillé de faire une analyse complète de son système d'exploitation grâce à un antivirus. Dans certains cas[1], l'utilisateur peut se retrouver obligé de démarrer sur un autre système d'exploitation, puis de redémarrer en mode sans échec pour pouvoir reprendre la main.

Exemples[modifier | modifier le code]

  • Socket23
  • Vundo (aussi dénommé Virtumonde)
  • LANfiltrator[2]
  • FlashBack
  • Y3k RAT[3](inactive)
  • Hadès-RAT

Notes et références[modifier | modifier le code]

  1. « Trojan : Faux enregistrement/activation de Windows », sur Malekal.com,‎ 8 juillet 2011
  2. « Backdoor.Lanfiltrator », Symantec date undisclosed (consulté le 5 February 2011)
  3. « BD Y3K RAT 1.1 », Symantec date undisclosed (consulté le 5 February 2011)

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Lien externe[modifier | modifier le code]