Cheval de Troie (informatique)

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Page d'aide sur l'homonymie Pour les articles homonymes, voir Cheval de Troie (homonymie).

Un cheval de Troie (Trojan Horse en anglais) est un logiciel d’apparence légitime, conçu pour exécuter des actions à l’insu de l'utilisateur. En général, il utilise les droits appartenant à son environnement pour détourner, diffuser ou détruire des informations, ou encore pour ouvrir une porte dérobée (fonctionnalité inconnue de l'utilisateur légitime, qui donne un accès secret au logiciel qui permet à un pirate informatique de prendre, à distance, le contrôle de l'ordinateur). Les chevaux de Troie informatiques sont programmés pour être installés de manière invisible, notamment pour corrompre l'ordinateur hôte. La principale différence entre les virus, les vers et les chevaux de Troie est que ces derniers ne se répliquent pas. Ils sont divisés en plusieurs sous-classes comprenant entre autres les portes dérobées, les logiciels espions, les injecteurs, etc. On peut en trouver sur des sites malveillants ou autres. Cela dépend de ce que l'utilisateur télécharge.

Historique[modifier | modifier le code]

Les chevaux de Troie informatiques (ou trojan horses en anglais) tirent leur nom d'une légende de la Grèce antique narrée dans l'Odyssée, un texte homérique. Il s'agit de la méthode utilisée par les Grecs pour conquérir la ville de Troie : le héros Ulysse fait construire un immense étalon de bois qu'il place devant les portes de Troie et dans les flancs duquel il se cache avec ses compagnons. Lorsque les Troyens découvrent ce cheval, ils sont persuadés qu'il s'agit d'un cadeau divin et le font entrer dans leurs murs. Une fois la nuit tombée, Ulysse et ses compagnons sortent de leur cachette et ouvrent les portes de la ville au reste de l'armée qui détruit la ville et massacre les Troyens. Cette guerre a été gagnée violemment par les Achéens. Le premier cheval de Troie informatique se présentait comme un jeu ou une application d'apparence légitime, mais une fois installé, il endommageait l'ordinateur hôte. Les suivants sont devenus de plus en plus dangereux, certains formatant le disque dur.

Vecteurs d'infection[modifier | modifier le code]

Une infection par un cheval de Troie fait généralement suite à l'ouverture d'un fichier contenant le logiciel malveillant.

Les chevaux de Troie peuvent être contenus dans des jeux, des générateurs de clés (keygen), ou d'autres programmes modifiés (Windows Live Messenger, Adobe, Internet Explorer, etc.), téléchargés sur des sites et plateformes peu sûrs (P2P, sites non-officiels, certaines bannières de publicité et pop-ups).

Types et modes opératoires[modifier | modifier le code]

Les chevaux de Troie se répartissent en plusieurs sous-catégories, et ont chacune leur mode de fonctionnement :

  • Les portes dérobées sont les plus dangereux et les plus répandus des chevaux de Troie. Il s'agit d'un utilitaire d'administration à distance permettant à l'attaquant de prendre le contrôle des ordinateurs infectés via un LAN ou Internet. Leur fonctionnement est similaire à ceux des programmes d'administration à distance légitimes à la différence que la porte dérobée est installée et exécutée sans le consentement de l'utilisateur. Une fois exécutée, elle surveille le système local de l'ordinateur et n'apparait que rarement dans le journal des applications actives. Elle peut notamment envoyer, réceptionner, exécuter, supprimer des fichiers ou des dossiers, ainsi que redémarrer la machine. Son objectif est de récupérer des informations confidentielles, exécuter un code malicieux, détruire des données, inclure l'ordinateur dans des réseaux de bots, etc. Les portes dérobées combinent les fonctions de la plupart des autres types de chevaux de Troie. Certaines variantes de portes dérobées sont capables de se déplacer, mais uniquement lorsqu'elles en reçoivent la commande de l'attaquant.
  • Les chevaux de Troie PSW recherchent les fichiers système qui contiennent des informations confidentielles (comme les mots de passe, les détails du système, les adresses IP, les mots de passe pour les jeux en ligne, etc.) puis envoient par mail les données recueillies à la personne malintentionnée.
  • Les chevaux de Troie cliqueurs redirigent les utilisateurs vers des sites Web ou d'autres ressources Internet. Pour cela, ils peuvent notamment détourner le fichier hosts (sous Windows). Ils ont pour but d'augmenter le trafic sur un site Web, à des fins publicitaires ; d'organiser une attaque par déni de service ; ou de conduire le navigateur web vers une ressource infectée (par des virus, chevaux de Troie, etc.).
  • Les chevaux de Troie droppers installent d'autres logiciels malveillants à l'insu de l'utilisateur. Le dropper contient un code permettant l'installation et l'exécution de tous les fichiers qui constituent la charge utile. Il l'installe sans afficher d'avertissement ni de message d'erreur (dans un fichier archivé ou dans le système d'exploitation). Cette charge utile renferme généralement d'autres chevaux de Troie et un canular (blagues, jeux, images, etc.) qui, lui, a pour but de détourner l'attention de l'utilisateur ou de lui faire croire que l'activité de l'injecteur est inoffensive.
  • Les chevaux de Troie proxy servent de serveur proxy. Ils sont particulièrement utilisées pour diffuser massivement des messages électroniques de spam.
  • Les chevaux de Troie espions sont des logiciels espions et des programmes d'enregistrement des frappes, qui surveillent et enregistrent les activités de l'utilisateur sur l'ordinateur, puis transmettent les informations obtenues (frappes du clavier, captures d'écran, journal des applications actives, etc.) à l'attaquant.
  • Les chevaux de Troie notificateurs sont inclus dans la plupart des chevaux de Troie. Ils confirment à leurs auteurs la réussite d'une infection et leur envoient (par mail ou ICQ) des informations dérobées sur l'ordinateur attaqué (adresse IP, ports ouverts, adresses de courrier électronique, etc.).
  • Les bombes d'archives sont des fichiers archivés infectés, codés pour saboter l'utilitaire de décompression (par exemple, Winrar ou Winzip) qui tente de l'ouvrir. Son explosion entraîne le ralentissement ou le plantage de l'ordinateur, et peut également noyer le disque avec des données inutiles. Ces bombes sont particulièrement dangereuses pour les serveurs.
  • Les Man in the Browser (en) infectent les navigateurs web.

Symptômes d'une infection[modifier | modifier le code]

  • Activité anormale du modem, de la carte réseau ou du disque dur (des données sont chargées en l'absence d'activité de la part de l'utilisateur)
  • Réactions curieuses de la souris
  • Ouvertures impromptues de programmes ; du lecteur CD/DVD
  • Plantages répétés
  • Redémarrage répété du système

Prévention et lutte[modifier | modifier le code]

Pour lutter contre ce genre de programme malveillant, l'utilisation d'un antivirus peut s'avérer efficace, mais reste souvent insuffisante. Il est conseillé de faire une analyse complète de son système d'exploitation grâce à un antivirus. Dans certains cas[1], l'utilisateur peut se retrouver obligé de démarrer sur un autre système d'exploitation, puis de redémarrer en mode sans échec pour pouvoir reprendre la main.

Exemples[modifier | modifier le code]

  • Socket23
  • Back Orifice
  • Vundo (aussi dénommé Virtumonde)
  • Darkcomet-RAT (N'est pas un trojan à l'origine, il s'agissait d'un logiciel pour gérer les PC à distance, mais a été détourné par des pirates, de telle sorte que l'auteur d’origine arrête de développer)[2]
  • Poison Ivy[3] (Active)
  • Y3k RAT[4] (Inactive)
  • LANfiltrator[5]
  • BlackShades NET
  • Hadès-RAT
  • Bihrat
  • FlashBack

Notes et références[modifier | modifier le code]

  1. « Trojan : Faux enregistrement/activation de Windows », sur Malekal.com,‎ 8 juillet 2011
  2. « Backdoor Fynlosky.A / W32/Comet.A »
  3. « Remote administration tool », Poison ivy.com 20 November 2008 (consulté le 5 February 2011)
  4. « BD Y3K RAT 1.1 », Symantec date undisclosed (consulté le 5 February 2011)
  5. « Backdoor.Lanfiltrator », Symantec date undisclosed (consulté le 5 February 2011)

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Lien externe[modifier | modifier le code]