CHEVAL DE TROIE - TROJAN HORSE...

22 Mars 2012

Les chevaux de Troie représentent aujourd'hui un phénomène inquiétant car grandissant. Ils ont changé les règles du jeu, ouvert de nouvelles voies dans lesquelles se retrouvent de plus en plus d'apprentis hackers. Car contrairement aux virus, ils sont faciles à utiliser, accessibles à tous (sans pré-requis en programmation) et très efficaces. Ces outils sont conçus pour espionner et infiltrer les systèmes. Ils sont furtifs et très difficiles à détecter, surtout tant que l'attaquant ne cherche pas à se manifester.
Dans cet article, je mets à nu tout le noir qui entoure ce terme et permettre aux internautes d’adopter de bons réflexes en respectant les règles élémentaires pour protéger leur vie privée, leurs données ainsi que leur machine sur le Net.

Qu’est-ce que c’est ?
Le cheval de Troie, aussi connu sous le nom anglais de Trojan Horse ou simplement trojan, est une des méthodes les plus courantes d'intrusiondans un système.
Le terme désigne tout programme qui s'installe de façon frauduleuse (souvent par le biais d'un mail ou d'une page web piégés) pour remplir une tâche hostile à l'insu de l'utilisateur. Les fonctions nocives peuvent être l'espionnage de l'ordinateur, l'envoi massif de spam, la prise de contrôle totale d’un ordinateur, l'ouverture d'un accès pour un pirate...

Objectifs
Leur objectif est le plus souvent d'ouvrir une porte dérobée ("backdoor") sur le système cible, permettant par la suite à l'attaquant de revenir à loisir épier, collecter des données, les corrompre, contrôler voire même détruire le système. Certains chevaux de Troie sont d'ailleurs tellement évolués qu'ils sont devenus de véritables outils de prise en main et d'administration à distance.
Les dommages causés par un cheval de Troie peuvent avoir des conséquences très sérieuses. Il peut donner l'entier contrôle de votre système à de parfaits inconnus agissant sous le couvert de l'anonymat. Par exemple, le contenu de votre système pourrait être totalement supprimé. De façon plus insidieuse, vos données personnelles ou d'affaires et certains mots de passe mémorisés sur votre ordinateur pourraient être découverts et dans certains cas modifiés. Sans que vous ne vous doutiez de rien, un cheval de Troie peut permettre à un pirate informatique d'utiliser votre connexion Internet sous votre identité pour commettre des délits criminels dont l'enquête remontera jusqu'à vous.

Mode d’infection
Une infection par un cheval de Troie fait généralement suite à l'ouverture d'un raccourci ou un lien contenant le code malware, à un téléchargement d’un outil. C’est la partie serveur qui est envoyée par courriel et se présente très souvent sous la forme d'une amélioration d'un logiciel (ex : MSN, Adobe Photoshop, Internet Explorer ...). Il peut aussi se présenter sous la forme d'un test de QI ou d'un jeu à but lucratif, etc. Leur mode opératoire est souvent le même :
   - Ils doivent tout d'abord être introduits dans le système cible le plus discrètement possible. Les moyens sont variés et exploitent le vaste éventail des failles de sécurité, du simple économiseur d'écran piégé (envoyé par mail ou autre, du type cadeau.exe, snow.exe, etc...) jusqu'à l'exploitation plus complexe d'un buffer overflow.
   - Après leur introduction dans le système, ils se cachent dans des répertoires système ou se lient à des exécutables.
   - Ils modifient le système d'exploitation cible (sous Windows, la base des registres) pour pouvoir démarrer en même temps que la machine. De plus, ils sont actifs en permanence (car un cheval de Troie est un véritable serveur, il reste à l'écoute des connections provenant de l'attaquant pour recevoir des instructions) mais ils restent furtifs et sont rarement détectables par l'utilisateur. Ainsi, un listing des tâches courantes ne fournira pas d'indication suffisante : soit le cheval de Troie y sera invisible, soit son nom sera tout ce qu'il y a de plus banal ("Patch.exe", ".exe", "winamp34.exe", "winrar.exe", "setup.exe", "rundlls").

Symptômes
   - Activité anormale du modem, de la carte réseau ou du disque dur (des données sont chargées en l'absence d'activité de la part de l'utilisateur)
   - Réactions curieuses de la souris
   - Ouvertures improvisées de programmes, du lecteur CD/DVD
   - Plantages répétés
   - Redémarrage répété du système

Ce qu’il ne faut pas faire
Les erreurs à éviter pour se prémunir contre les chevaux de Troie et les virus sont les mêmes. En premier lieu, n'acceptez jamais d'exécuter des programmes qui ne viennent pas d'une source entièrement sûre. Entendez par là des entreprises, organisations ou des sites fiables, reconnus et ayant une réputation à préserver.

Tous les sites reconnus ont une adresse alphabétique, selon le format nom.réseau.domaine. Par exemple : www.infinit.net ou ftp.videotron.com. Un nom de domaine enregistré n'est pas une garantie de sécurité mais un site n'ayant qu'une adresse numérique (du genre 10.149.67.205) ne pouvant être associée à aucune adresse alphabétique offre toutes les apparences d'un site peu connu. Ce pourrait être un site pirate. Les serveurs dont les contenus frôlent l'illégalité ou l'indécence sont aussi à éviter. Du moins, n'y acceptez pas de fichiers programmes pouvant s'exécuter sur votre système.

N'acceptez pas non plus de programmes transférés sur IRC, ICQ ou via d'autres types de causeries en ligne, même s'ils viennent d'un ami. Supposons que vous correspondiez avec un ami en qui vous avez toute confiance. Il connaît lui-même un ami qui connaît un autre ami et ainsi de suite. Pouvez-vous accorder votre confiance à l'ami de l'ami de l'ami de l'ami de votre ami ? Même si vous n'aviez aucun doute sur les bonnes intentions de toutes ces personnes, la réponse à la question devrait être NON parce que vous ne connaissez pas leur degré d'exposition au risque, ni les mesures de prudence qu'ils appliquent.

Des précautions identiques doivent s'appliquer au courrier électronique, aux disquettes et aux disques compacts de confection personnelle, c'est-à-dire copiés par un utilisateur plutôt que pré-enregistrés par un fabricant. À moins de connaître leur utilité, d'être sûr de leur provenance et de pouvoir vous fier aux mesures de prévention mises en application par l'expéditeur, n'acceptez pas de tels disques et détruisez les fichiers programmes attachés aux messages de courriel. Si vous devez absolument vous en servir, détachez-les et scrutez-les avec la dernière mise à jour de votre logiciel de protection avant de les exécuter.

Prévention
Pour lutter contre ce genre de programme malveillant, l'utilisation d'un antivirus, d'un pare-feu et d’un anti-malware (par exemple, Malwarebytes' Anti-Malware)
peut s'avérer efficace. Bien qu'étant d'une grande utilité, ces outils ne sont souvent que des mesures de réparation, après coup. Rien ne saurait remplacer la prudence élémentaire qui permet de prévenir le mal avant qu'il ne s'installe ou même qu'il ne frappe. Des gestes simples et une bonne hygiène d’utilisation de son outil informatique permettent de se prémunir des risques liés aux chevaux de Troie. Ainsi, il convient de n’installer et de n’exécuter des programmes que si l’on est certain de leur source et de leur contenu. La plupart de ces bons réflexes sont référencés dans mon article relatif aux 10 commandements de la sécurité internet où vous adopterez les règles de base non contraignantes pour surfer librement sur la toile.

Patrick TAKOUGNADI
Consultant Sécurité Informatique

plomberie paris 2eme

30/01/2015 01:58

J'apprécie votre blog , je me permet donc de poser un lien vers le mien .. n'hésitez pas à le visiter. Cordialement

Répondre

Fabrice

22/03/2012 13:45

Bel article Patrick! Permets-moi de faire quelques contributions 1- "Le terme désigne tout programme qui s'installe de façon frauduleuse (souvent par le biais d'un mail ou d'une page web piégés)" Je pense que le mail et les downloader derrière les pages web piégées ne sont que des modes de propagation des trojans. On peut également ajouter comme mode de on peut ajouter comme mode de propagation, les échanges de disques amovibles infectés. L'installation d'un trojan se fait par l'installation d'un programme en apparence légitime auquel le trojan a été associé(association réalisée grace à des binders). Cette installation est fait par l'utilisateur lui même en total méconnaissance du danger qu'il court. 2- Je remarque l'article a à peine afleuré les RAT (Remote Access Trojan). Un RAT permette à un hacker de prendre contrôle d'une machine à distance et d'executer des commandes sur un système cible. Les RAT sont elements essentiels à la création des botnets. Un botNet est un ensemble d'ordinateurs(bots ou zombies) infectés par un programme(trojan en général) et qui ont pour but d'attaquer des systèmes cibles. Les ordinateurs infectés repondent à un programme maitre souvent contrôlé par le hacher. Les botNets servent à réaliser des attaques de type DDoS(attaques dont le but est de saturer le réseau ou les système système cible de requêtes, afin que les utilisateus légitimes ne puissent pas avoir accès aux services). Ils sont des éléments essentiels à la cyberguerres. Les Etats qui se targent de posséder la plus grandes armées cybernétiques ont en réalité leur possession des botnets comportant des centaines de millions de bots ou certainement nos PC en font partie. 3- Entre autres mesures pour lutter contre les trojans, avant d'installer tout programme télécharger il est nécessaire de vérifier la signature associée au programme. Si vous calculez la signature du programme téléchargé et qu'elle n'est pas la même que celle du programme de réference, ça voudrait dire que le programme a été modifié dont ne pas l'installer.