Cheval de Troie (informatique)
Un cheval de Troie (Trojan horse en anglais) est un type de logiciel malveillant, qui ne doit pas être confondu avec les virus (informatique) ou autres parasites. Le cheval de Troie est un logiciel en apparence légitime, mais qui contient une fonctionnalité malveillante. Son but est de faire entrer cette fonctionnalité malveillante sur l'ordinateur et de l'installer à l'insu de l'utilisateur.
Histoire
Origine du concept
Le terme « cheval de Troie » a été inventé en 1970 par Daniel J. Edwards[1], chercheur à la NSA. En 1971, le manuel UNIX suppose le concept bien connu puisqu'il y est écrit[2] :
- « On ne peut pas changer le propriétaire d’un fichier en modifiant le bit utilisateur, car ainsi on pourrait créer des chevaux de Troie capables d'utiliser frauduleusement les fichiers d'autres personnes. »
La terminologie a été par la suite utilisée en 1974 dans un rapport de l'US Air Force sur l'analyse de la vulnérabilité des systèmes informatiques[3], puis présentée en 1981 par David Jordan[4] et enfin vraiment popularisée par Ken Thompson dans la conférence Turing[5], qu'il donna à la réception du prix Turing en 1983, prix qu'il avait reçu pour avoir créé UNIX. Sa conférence est sous-titrée :
- « To what extent should one trust a statement that a program is free of Trojan horses? Perhaps it is more important to trust: the people who wrote the software. »
Ce qui signifie :
- « Dans quelle mesure doit-on se fier à une déclaration selon laquelle un programme est exempt de chevaux de Troie ? Il est peut-être plus important de faire confiance aux personnes qui ont écrit le logiciel. »
Il signale qu'il a eu connaissance de l'existence possible de chevaux de Troie (à la manière de ceux qu'ils présentent), dans un rapport sur la sécurité de Multics, dont il ne peut malheureusement pas trouver de référence, mais Paul Karger et Roger Schell[6] sont en position d'affirmer qu'il s'agit du rapport cité plus haut[3] - [7].
La légende du cheval de Troie dans l'Odyssée
Les chevaux de Troie informatiques (ou Trojan horses en anglais) tirent leur nom d'une célèbre légende de la Grèce antique, racontée par Homère dans l'Odyssée et reprise par Virgile dans l'Énéide. Le cheval de Troie est la méthode utilisée par les Grecs pour conquérir la ville de Troie : le héros Ulysse fit construire un immense étalon de bois qu'il plaça devant les portes de Troie et dans les flancs duquel il se cacha avec ses compagnons. Lorsque les Troyens découvrirent ce cheval, ils le firent entrer eux-mêmes dans leur cité. Ils s'endormirent sans méfiance tandis que le cheval se trouvait dans leurs murs. À la nuit tombée, Ulysse et ses compagnons sortirent de leur cachette et ouvrirent les portes de la ville au reste de l'armée, qui la détruisit et massacra ses habitants.
Les chevaux de Troie aujourd’hui
Un cheval de Troie informatique est un programme d'apparence inoffensive, mais qui contient un logiciel malveillant installé par l'utilisateur lui-même, ignorant qu'il fait pénétrer un intrus malveillant sur son ordinateur. C'est par analogie que ce type de programme a été baptisé « cheval de Troie », en référence à la ruse qu'Ulysse utilisa pour contourner les défenses adverses.
En 2014, une étude de l'Association of Internet Security Professionnals, centrée sur les dangers du live streaming illégal, révèle qu'un ordinateur sur trois est infecté par un logiciel malveillant et que 73 % de ces infections proviennent d'un cheval de Troie[8].
Les chevaux de Troie peuvent être utilisés de manière légale par les services de renseignement ou les services d'enquête. Ainsi dans un cadre judiciaire, les enquêteurs peuvent avoir recours à la captation des données informatiques. Le démantèlement du réseau de communications chiffrées EncroChat en est ainsi une illustration.
Quelques précisions terminologiques
Le programme contenu (ou téléchargé par la suite automatiquement) est appelé la charge utile[9]. Il peut s'agir de n'importe quel type de logiciel malveillant : virus, keylogger, logiciel espion ou publicitaire... C'est ce logiciel malveillant qui va exécuter des actions au sein de l'ordinateur victime[10]. Le cheval de Troie n'est rien d'autre que le véhicule, celui qui fait « entrer le loup dans la bergerie ». Il n'est pas nuisible en lui-même car il n'exécute aucune action, si ce n'est celle de permettre l'installation du vrai logiciel malveillant.
Dans le langage courant, on nomme souvent par métonymie « cheval de Troie » pour désigner le logiciel malveillant contenu à l'intérieur. Cette confusion est en partie alimentée par les éditeurs d'antivirus, qui utilisent « trojan » comme nom générique pour désigner différents types de programmes malveillants qui n'ont rien à voir avec des chevaux de Troie[11].
Vecteurs d'infection
Le cheval de Troie prend l'apparence d'un logiciel existant, légitime et parfois même réputé, mais qui aura été modifié pour y dissimuler un parasite. La subtilité avec laquelle l'installation est faite est expliquée par Ken Thompson dans sa conférence Turing. L'utilisateur va télécharger et installer le programme, pensant avoir affaire à une version saine. En réalité, le logiciel véhicule un logiciel malveillant qui va pouvoir s'exécuter sur son ordinateur. Les logiciels crackés peuvent d'ailleurs être des chevaux de Troie qui vont berner l'internaute qui souhaite obtenir gratuitement un logiciel normalement payant, comme Adobe Acrobat Pro, Photoshop, Microsoft Office[12]...
Origines fréquentes des chevaux de Troie
L’introduction d'un cheval de Troie dans un système informatique peut s'effectuer de différentes façons. Voici celles qui sont les plus courantes :
- Téléchargement de versions modifiées sur des sites non officiels ou des plateformes peu sûres (P2P). Télécharger un logiciel sur le site officiel de l'auteur ou du distributeur évite normalement d'avoir affaire à une version infectée par un cheval de Troie.
- Visite de sites Web contenant un exécutable (par exemple, durant les années 2000, les contrôles ActiveX ou des applets Java).
- Exploitation de failles dans des applications obsolètes (navigateurs, lecteurs multimédias, clients de messagerie instantanée...) et notamment les Web Exploit.
- Ingénierie sociale (par exemple, un pirate envoie directement le cheval de Troie à la victime par messagerie instantanée).
- Pièces jointes et fichiers envoyés par messagerie instantanée.
- Mise Ă jour d'un logiciel.
- Lecture d'une clé USB d'origine inconnue.
Notions voisines du cheval de Troie
Le cheval de Troie ne doit pas ĂŞtre confondu avec d'autres notions proches :
- L'injecteur (ou dropper, en anglais) est quasiment identique au trojan car il sert aussi de véhicule pour un logiciel malveillant. Cependant, l'injecteur est un programme spécialement créé pour propager des logiciels malveillants, tandis qu'un cheval de Troie est une version modifiée d'un programme existant et légitime.
- La porte dérobée (backdoor) est un programme qui va s'exécuter discrètement sur l'ordinateur où il est installé pour y utiliser une faille de sécurité. Le backdoor ouvre un ou plusieurs ports sur la machine, ce qui lui permet d'accéder librement à Internet et de télécharger, à l'insu de l'utilisateur, un logiciel malveillant. Le backdoor n'est donc pas un cheval de Troie car celui-ci ne véhicule pas le logiciel malveillant de lui-même : il va simplement ouvrir un accès et récupérer, via Internet, le programme malveillant qui se trouve sur un serveur distant.
- Le RAT (Remote administration tool) est un logiciel de prise de contrôle à distance d'un ordinateur. Un RAT peut être un outil légitime (pour le dépannage à distance, par exemple), mais il peut aussi être utilisé par un pirate pour s'emparer d'une machine. Dans ce cas, l'introduction du RAT sur la machine à contrôler se fait à l'insu de l'utilisateur. Contrairement à ce qu'on lit parfois, le T de RAT ne signifie pas Trojan mais Tool (outil).
- Les bombes de décompression ne contiennent pas de logiciels malveillants, mais elles peuvent être confondues avec les chevaux de Troie car la notion de conteneur entre aussi en jeu. Il s'agit d'un fichier compressé (un fichier zip, par exemple) de taille raisonnable tant qu'il n'est pas ouvert. Mais lorsque l'utilisateur va tenter de le décompresser, celui-ci va générer un fichier d'une taille gigantesque. Cette « explosion » entraîne le ralentissement ou le plantage de l'ordinateur, et sature le disque dur avec des données inutiles. Bien qu'il s'agisse de conteneurs malveillants, le fonctionnement des bombes de décompression n'a donc rien à voir avec celui des chevaux de Troie. En effet, elles ne transportent aucun parasite indépendant, elles saturent la machine de données aléatoires.
- Le Trojan Stealer, plutôt spécialisé dans le vol de données et notamment les comptes en ligne (mail, réseaux sociaux ou encore compte bancaire). Le préfixe utilisé par les antivirus peut alors être Trojan.PWD, où PWD signifie password pour mot de passe.
SymptĂ´mes possibles d'une infection
- Activité anormale de la carte réseau ou du disque dur (des données sont chargées en l'absence d'activité de la part de l'utilisateur).
- Mouvements curieux de la souris.
- Ouvertures impromptues de programmes ou du lecteur CD/DVD.
- Plantages répétés du système.
- Arrêt ou redémarrage impromptus de l'ordinateur.
- Écran ou fenêtres comportement des messages inhabituels.
- Comportement inhabituel dans le fonctionnement de l'ordinateur, comme la modification du rĂ´le des boutons de la souris ou la modification du volume du lecteur audio.
- Ouverture ou fermeture intempestive de fenĂŞtres ou de logiciels.
- Les programmes commencent ou terminent leur exécution de manière inattendue.
- Le navigateur accède tout seul à certains sites Internet.
- Présence d'autres programmes qui n'ont pas été volontairement installés (y compris des logiciels malveillants).
- Vol de renseignements personnels : informations personnelles ou bancaires, mots de passe...
- Suppression, modification ou transfert de fichiers (téléchargement ou upload).
- Exécution ou arrêt de processus.
- Enregistrement des frappes (voir Enregistreur de frappe)
- Captures d'Ă©cran inhabituelles.
- Espace libre du disque dur occupé par des fichiers inutiles.
Exemples
- Socket23
- Vundo (aussi dénommé Virtumonde)
- LANfiltrator[13]
- FlashBack
- Y3k RAT[14] (inactive)
- Hadès-RAT
- Back Orifice
- Beast
- Netbus
- ZeroAccess
- Koobface
Une liste des Trojan Banker qui ont été les plus actifs en 2016 et qui sont spécialisés dans le vol de comptes bancaires :
- Zeus
- Spyeye
- Dyre
- Ursnif aka (Papras, ouVoslik)
- Dridex.
- Vawtrak
Notes et références
- Cet article est principalement issu de l'article de viruslist.com
- « Oral history interview with Daniel J. Edwards », Charles Babbage Institute,
- Ken Thompsom, « UNIX PROGRAMMER'S MANUAL, », (consulté le )
- (en) Paul A. Karger et Roger R. Schell, « Multics Security Evaluation: Vulnerability Analysis , ESD-TR-74-193 », HQ Electronic Systems Division: Hanscom AFB, MA, vol. II,‎ (lire en ligne)
- (en) David M. Jordan, « Multics Data Security », Scientific Honeyweller, vol. 2, no 2,‎ (lire en ligne)
- (en) Ken Thompson, « Reflection on Trusting Trust », Commun. ACM, vol. 27, no 8,‎ , p. 761-763 (lire en ligne).
- (en) Paul A. Karger et Roger R. Schell, « Thirty Years Later: Lessons from the Multics Security Evaluation », ACSAC,‎ , p. 119-126 (lire en ligne)
- Karger et Schell écrivent même que Thompson a ajouté cette référence dans une version ultérieure de sa conférence Turing : (en) Ken Thompson, « On Trusting Trust », Unix Review, vol. 7, no 11,‎ , p. 70-74
- (en) « Illegal Streaming and Cyber Security Risks : a dangerous status quo ? », sur documentcloud,
- « Charge utile », sur Assiste.com,
- (en) « Trojan Horse », sur Webopedia
- (en) « What is the difference between viruses, worms, and Trojans? », sur Symantec,
- En fait, l'utilisateur devrait se remémorer la phrase de Laocoon citée par Virgile à propos du cheval de Troie : "Je crains les Grecs, même quand ils me font des cadeaux".
- « Backdoor.Lanfiltrator », Symantec date undisclosed (consulté le )
- « BD Y3K RAT 1.1 », Symantec date undisclosed (consulté le )