Accueil🇫🇷Chercher

Cheval de Troie (informatique)

Un cheval de Troie (Trojan horse en anglais) est un type de logiciel malveillant, qui ne doit pas être confondu avec les virus (informatique) ou autres parasites. Le cheval de Troie est un logiciel en apparence légitime, mais qui contient une fonctionnalité malveillante. Son but est de faire entrer cette fonctionnalité malveillante sur l'ordinateur et de l'installer à l'insu de l'utilisateur.

Histoire

Origine du concept

Le terme « cheval de Troie » a été inventé en 1970 par Daniel J. Edwards[1], chercheur à la NSA. En 1971, le manuel UNIX suppose le concept bien connu puisqu'il y est écrit[2] :

« On ne peut pas changer le propriétaire d’un fichier en modifiant le bit utilisateur, car ainsi on pourrait créer des chevaux de Troie capables d'utiliser frauduleusement les fichiers d'autres personnes. »

La terminologie a été par la suite utilisée en 1974 dans un rapport de l'US Air Force sur l'analyse de la vulnérabilité des systèmes informatiques[3], puis présentée en 1981 par David Jordan[4] et enfin vraiment popularisée par Ken Thompson dans la conférence Turing[5], qu'il donna à la réception du prix Turing en 1983, prix qu'il avait reçu pour avoir créé UNIX. Sa conférence est sous-titrée :

« To what extent should one trust a statement that a program is free of Trojan horses? Perhaps it is more important to trust: the people who wrote the software. »

Ce qui signifie :

« Dans quelle mesure doit-on se fier à une déclaration selon laquelle un programme est exempt de chevaux de Troie ? Il est peut-être plus important de faire confiance aux personnes qui ont écrit le logiciel. »

Il signale qu'il a eu connaissance de l'existence possible de chevaux de Troie (à la manière de ceux qu'ils présentent), dans un rapport sur la sécurité de Multics, dont il ne peut malheureusement pas trouver de référence, mais Paul Karger et Roger Schell[6] sont en position d'affirmer qu'il s'agit du rapport cité plus haut[3] - [7].

La légende du cheval de Troie dans l'Odyssée

Le cheval de Troie

Les chevaux de Troie informatiques (ou Trojan horses en anglais) tirent leur nom d'une célèbre légende de la Grèce antique, racontée par Homère dans l'Odyssée et reprise par Virgile dans l'Énéide. Le cheval de Troie est la méthode utilisée par les Grecs pour conquérir la ville de Troie : le héros Ulysse fit construire un immense étalon de bois qu'il plaça devant les portes de Troie et dans les flancs duquel il se cacha avec ses compagnons. Lorsque les Troyens découvrirent ce cheval, ils le firent entrer eux-mêmes dans leur cité. Ils s'endormirent sans méfiance tandis que le cheval se trouvait dans leurs murs. À la nuit tombée, Ulysse et ses compagnons sortirent de leur cachette et ouvrirent les portes de la ville au reste de l'armée, qui la détruisit et massacra ses habitants.

Les chevaux de Troie aujourd’hui

Un cheval de Troie informatique est un programme d'apparence inoffensive, mais qui contient un logiciel malveillant installé par l'utilisateur lui-même, ignorant qu'il fait pénétrer un intrus malveillant sur son ordinateur. C'est par analogie que ce type de programme a été baptisé « cheval de Troie », en référence à la ruse qu'Ulysse utilisa pour contourner les défenses adverses.

En 2014, une étude de l'Association of Internet Security Professionnals, centrée sur les dangers du live streaming illégal, révèle qu'un ordinateur sur trois est infecté par un logiciel malveillant et que 73 % de ces infections proviennent d'un cheval de Troie[8].

Les chevaux de Troie peuvent être utilisés de manière légale par les services de renseignement ou les services d'enquête. Ainsi dans un cadre judiciaire, les enquêteurs peuvent avoir recours à la captation des données informatiques. Le démantèlement du réseau de communications chiffrées EncroChat en est ainsi une illustration.

Quelques précisions terminologiques

Le programme contenu (ou téléchargé par la suite automatiquement) est appelé la charge utile[9]. Il peut s'agir de n'importe quel type de logiciel malveillant : virus, keylogger, logiciel espion ou publicitaire... C'est ce logiciel malveillant qui va exécuter des actions au sein de l'ordinateur victime[10]. Le cheval de Troie n'est rien d'autre que le véhicule, celui qui fait « entrer le loup dans la bergerie ». Il n'est pas nuisible en lui-même car il n'exécute aucune action, si ce n'est celle de permettre l'installation du vrai logiciel malveillant.

Dans le langage courant, on nomme souvent par métonymie « cheval de Troie » pour désigner le logiciel malveillant contenu à l'intérieur. Cette confusion est en partie alimentée par les éditeurs d'antivirus, qui utilisent « trojan » comme nom générique pour désigner différents types de programmes malveillants qui n'ont rien à voir avec des chevaux de Troie[11].

Vecteurs d'infection

Le cheval de Troie prend l'apparence d'un logiciel existant, légitime et parfois même réputé, mais qui aura été modifié pour y dissimuler un parasite. La subtilité avec laquelle l'installation est faite est expliquée par Ken Thompson dans sa conférence Turing. L'utilisateur va télécharger et installer le programme, pensant avoir affaire à une version saine. En réalité, le logiciel véhicule un logiciel malveillant qui va pouvoir s'exécuter sur son ordinateur. Les logiciels crackés peuvent d'ailleurs être des chevaux de Troie qui vont berner l'internaute qui souhaite obtenir gratuitement un logiciel normalement payant, comme Adobe Acrobat Pro, Photoshop, Microsoft Office[12]...

Origines fréquentes des chevaux de Troie

L’introduction d'un cheval de Troie dans un système informatique peut s'effectuer de différentes façons. Voici celles qui sont les plus courantes :

  • TĂ©lĂ©chargement de versions modifiĂ©es sur des sites non officiels ou des plateformes peu sĂ»res (P2P). TĂ©lĂ©charger un logiciel sur le site officiel de l'auteur ou du distributeur Ă©vite normalement d'avoir affaire Ă  une version infectĂ©e par un cheval de Troie.
  • Visite de sites Web contenant un exĂ©cutable (par exemple, durant les annĂ©es 2000, les contrĂ´les ActiveX ou des applets Java).
  • Exploitation de failles dans des applications obsolètes (navigateurs, lecteurs multimĂ©dias, clients de messagerie instantanĂ©e...) et notamment les Web Exploit.
  • IngĂ©nierie sociale (par exemple, un pirate envoie directement le cheval de Troie Ă  la victime par messagerie instantanĂ©e).
  • Pièces jointes et fichiers envoyĂ©s par messagerie instantanĂ©e.
  • Mise Ă  jour d'un logiciel.
  • Lecture d'une clĂ© USB d'origine inconnue.

Notions voisines du cheval de Troie

Le cheval de Troie ne doit pas ĂŞtre confondu avec d'autres notions proches :

  • L'injecteur (ou dropper, en anglais) est quasiment identique au trojan car il sert aussi de vĂ©hicule pour un logiciel malveillant. Cependant, l'injecteur est un programme spĂ©cialement crĂ©Ă© pour propager des logiciels malveillants, tandis qu'un cheval de Troie est une version modifiĂ©e d'un programme existant et lĂ©gitime.
  • La porte dĂ©robĂ©e (backdoor) est un programme qui va s'exĂ©cuter discrètement sur l'ordinateur oĂą il est installĂ© pour y utiliser une faille de sĂ©curitĂ©. Le backdoor ouvre un ou plusieurs ports sur la machine, ce qui lui permet d'accĂ©der librement Ă  Internet et de tĂ©lĂ©charger, Ă  l'insu de l'utilisateur, un logiciel malveillant. Le backdoor n'est donc pas un cheval de Troie car celui-ci ne vĂ©hicule pas le logiciel malveillant de lui-mĂŞme : il va simplement ouvrir un accès et rĂ©cupĂ©rer, via Internet, le programme malveillant qui se trouve sur un serveur distant.
  • Le RAT (Remote administration tool) est un logiciel de prise de contrĂ´le Ă  distance d'un ordinateur. Un RAT peut ĂŞtre un outil lĂ©gitime (pour le dĂ©pannage Ă  distance, par exemple), mais il peut aussi ĂŞtre utilisĂ© par un pirate pour s'emparer d'une machine. Dans ce cas, l'introduction du RAT sur la machine Ă  contrĂ´ler se fait Ă  l'insu de l'utilisateur. Contrairement Ă  ce qu'on lit parfois, le T de RAT ne signifie pas Trojan mais Tool (outil).
  • Les bombes de dĂ©compression ne contiennent pas de logiciels malveillants, mais elles peuvent ĂŞtre confondues avec les chevaux de Troie car la notion de conteneur entre aussi en jeu. Il s'agit d'un fichier compressĂ© (un fichier zip, par exemple) de taille raisonnable tant qu'il n'est pas ouvert. Mais lorsque l'utilisateur va tenter de le dĂ©compresser, celui-ci va gĂ©nĂ©rer un fichier d'une taille gigantesque. Cette « explosion » entraĂ®ne le ralentissement ou le plantage de l'ordinateur, et sature le disque dur avec des donnĂ©es inutiles. Bien qu'il s'agisse de conteneurs malveillants, le fonctionnement des bombes de dĂ©compression n'a donc rien Ă  voir avec celui des chevaux de Troie. En effet, elles ne transportent aucun parasite indĂ©pendant, elles saturent la machine de donnĂ©es alĂ©atoires.
  • Le Trojan Stealer, plutĂ´t spĂ©cialisĂ© dans le vol de donnĂ©es et notamment les comptes en ligne (mail, rĂ©seaux sociaux ou encore compte bancaire). Le prĂ©fixe utilisĂ© par les antivirus peut alors ĂŞtre Trojan.PWD, oĂą PWD signifie password pour mot de passe.

SymptĂ´mes possibles d'une infection

  • ActivitĂ© anormale de la carte rĂ©seau ou du disque dur (des donnĂ©es sont chargĂ©es en l'absence d'activitĂ© de la part de l'utilisateur).
  • Mouvements curieux de la souris.
  • Ouvertures impromptues de programmes ou du lecteur CD/DVD.
  • Plantages rĂ©pĂ©tĂ©s du système.
  • ArrĂŞt ou redĂ©marrage impromptus de l'ordinateur.
  • Écran ou fenĂŞtres comportement des messages inhabituels.
  • Comportement inhabituel dans le fonctionnement de l'ordinateur, comme la modification du rĂ´le des boutons de la souris ou la modification du volume du lecteur audio.
  • Ouverture ou fermeture intempestive de fenĂŞtres ou de logiciels.
  • Les programmes commencent ou terminent leur exĂ©cution de manière inattendue.
  • Le navigateur accède tout seul Ă  certains sites Internet.
  • PrĂ©sence d'autres programmes qui n'ont pas Ă©tĂ© volontairement installĂ©s (y compris des logiciels malveillants).
  • Vol de renseignements personnels : informations personnelles ou bancaires, mots de passe...
  • Suppression, modification ou transfert de fichiers (tĂ©lĂ©chargement ou upload).
  • ExĂ©cution ou arrĂŞt de processus.
  • Enregistrement des frappes (voir Enregistreur de frappe)
  • Captures d'Ă©cran inhabituelles.
  • Espace libre du disque dur occupĂ© par des fichiers inutiles.

Exemples

Une liste des Trojan Banker qui ont été les plus actifs en 2016 et qui sont spécialisés dans le vol de comptes bancaires :

  • Zeus
  • Spyeye
  • Dyre
  • Ursnif aka (Papras, ouVoslik)
  • Dridex.
  • Vawtrak

Notes et références

  1. « Oral history interview with Daniel J. Edwards », Charles Babbage Institute,
  2. Ken Thompsom, « UNIX PROGRAMMER'S MANUAL, », (consulté le )
  3. (en) Paul A. Karger et Roger R. Schell, « Multics Security Evaluation: Vulnerability Analysis , ESD-TR-74-193 », HQ Electronic Systems Division: Hanscom AFB, MA, vol. II,‎ (lire en ligne)
  4. (en) David M. Jordan, « Multics Data Security », Scientific Honeyweller, vol. 2, no 2,‎ (lire en ligne)
  5. (en) Ken Thompson, « Reflection on Trusting Trust », Commun. ACM, vol. 27, no 8,‎ , p. 761-763 (lire en ligne).
  6. (en) Paul A. Karger et Roger R. Schell, « Thirty Years Later: Lessons from the Multics Security Evaluation », ACSAC,‎ , p. 119-126 (lire en ligne)
  7. Karger et Schell écrivent même que Thompson a ajouté cette référence dans une version ultérieure de sa conférence Turing : (en) Ken Thompson, « On Trusting Trust », Unix Review, vol. 7, no 11,‎ , p. 70-74
  8. (en) « Illegal Streaming and Cyber Security Risks : a dangerous status quo ? », sur documentcloud,
  9. « Charge utile », sur Assiste.com,
  10. (en) « Trojan Horse », sur Webopedia
  11. (en) « What is the difference between viruses, worms, and Trojans? », sur Symantec,
  12. En fait, l'utilisateur devrait se remémorer la phrase de Laocoon citée par Virgile à propos du cheval de Troie : "Je crains les Grecs, même quand ils me font des cadeaux".
  13. « Backdoor.Lanfiltrator », Symantec date undisclosed (consulté le )
  14. « BD Y3K RAT 1.1 », Symantec date undisclosed (consulté le )

Voir aussi

Articles connexes

Liens externes

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.