Attention au cheval de Troie

Un cheval de Troie (Trojan Horse en anglais) est un logiciel d’apparence légitime, conçu pour exécuter des actions à l’insu de l'utilisateur. En général, il utilise les droits appartenant à son environnement pour détourner, diffuser ou détruire des informations, ou encore pour ouvrir une porte dérobée (fonctionnalité inconnue de l'utilisateur légitime, qui donne un accès secret au logiciel qui permet à un pirate informatique de prendre, à distance, le contrôle de l'ordinateur)…

Les trojans sont programmés pour être installés de manière invisible, notamment pour corrompre l'ordinateur hôte. La principale différence entre les virus, les vers et les chevaux de Troie est que ces derniers ne se répliquent pas. Ils sont divisés en plusieurs sous-classes comprenant entre autres les portes dérobées, les logiciels espions, les droppers, etc…

Historique
Les chevaux de Troie informatiques tirent leur nom de la légende narrée (en Grèce ancienne) dans l'Iliade, texte homérique, à propos de la méthode utilisée par les grecs pour conquérir la ville de Troie : le héros Ulysse fait construire un immense étalon de bois qu'il place devant les portes de Troie et dans lequel il se cache avec ses compagnons. Lorsque les Troyens découvrent ce cheval ils sont persuadés qu'il s'agit d'un cadeau divin et le font entrer dans leurs murs. Une fois la nuit tombée, Ulysse et ses compagnons sortent de leur cachette et ouvrent les portes de la ville au reste de l'armée qui pille la ville et massacre les Troyens ; le premier cheval de Troie informatique se présentait comme un jeu ou une application d'apparence légitime, mais une fois installé, il endommageait en fait l'ordinateur hôte.

Vecteurs d'infection
Une infection par un cheval de Troie fait généralement suite à l'ouverture d'un fichier contenant le logiciel malveillant.

Les chevaux de Troie peuvent être contenus dans des jeux, des générateurs de clés (keygen), ou d'autres programmes modifiés (Windows Live Messenger, Adobe, Internet Explorer, etc.), téléchargés sur des sites et plateformes peu sûrs (P2P, sites non-officiels, certaines bannières de publicité et pop-ups).

Types et modes opératoires
Les chevaux de Troie se répartissent en plusieurs sous-catégories, et ont chacune leur mode de fonctionnement :

- Les portes dérobées sont les plus dangereux et les plus répandus des chevaux de Troie. Il s'agit d'un utilitaire d'administration à distance permettant à l'attaquant de prendre le contrôle des ordinateurs infectés via un LAN ou Internet. Leur fonctionnement est similaire à ceux des programmes d'administration à distance légitimes à la différence que la porte dérobée est installée et exécutée sans le consentement de l'utilisateur. Une fois exécutée, elle surveille le système local de l'ordinateur et n'apparait que rarement dans le journal des applications actives. Elle peut notamment envoyer, réceptionner, exécuter, supprimer des fichiers ou des dossiers, ainsi que redémarrer la machine. Son objectif est de récupérer des informations confidentielles, exécuter un code malicieux, détruire des données, inclure l'ordinateur dans des réseaux de bots, etc. Les portes dérobées combinent les fonctions de la plupart des autres types de chevaux de Troie. Certaines variantes de portes dérobées sont capables de se déplacer, mais uniquement lorsqu'elles en reçoivent la commande de l'attaquant.

- Les chevaux de Troie PSW recherchent les fichiers système qui contiennent des informations confidentielles (comme les mots de passe, les détails du système, les adresses IP, les mots de passe pour les jeux en ligne, etc.) puis envoient les données recueillies à la personne mal-intentionnée par mail.

- Les chevaux de Troie cliqueurs redirigent les utilisateurs vers des sites Web ou d'autres ressources Internet. Pour cela, ils peuvent notamment détourner le fichier hosts (sous Windows). Ils ont pour but d'augmenter le trafic sur un site Web, à des fins publicitaires ; d'organiser une attaque par déni de service ; ou de conduire le navigateur web vers une ressource infectée (par des virus, chevaux de Troie, etc.).

- Les chevaux de Troie droppers installent d'autres logiciels malveillants à l'insu de l'utilisateur. Le dropper contient un code permettant l'installation et l'exécution de tous les fichiers qui constituent la charge utile. Il l'installe sans afficher d'avertissement ou de message d'erreur (dans un fichier archivé ou dans le système d'exploitation). Cette charge utile renferme généralement d'autres chevaux de Troie et un canular (blagues, jeux, images, etc.), qui lui, a pour but de détourner l'attention de l'utilisateur ou à lui faire croire que l'activité du dropper est inoffensive.

- Les chevaux de Troie proxy servent de serveur proxy. Ils sont particulièrement utilisées pour diffuser massivement des messages électroniques de spam.

- Les chevaux de Troie espions sont des logiciels espions et des d'enregistrement des frappes, qui surveillent et enregistrent les activités de l'utilisateur sur l'ordinateur, puis transmettent les informations obtenues (frappes du clavier, captures d'écran, journal des applications actives, etc.) à l'attaquant.

- Les chevaux de Troie notificateurs sont inclus dans la plupart des chevaux de Troie. Ils confirment à leurs auteurs la réussite d'une infection et leur envoient (par mail ou ICQ) des informations dérobées (adresse IP, ports ouverts, adresses de courrier électronique, etc.) sur l'ordinateur attaqué.

- Les bombes d'archives sont des fichiers archivés infectés, codés pour saboter l'utilitaire de décompression (par exemple, Winrar ou Winzip) qui tente de l'ouvrir. Son explosion entraîne le ralentissement ou le plantage de l'ordinateur, et peut également noyer le disque avec des données inutiles. Ces bombes sont particulièrement dangereuses pour les serveurs.

- Les Man in the Browser (en) infectent les navigateurs web.

Symptômes d'une infection
- Activité anormale du modem, de la carte réseau ou du disque dur (des données sont chargées en l'absence d'activité de la part de l'utilisateur)
- Réactions curieuses de la souris
- Ouvertures impromptues de programmes ; du lecteur CD/DVD
- Plantages répétés
- Redémarrage répété du système

Prévention et lutte
Pour lutter contre ce genre de programme malveillant, l'utilisation d'un antivirus et d'un pare-feu peut s'avérer efficace, mais reste souvent insuffisante. Il est conseillé d'utiliser en priorité un anti-malware (par exemple : Malwarebytes', Anti-Malware, Ad-Aware, etc.) et de faire une analyse complète de son système d'exploitation. Dans certains cas1, l'utilisateur peut se retrouver obligé de démarrer sur un autre système d'exploitation, puis de redémarrer en mode sans échec pour pouvoir reprendre la main.

Pour prévenir les attaques de chevaux de Troie ou bien intervenir sur vos ordinateurs infectés :

78310 - TAKENOLOGIC http://www.depannage-maintenance-informatique-78.com
78430 - ABC INFORMATIK PC MAC ASSISTANCE PRO http://www.assistance-mac-pc-78.com