Windows et les Chevaux de Troie

Windows et les Chevaux de Troie
Par Dancho Danchev
[email protected]
http://www.frame4.com/
Traduit par Alexis Roussel
[email protected]
http://alexis.roussel.com/
Format Word et PDF par Guillaume MARIE
[email protected]
Version 1.0
===================================================================
Cet article est publié par Frame4 Security Systems. Tous les droits sont réservés. Vous
pouvez distribuer librement cet article, tant que son contenu reste inchangé et ainsi que cet entête. Je vous encourage aussi à le proposer en téléchargement sur votre site web, FTP, lettre de
diffusion ou autre. Si toutefois vous voulez le modifier, obtenez d'abord l'accord de son
auteur.
ATTENTION - CET ARTICLE N'EST PROPOSE QUE PAR SOUCI D'INFORMATION.
Dans les limites des textes juridiques applicables, Frame4 Security Systems ne pourra être
tenu pour responsable d'aucun dommage, comprenant de manière non exhaustive la perte de
profits, l'interruption d'activités professionnelles, la perte de données professionnelles ou toute
perte financière, résultant de l'utilisation des logiciels cités ou des procédures décrites dans cet
article, et cela même si Frame4 Security Systems a été informé de la survenance possible d'un
tel dommage. Cet article ne donne aucune garantie quant à son contenu, mais vous aide à
améliorer sensiblement la sécurité de Windows.
Cet article demeure la propriété de Frame4 Security Systems.
Tous droits réservés.
Copyright (c) 1999-2002 Frame4 Security Systems -- http://www.frame4.com/
------------------------------------------------------------------------------Notes de l'Auteur:
Cet article est une version mise à jour de celle que j'ai écrite il y a un maintenant certain
temps. Depuis, je l'ai vu sur tous les sites dédiés à la sécurité et au hacking que j'ai pu visiter.
J'apprécie que vous l'ayez tous sélectionné dans vos archives en recommandant sa lecture.
Depuis, de nouvelles sections sont apparues et des mises à jour ont été effectuées. Vous
pouvez y lire des aspects nouveaux et intéressants sur le sujet. Cet article répond aux
questions fréquemment posées sur les chevaux de Troie comme " comment les attaquants s'y
prennent-ils " ou " comment se protéger des chevaux de Troie ".
Si vous avez d'autres questions, idées, suggestions ou commentaires, n'hésitez pas à me le
faire savoir. Si vous pensez que j'ai oublié certains aspects ou bien simplement si vous
maîtrisez bien le sujet, contactez-moi. Vous pourrez ainsi contribuer à la prochaine mise à
jour. Bien sûr, vous ferez, ainsi que vos idées, l'objet de la plus grande attention.
Notes du Traducteur:
Cet article a été traduit de l'anglais. La grande majorité des liens proposés n'est donc
disponible en anglais uniquement. N'hésitez pas à contacter le traducteur
([email protected]) pour tout commentaire, question ou critique sur cette version de
l'article.
Table des Matières
1. DE QUOI PARLE CET ARTICLE?............................................................................................................... 3
2. QU'EST-CE QU'UN CHEVAL DE TROYES?.............................................................................................. 3
3. COMMENT FONCTIONNENT LES CHEVAUX DE TROIE?.................................................................. 3
4. TYPOLOGIE DES FONCTIONS DES CHEVAUX DE TROIE ................................................................. 5
4.1 ACCES A DISTANCE ....................................................................................................................................... 6
4.2 EMISSION DE MOT DE PASSE ........................................................................................................................ 6
4.3 "KEYLOGGING" ............................................................................................................................................. 6
4.4 DESTRUCTION ............................................................................................................................................... 6
4.5 ATTAQUE PAR DENIS DE SERVICE (DOS OU DENIAL OF SERVICE) ............................................................... 6
4.6 PROXY/WINGATE .......................................................................................................................................... 7
4.7 FTP (FILE TRANSFERT PROTOCOL) ............................................................................................................... 7
4.8 DETECTION ET FERMETURE D'APPLICATION ................................................................................................ 7
5. L'AVENIR DES CHEVAUX DE TROIE SOUS WINDOWS ...................................................................... 8
6. COMMENT JE PEUX ETRE CONTAMINE?.............................................................................................. 8
6.1 PAR ICQ........................................................................................................................................................ 9
6.2 PAR IRC (INTERNET RELAY CHAT)............................................................................................................... 9
6.3 PAR FICHIERS JOINTS ................................................................................................................................... 10
6.4 PAR ACCES PHYSIQUE ................................................................................................................................. 11
6.5 PAR LES VULNERABILITES DES NAVIGATEURS & LOGICIELS DE COURRIER ELECTRONIQUE ......................... 13
6.6 NETBIOS (PARTAGE DE FICHIER) ................................................................................................................. 13
7. FAUX PROGRAMMES................................................................................................................................. 14
8. SITES SENSIBLES ET GRATUICIELS ..................................................................................................... 14
9. COMMENT DETECTENT-ILS MA PRESENCE SUR L'INTERNET? ................................................. 16
10. QUE RECHERCHE UN ATTAQUANT? .................................................................................................. 16
11. ESPIONNAGE AVEC UN CHEVAL DE TROIE ..................................................................................... 17
12. LES PORTS UTILISES PAR LES CHEVAUX DE TROIE .................................................................... 17
13. COMMENT SAVOIR SI JE SUIS CONTAMINE? .................................................................................. 18
14. LOGICIELS ANTI-VIRUS.......................................................................................................................... 18
15. LOGICIELS ANTI-TROYEN ..................................................................................................................... 19
16. APRES LE NETTOYAGE........................................................................................................................... 21
17. SCANNEURS EN LIGNE............................................................................................................................ 22
18. CONSEILS .................................................................................................................................................... 23
19. LIENS............................................................................................................................................................. 24
20. CONCLUSION.............................................................................................................................................. 27
1. De quoi parle cet article?
" Windows et les Chevaux de Troie" est un article sur les chevaux de Troie dans
l'environnement de Windows, comment ils fonctionnent, leur typologie et bien sûr les
mesures à prendre pour minimiser le risque d'infection.
Des liens vers des logiciels spécifiques de détection ont été inclus ainsi que d'autres sujets
jamais abordés auparavant. Cet article ne vise pas seulement l'utilisateur " moyen " qui veut
savoir comment se protéger ou veut connaître la manière d'utiliser les chevaux de Troie, leurs
fonctions, comment s'en protéger et leur avenir. Il peut aussi être intéressant pour un
utilisateur avancé souhaitant aborder le sujet d'un différent point de vue.
Les chevaux de Troie ne sont qu'un aspect limité de la sécurité sous Windows. Mais vous
comprendrez rapidement, au cours de la lecture de cet article, à quel point ils peuvent être
dangereux et destructeurs.
2. Qu'est-ce qu'un cheval de Troyes?
Un cheval de Troie est:
- Un programme non autorisé contenu dans un autre programme. Ce programme non autorisé
remplit des fonctions probablement non désirées, inconnues de l'utilisateur.
- Un programme qui a été modifié par l'ajout non autorisé de code. Ce code emplit des
fonctions probablement non désirées, inconnues de l'utilisateur.
- Tout programme qui paraît remplir une fonction recherchée et nécessaire mais qui remplit
aussi, en raison de la présence inconnue et non autorisée de code, des fonctions non désirées,
inconnues de l'utilisateur.
Le cheval de Troie tire son nom de la mythologie grecque. Pendant la guerre de Troie, les
Grecs offrirent un cheval de bois géant aux Troyens. Ceux-ci acceptèrent le présent et le firent
entrer dans la ville. La nuit, des soldats grecs sortirent du cheval dans lequel ils s'étaient caché
et attaquèrent la ville.
3. Comment fonctionnent les chevaux de Troie?
Les chevaux de Troie sont composés d'un Client et d'un Serveur. Lorsque la victime
déclenche (inconsciemment) le serveur sur son ordinateur, l'attaquant peut utiliser le client
pour se connecter et utiliser le cheval de Troie. Le protocole TCP/IP est généralement utilisé
pour établir la communication mais certaines fonctions du cheval de Troie peuvent aussi
utiliser le protocole UDP.
Lorsque le serveur est déclenché sur l'ordinateur de la victime, il essaye d'abord de se cacher
dans l'ordinateur, puis il se met à écouter un ou plusieurs ports en attente d'une connexion de
l'attaquant. Enfin, il modifie la base de registre ou utilise toute autre méthode permettant son
exécution automatique.
Il est indispensable pour l'attaquant de connaître l'adresse IP de l'ordinateur de la victime.
Certains chevaux de Troie possèdent des fonctions permettant l'envoi par courrier
électronique de l'adresse IP ou par l'envoi de messages ICQ ou IRC. Cela est utile lorsque la
victime a une adresse IP dynamique, c'est à dire qu'elle est différente à chaque nouvelle
connexion à l'Internet (cela est généralement le cas pour des connexions par le réseau
téléphonique). La connexion ADSL permet d'obtenir une adresse IP fixe qui est toujours
connue de l'attaquant et lui facilite d'autant la tâche.
La plupart des chevaux de Troie utilisent des méthodes d'exécution automatique qui leur
permettent de se déclencher à chaque redémarrage de l'ordinateur et de donner chaque fois
l'accès à l'attaquant. De nouvelles méthodes d'exécution automatique et autres astuces
apparaissent régulièrement. Celles-ci vont de l'intégration du cheval de Troie dans certains
fichiers exécutables fréquemment utilisés comme par exemple explorer.exe, jusqu'à la
modification de fichiers systèmes ou de la base de registre de Windows. Les fichiers systèmes
se trouvent dans le répertoire de Windows et voici quelques brèves explications de leur
utilisation par les attaquants :
- Répertoire Démarrage :
Le Répertoire Démarrage se trouve dans
C:\Windows\Menu Démarrer\Programmes\Démarrage et comme son nom l'indique tout ce
qui s'y trouve est exécuté automatiquement.
- Win.ini :
Fichier système de Windows qui peut utiliser la commande load=Troyen.exe et
run=Troyen.exe pour exécuter le cheval de Troie.
- System.ini :
En utilisant l'expression Shell=Explorer.exe troyen.exe le cheval de Troie est
systématiquement exécuté après que Explorer.exe se soit lui-même exécuté.
- Wininit.ini :
Les programmes d'installation l'utilisent généralement; une fois exécuté, le fichier se supprime
automatiquement, ce qui est très pratique pour les chevaux de Troie.
- Winstart.bat :
Agit comme un fichier .bat normal, lorsque la commande @troyen.exe est ajoutée, elle permet
de cacher l'exécution à l'utilisateur.
- Autoexec.bat :
Il s'agit d'un fichier DOS de démarrage. Pour permettre l'exécution automatique d'un fichier, il
suffit de rajouter une ligne de commande comme celle-ci -> c:\Troyen.exe
- Config.sys :
Peut aussi être utilisé comme méthode d'exécution automatique pour des chevaux de Troie.
- Lancement d'Explorer :
Il s'agit d'une méthode d'exécution automatique pour Windows 95, 98, ME. Si c:\explorer.exe
existe, alors il sera lancé à la place de C:\Windows\Explorer.exe qui est le chemin habituel
pour le fichier explorer.
La base de registre est souvent utilisée comme méthode d'exécution automatique.
Voici quelques exemples connus:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Info"="c:\répertoire\Troyen.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Info"="c:\répertoire\Troyen.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Info"="c:\répertoire\Troyen.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOn
ce]
"Info"="c:\répertoire\Troyen.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Info"="c:\répertoire\Troyen.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Info"="c:\répertoire\Troyen.exe"
- Commande d'exécution de la base de registre
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
Une clé ayant pour valeur ""%1 %*" se trouve à cet endroit. Si la référence à un fichier
exécutable est placée à coté, celui-ci sera exécuté chaque fois qu'un fichier exécutable est
lancé. Pour utiliser cette méthode:
"troyen.exe "%1 %*"; cela relancerait le cheval de Troie.
- La Méthode de Détection de Réseau par ICQ
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]
Cette clé comprend tous les fichiers qui sont exécutés lorsque ICQ détecte la présence d'une
connexion à l'Internet. Comme vous pouvez l'imaginer, cette fonction d'ICQ est extrêmement
pratique et trop souvent sollicitée par les attaquants.
- Composant ActiveX :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed
Components\KeyName]
StubPath=C:\répertoire\Troyen.exe
L'utilisation des fichiers systèmes et de la base de registre de Windows constituent les
méthodes les plus courantes d'exécution automatique.
4. Typologie des fonctions des chevaux de Troie
La variété des chevaux de Troie est telle qu'il est difficile de tous les citer et de les décrire. La
plupart sont une combinaison des fonctions décrites ci-dessous ou de fonctions qui ne sont pas
connues et ne le seront probablement jamais.
4.1 Accès à Distance
Il s'agit de la fonction la plus répandue dans les chevaux de Troie, car elle donne à l'attaquant
le contrôle de l'ordinateur de la victime en lui permettant de faire certaines opérations que
même la victime, pourtant assise devant son ordinateur, ne peut faire. Cette fonction parait la
plupart du temps en combinaison avec les autres fonctions décrites ci-dessous. Le principe de
ce type de cheval de Troie est de donner à l'attaquant un accès TOTAL à l'ordinateur distant et
lui permettre d'accéder aux fichiers, aux communications privées, à des données de
connexion, etc.
4.2 Emission De Mot De Passe
Le but de cette fonction est de copier tous les mots de passe cachés pour les envoyer ensuite
par courrier électronique et cela sans que la victime ne s'en aperçoive. Les mots de passe,
ICQ, IRC, FTP, HTTP ainsi que ceux de tout autre programme nécessitant de l'utilisateur la
saisie d'un identifiant et d'un mot de passe, sont envoyés à l'adresse électronique de
l'attaquant, disposant la plupart du temps d'un compte de courrier électronique chez un
fournisseur de service gratuit. Ces chevaux de Troie ne nécessitent pas d'être redémarré avec
l'ordinateur, leur principe étant de récolter le maximum d'information sur l'ordinateur de la
victime. Ces informations recherchées dépendent des besoins de l'attaquant.
4.3 "Keylogging"
Cette fonction est très simple. Il s'agit d'enregistrer chaque touche du clavier enfoncée par la
victime dans un fichier log. L'attaquant peut ensuite parcourir le fichier log à la recherche de
mots de passe ou de toute autre information. Cette fonction est souvent couplée avec une
fonction d'enregistrement des touches enfoncées en ligne et hors-ligne. Bien sûr, on peut aussi
y rajouter une fonction d'envoi quotidien du fichier log par courrier électronique.
4.4 Destruction
Le seul objectif de cette fonction est la destruction de fichiers. Elle est extrêmement simple à
utiliser. Elle permet d'effacer automatiquement tous les fichiers les plus importants du
système (par exemple: les fichiers aux extensions .dll, .ini or .exe ou encore d'autres). Cette
fonction peut être déclenchée par l'attaquant, mais peut aussi être contenue dans une bombe
logique se déclenchant automatiquement un jour précis, à une heure précise.
4.5 Attaque Par Dénis De Service (DoS ou Denial of Service)
Cette fonction est devenue très populaire. Elle permet à l'attaquant d'initier une attaque par
dénis de service distribué (DDoS ou Distributed Denial of Service) s'il s'assure d'obtenir un
nombre suffisant de victimes.
Si vous parvenez à contaminer 200 utilisateurs de lignes ADSL et que vous déclenchez une
attaque simultanée sur une victime non-contaminée, cela engendrera un trafic de données bien
plus important que celui supporté par la bande passante de la victime, bloquant toute
communication vers l'Internet et à terme déconnectant l'ordinateur cible. WinTrinoo est
utilitaire d'attaque par dénis de service distribué (DDoS) qui à fait parler de lui récemment.
Des sites majeurs ont pu être bloqués comme nous l'avons vu dans l'actualité de ces derniers
mois.
Une variation de cette fonction d'attaque pas dénis de service (DoS) est le bombard (mail
bomb). Le but est de contaminer le plus grand nombre possible d'ordinateurs pour ensuite
déclencher une attaque contre une ou plusieurs adresses de courrier électronique avec des
messages aux sujets et contenus aléatoires, rendant inefficace toute technique de filtrage.
4.6 Proxy/Wingate
Cette fonction très intéressante permet de transformer l'ordinateur de la victime en serveur
proxy ou Wingate alors accessible par toute personne connectée au réseau ou uniquement par
l'attaquant. Cela permet une utilisation anonyme de services tels que Telnet, ICQ, IRC,
d'enregistrer des noms de domaines avec des numéros de cartes de crédit volés ou bien encore
pour toute autre activité illégale. Cela rend l'attaquant complètement anonyme, lui permettant
de tout exécuter depuis VOTRE ordinateur. Si ses activités sont découvertes, un traçage
permettra de remonter à votre ordinateur et non au sien.
4.7 FTP (File Transfert Protocol)
La plus simple, et maintenant dépassée des fonctions, ouvre le port 21, celui réservé au
protocole de transfert de fichiers (FTP), rendant l'ordinateur accessible par toute personne
connectée au réseau. Des nouvelles versions peuvent être protégées par un mot de passe
permettant uniquement à celui qui a contaminé l'ordinateur de s'y connecter.
4.8 Détection Et Fermeture D'application
Cette fonctionnalité, qui peut être implémentée soit dans un cheval de Troie soit dans un
programme indépendant, est capable de fermer certains logiciels pare-feu (firewall) ou antivirus, comme ZoneAlarmn, Norton Anti-Virus ou d'autres encore, sensés protéger votre
ordinateur. A ce moment-là, l'attaquant peut avoir un accès complet à votre ordinateur et
l'utiliser pour des activités illégales, pour attaquer d'autres cibles, et pour, à terme, disparaître.
Bien que vous pourrez constater que ces logiciels ne fonctionnent plus correctement, cela
vous prendra un certain temps pour supprimer le cheval de Troie, installer de nouveaux
logiciels de sécurité, les configurer et se reconnecter en ayant un certain sens de la sécurité.
Jetez un coup d'œil à la liste faite par SnakeByte (Bon travail!):
http://www.snake-basket.de/e/AV.txt
Vous comprendrez alors à quel point il est facile de fermer ces logiciels de sécurité. Il s'agit
d'une liste de logiciels anti-virus, leurs noms sous Windows, les fichiers qui leurs sont
associés et encore d'autres informations permettant à un attaquant de fermer ces logiciels. Je
n'ai rencontré que peu de ces logiciels anti-troyen qui permettent à l'utilisateur de définir un
autre chemin d'installation que celui proposé par défaut, de définir le nom du logiciel dans
l'environnement Windows ou de modifier tout autre élément rendant l'attaque, visant à fermer
ces logiciels, plus difficile à mener.
5. L'avenir des chevaux de Troie sous Windows
Les utilisateurs de Windows seront toujours une cible privilégiée pour les attaquants car la
plupart d'entre eux ne rendent pas compte de l'importance de la sécurité sous cet
environnement. Ils se sentent en sécurité avec un simple logiciel pare-feu sans qu'ils
comprennent réellement comment ce logiciel fonctionne et sans qu'ils sachent le configurer
correctement. Les chevaux de Troie sous Windows représenteront dans le futur un vrai
problème de sécurité.
Je suis sûr que les attaquants sont conscients de cela. Ils continueront d'ajouter de nouvelles
fonctions aux chevaux de Troie. Généralement, ces chevaux de Troie seront utilisés à des fins
privées. Des fonctions configurables d'attaque automatisée seront utilisées pour résoudre la
plupart des problèmes rencontrés par les attaquants comme le scannage de ports de manière
anonyme ou encore l'attaque par dénis de service distribué (DDoS).
Un document sur le sujet peut se trouver ici:
http://staff.washington.edu/dittrich/misc/ddos/
On peut imaginer un réseau, créé par un attaquant ou un groupe d'attaquants, s'inspirant des
concours actuellement organisés, dans le but de décrypter des mots de passe, mais cela dans
son propre intérêt. Quelqu'un a-t-il déjà pensé à une fonction de spamming (envoi massif de
courrier électronique non sollicité)? Implémentée dans un cheval de Troie, elle agirait de la
même manière que les logiciels de spamming déjà existants, circulant sur l'Internet à la
recherche d'adresses de courrier électronique. Il s'agit ici de quelques petits exemples, mais,
croyez-moi, il existe des fonctions bien plus avancées, implémentées dans des chevaux de
Troie, qui ne seront probablement jamais révélées.
Lors de la dixième session de la conférence Defcon, l'entreprise de sécurité SensePost
démontra qu'il était possible avec un cheval de Troie, Setiri, d'outrepasser tous les pare-feu et
les systèmes de détection d'intrusion (Intrusion Detection System ou IDS), permettant
d'accéder à un ordinateur fonctionnant dans un environnement sécurisé. Plus d'informations
sont disponible sur ce lien:
http://www.computercops.biz/modules.php?name=News&file=article&sid=1321
6. Comment je peux être contaminé?
Nombre de personnes ne peuvent concevoir les différents moyens de contamination car pour
elles, dans leur esprit, l'unique voie de contamination est celle du téléchargement et de
l'exécution d'un fichier serveur.exe, ce qu'elles ne feront jamais. Comme vous le verrez ici, il
existe une multitude de moyens permettant à un attaquant de contaminer votre ordinateur et
de l'utiliser pour des activités illégales. Je vous demande de prendre cela au sérieux. Lisez la
suite attentivement et rappelez-vous que la prévention est bien meilleure que tout remède !
6.1 Par ICQ
Certaines personnes ne comprennent pas qu'elles peuvent être contaminées en discutant par
ICQ ou tout autre logiciel de messagerie instantanée. Cela devient risqué lorsqu'elles
acceptent de recevoir des fichiers de n'importe qui, venant de n'importe où.
Croyez-le ou non, il y a encore des personnes sur le réseau qui utilisent d'anciennes versions
d'ICQ leur permettant de visualiser le numéro IP de la personne avec laquelle elles
communiquent. Ces anciennes versions possèdent cette fonctionnalité très pratique pour toute
personne sachant utiliser Winnuke ou tout autre utilitaire d'attaque DoS. Mais honnêtement,
est-ce vraiment dur de cliquer sur un bouton avec la souris ? Ces personnes sont souvent ellesmêmes des victimes potentielles de personnes plus au fait des chevaux de Troie et prenant
l'avantages des vulnérabilités de leurs anciennes versions d'ICQ.
Passons en revue les différentes manières d'être contaminé par ICQ:
- Vous ne pouvez jamais être absolument sûr de qui si trouve de l'autre coté à un moment
donné. Il se peut que quelqu'un ait piraté le numéro unique d'identification d'ICQ (Unique
Identification Number ou UIN) d'un de vos amis et veuille distribuer des chevaux de Troie à
ses contacts. Vous ferez à coup sûr confiance à votre bon ami Bob lorsqu'il vous proposera
quelque chose d'intéressant. Mais s'agit-il vraiment Bob ?
- Les vieilles versions d'ICQ comprenaient des failles dans la fonction serveur qui crée un site
sur votre propre ordinateur présentant vos informations contenues dans la base de données
d'ICQ. Ces failles permettent à l'attaquant d'accéder à n'importe quel fichier sur votre
ordinateur. Si vous avez lu attentivement les sections précédentes et que vous connaissez les
méthodes d'exécution automatique, vous comprendrez certainement ce qu'il peut se passer si
quelqu'un accède à votre fichier win.ini ou tout autre fichier système. Il pourra installer un
cheval de Troie en quelques minutes.
- Le fichier Troyen.exe, envoyé par ICQ, est d'abord renommé en Troyen... (150
espaces).txt.exe. L'icône est modifié pour être la même que celle d'un fichier .txt ordinaire. Le
cheval de Troie ressemble alors à un fichier .txt ordinaire. Cette faille a été certainement
corrigée dans les versions les plus récentes.
Quel que soit le logiciel de messagerie instantanée que vous utilisez, vous vous exposer
toujours à une attaque profitant d'une faille dont vous n'avez jamais entendu parler. Vous
n'avez peut-être aussi jamais pris le soin d'installer une version plus récente du logiciel.
Lorsque vous recevez un fichier, quelque soit son origine, quelque soit son expéditeur, prenez
l'aspect de la sécurité très au sérieux. Votre naïveté est votre point faible le plus vulnérable.
6.2 Par IRC (Internet Relay Chat)
Les IRC sont peuplés d'internautes qui peuvent y passent leur temps. Les IRC constituent un
autre lieu de contamination. La confiance est primordiale quoique vous fassiez. Refusez tous
les fichiers, quelque soit l'expéditeur, prétendant vous offrir des images pornographiques
gratuites, des connexions à l'Internet gratuites, un logiciel de piratage de comptes Hotmail.
Les débutants sont souvent une cible privilégiée et soyez certains que nombre d'internautes
restent des débutants en matière de sécurité. Les internautes sont souvent contaminés sur des
canaux spécialisés en échange de matériel pornographique ou, évidemment, sur des canaux
d'échange de programmes piratés.
Ils ne sont pas conscients du risque qu'ils prennent, leur esprit étant occupé à la recherche de
pornographie ou programmes gratuits.
Voici un scénario montrant comment vous pouvez être contaminé en utilisant un IRC:
- Vous êtes en train de discuter avec quelqu'un, une " fille " probablement, et vous passez un
bon moment. Bien sûr vous avez envie de voir la personne avec qui vous discutez. Vous lui
demandez si elle n'a pas une photo qu'elle peut vous envoyer, ou bien cette " fille " vous
propose d'elle-même de vous envoyer une de ses photos. Je suis sûr que, à ce moment, vous
mourrez d'envie de la voir. Elle vous annonce qu'elle vient de créer son propre économiseur
d'écran en utilisant un logiciel connu et elle vous propose de vous l'envoyer, non sans vous
avouer que certaines de ces photos sont un peu osées. Vous discutez depuis une semaine et
voilà que vous recevez un fichier écrandeveille.exe que vous exécutez. Vous découvrez de
très belles photos d'elle et sur certaines elle est toute nue, elle ne vous avait pas menti.
Rien de mal ou suspect ne s'est passé. Mais repensez un instant à ce qui s'est vraiment passé!
Vous avez téléchargé et exécuté un fichier.
- Le fichier Troyen.exe peut aussi être renommé en Troyen.scr avec une extension
habituellement réservée aux économiseurs d'écran. L'exécution de ce fichier se déroulera sans
problème. Soyez attentifs aux fichiers ayant cette extension.
- Le fichier Troyen.exe est renommé en Troyen... (150 espaces).txt.exe. En recevant ce fichier
par IRC, il apparaîtra, lorsqu'il sera transmis dans le cadre d'une discussion par connexion
directe (Direct Chat Connection ou DCC), comme un fichier .txt ordinaire. Vous ne ferez pas
attention en l'exécutant et vous serez à nouveau contaminé. Dans tous ces exemples, l'icône du
fichier est modifiée pour être identique à celle d'un fichier .txt ordinaire trompant encore plus
aisément les victimes.
La plupart des utilisateurs ne remarquent pas que le fichier est un exécutable apparaissant
dans leur explorateur comme un fichier .txt. Ainsi, avant de lire un fichier, même s'il s'agit
apparemment d'un fichier texte, vérifiez son extension.
6.3 Par fichiers joints
Je suis toujours surpris par le nombre de personnes qui sont contaminées par un fichier joint
envoyé par courrier électronique. La plupart des utilisateurs sont profanes sur l'Internet et
assez naïfs. Lorsqu'ils reçoivent un courrier électronique contenant un fichier joint leur
promettant un accès gratuit à l'Internet ou des images pornographiques gratuites, ils
l'ouvriront sans se rendre compte réellement des risques qu'ils encourent.
Lisez l'exemple suivant:
Alex, votre ami, est un programmeur expérimenté en Visual Basic. Vous savez qu'il est en
train de travailler sur son dernier programme. Vous attendez impatiemment un courrier
électronique de sa part avec le programme fini en fichier joint. Mais voilà que vous êtes aussi
la cible d'une attaque.
L'attaquant connaît l'adresse de votre ami. Il crée lui-même un petit programme ou récupère
un gratuiciel (freeware). Il vous envoie alors un courrier électronique utilisant un serveur
relais pour vous tromper et faire croire que le courrier provient bien d'Alex. L'adresse d'Alex
étant [email protected], le champ DE (FROM) du courrier électronique de l'attaquant sera
changé en [email protected]. Evidemment, le fichier joint sera infecté d'un cheval de Troie.
Lorsque vous consulterez vos courriers, vous verrez qu'Alex a enfin fini son programme et
vous l'a envoyé. Vous téléchargerez et exécuterez le fichier sans penser une seule seconde
qu'un cheval de Troie peut s'y cacher.
De toutes façons, Alex est votre ami, il ne vous ferait jamais ça. Vous serez contaminé.
L'information c'est le pouvoir! L'attaquant savait que vous attendiez un fichier. Il a trouvé
l'adresse d'Alex et vous a contaminé. Cela est arrivé parce que vous avez été naïf, parce que
vous avez vu l'adresse [email protected] dans le champ DE (FROM) du courrier et parce
que vous n'avez pas vu dans l'en-tête du courrier que celui-ci a été relayé par un serveur .jp
(Japon) utilisé aussi par des spammers depuis plusieurs mois.
Nombre d'internautes ont été contaminés par la fameuse "Mise à Jour de Microsoft Internet
Explorer" envoyée par courrier électronique par l'équipe inexistante des mises à jour de
Microsoft. Je comprends que l'on peut apprécier que Microsoft prenne soin de ses clients,
surtout quand il s'agit de soi. Ces "mises à jour" étaient des chevaux de Troie. Jamais,
Microsoft ne vous enverra des mises à jour ou des logiciels par courrier électronique. Comme
nous l'avons vu dans l'exemple précédent, il est très aisé de tromper sur la provenance d'un
courrier électronique. Que le champ DE (FROM) contienne [email protected] ne
garanti en rien que ce courrier a bien été envoyé par Microsoft. Si jamais vous recevez des
courriers ayant comme sujet "Mise à Jour de Microsoft Internet Explorer" ou tout autre sujet
de ce type, supprimez-les sans même les lire. Certains logiciels de courrier électronique
comme Outlook Express et d'autres possèdent des failles qui permettent l'exécution
automatique des fichiers joints sans que vous fassiez quoique ce soit. Il s'agit d'un problème
extrêmement grave qui nécessite que vous utilisiez toujours la dernière version mise à jour de
vos logiciels.
6.4 Par Accès Physique
L'accès physique est un point essentiel de la sécurité de votre ordinateur.
Imaginez ce que peut faire un attaquant lorsqu'il a un accès physique à votre ordinateur, ou
pire, si vous êtes en permanence connecté à l'Internet, et que vous quittez la pièce pendant
quelques minutes, juste le temps d'être contaminé. Dans cette section, je décrirai quelques
techniques utilisées par les attaquants lorsqu'ils ont un accès physique. Il y des gens très
malins qui ne cessent d'imaginer de nouvelles méthodes pour obtenir l'accès physique à un
ordinateur. Voilà quelques astuces intéressantes:
- Votre "ami" veut contaminer votre ordinateur auquel il a un accès physique.
Disons que vous êtes chez vous en train de naviguer sur le réseau ou de discuter en ligne.
Votre "ami" vous demande alors de lui servir un verre sachant que vous serez obliger de
quitter la pièce pendant au moins 1 minutes ou 2. Pendant que vous lui cherchez son verre, il
peut utiliser une disquette et contaminer votre ordinateur alors sans défense. Lorsque vous
revenez, tout paraît normal. Votre "ami" est toujours en train de naviguer sur le réseau.
- L'exemple suivant est celui de deux personnes voulant se venger de vous pour une
quelconque raison et qui ont décidé d'agir ensemble. Encore une fois, vous êtes chez vous
avec un de vos "amis" en train de naviguer, discuter en ligne. Le téléphone sonne. Au bout de
la ligne, un autre de vos "amis" veut vous parler de quelque chose d'important. Il ou elle (un
fille aurait plus de succès) veut s'assurer que vous êtes seul ou au moins à un endroit où l'on
ne pourra pas vous entendre, surtout votre "ami" présent. Dans ce cas, la victime est à
nouveau éloignée de son ordinateur, laissant l'attaquant libre de faire ce qu'il veut.
- On peut citer d'autres astuces proches de la précédente. Quelqu'un peut sonner à votre porte
d'entrée, d'autres conversations téléphoniques peuvent vous éloigner de votre ordinateur. Il
existe tellement de manières différentes. Pensez-y juste un moment et vous verrez à quel point
il est facile de vous piéger et cela, juste parce que vous n'êtes pas suffisamment conscient de
votre sécurité lorsqu'il s'agit de vos données informatiques sensibles.
- La notification d'insertion automatique du cd-rom est un des moyens de contamination
lorsque l'on a un accès physique à votre ordinateur. Vous avez certainement constaté que,
lorsque vous introduisez un cd-rom dans votre lecteur de cd-rom, celui-ci lance
automatiquement son interface d'installation. Voici un exemple d'un fichier Autorun.inf qui
est présent sur ce type de cd-rom:
[autorun]
open=setup.exe
icon=setup.exe
On peut alors facilement imaginer qu'un cheval de Troie s'exécute en même temps que
l'installation du cd-rom. Ne connaissant certainement pas cette fonction de votre lecteur de cdrom, vous serez contaminé et vous vous demanderez comment cela a été possible. Oui, je sais
que cette fonction est bien pratique, mais nous parlons ici de sécurité. C'est pourquoi il est
conseillé de désactiver cette fonction en suivant la procédure suivante:
Le bouton Démarrer->Paramètres->
Panneau de configuration->Système->Gestionnaire de périphériques->
CD-ROM->Propriétés->Paramètres
Il vous suffit de décocher la case correspondant à la notification d'insertion automatique.
Vous n'aurez plus aucun problème lié à cette fonction.
Je connais bien d'autres astuces pour accéder physiquement à un ordinateur dans le but de
l'infecter mais celles-ci sont les plus fréquentes. Faites-y attention et imaginez-en vous-même.
Lorsque la victime est connectée à l'Internet:
Encore une fois, je vous présenterai les astuces les plus fréquentes. Pendant que l'attaquant a
un accès physique à votre ordinateur, il peut télécharger le cheval de Troie autant de
techniques qu'il existe de protocoles Internet.
- Un IRCbot (Robot IRC), connu de l'attaquant seul, est en ligne sur un IRC ayant pour
unique fonction de télécharger, en établissant une discussion par connexion directe (Direct
Chat Connection ou DCC), un cheval de Troie à l'attaquant dés que celui-ci sollicite le robot
avec une commande particulière. La victime sera alors sûrement éloignée de son ordinateur.
- L'attaquant peut télécharger certaines nouvelles versions de logiciels infectés par un cheval
de Troie, visitant des adresses Internet connues par lui seul.
- L'attaquant peut aussi prétendre qu'il veut consulter sa boite de courrier électronique en ligne
comme Yahoo! ou Hotmail. En fait, il a auparavant sauvegardé un cheval de Troie dans sa
boite et il ne lui suffit plus que de le télécharger et de l'exécuter pour contaminer l'ordinateur.
Sa boite de courrier électronique est utilisée dans ce cas comme un espace de stockage de
données.
Comme vous l'imaginez, il existe bien d'autres manières de contaminer l'ordinateur de la
victime alors que celui-ci est connecté à l'Internet. Tous ces exemples peuvent être efficaces
mais dépendent du niveau de connaissance en matière d'Internet de la victime. Ainsi,
l'attaquant devra vérifier tous les aspects que j'ai mentionné dans cet article. Sachant cela,
l'attaquant pourra choisir la meilleure attaque pour contaminer sa cible.
6.5 Par les vulnérabilités des navigateurs & logiciels de courrier électronique
Les utilisateurs ne mettent pas suffisamment souvent à jour leurs logiciels.
Les attaquants le savent et mettent cela à profit. Imaginez que vous utilisez une vieille version
d'Internet Explorer. Un site peu recommandable sur lequel vous naviguez peut vérifier
automatiquement la version de votre navigateur et contaminer votre ordinateur sans que vous
n'ayez rien téléchargé ni exécuté. La même chose peut se produire lorsque vous consultez vos
courriers électroniques avec Outlook Express ou tout autre logiciel ayant les mêmes
vulnérabilités. Encore une fois, vous serez contaminé sans avoir téléchargé le fichier joint.
Soyez sur de disposer toujours de la version la plus récente de votre navigateur et de votre
logiciel de courrier. Vous réduirez d'autant les risques de contamination. Voici quelques liens
sur les vulnérabilités de ces logiciels. Consultez-les et essayez de comprendre à quel point ces
failles sont dangereuses.
http://www.guninski.com/browsers.html
http://www.guninski.com/netscape.html
6.6 Netbios (Partage de fichier)
Si le port 139 de votre ordinateur est ouvert, vous partagez certainement vos fichiers avec
d'autres ordinateurs sur le réseau. Il s'agit ainsi d'un moyen supplémentaire utilisé pour
accéder à votre ordinateur, y installer un cheval de Troie et modifier vos fichiers systèmes
pour que, la prochaine fois que votre ordinateur soit redémarré, le cheval de Troie est exécuté.
Parfois, l'attaquant peut même initier une attaque par dénis de service (DoS), bloquant votre
ordinateur et vous forçant à le redémarrer. Ainsi, le cheval de Troie est immédiatement
opérationnel. Pour supprimer le partage de fichiers, suivez la procédure suivante :
Le bouton Démarrer->Paramètres->Panneau de configuration->Réseau->
Partage de fichiers et d'imprimantes
Décocher toutes les cases. Vous n'aurez alors plus de risque d'être attaqué par le Netbios.
7. Faux Programmes
Imaginez un gratuiciel SimpleMail qui correspond exactement à vos besoins. Il comprend des
fonctions très pratiques comme son carnet d'adresses, la possibilité de gérer plusieurs comptes
POP3 ou toute autre fonction qui le rend bien plus attractif que votre logiciel habituel. En
plus, il est gratuit. Comme vous utilisez ZoneAlarm ou un logiciel équivalent pour vous
protéger, vous configurez ce dernier pour qu'il considère votre nouveau logiciel comme étant
digne de confiance. Ainsi, votre logiciel de protection ne vous gênera pas lorsque vous
utiliserez quotidiennement votre logiciel de courrier électronique. Il fonctionne très bien, vous
êtes satisfait, mais vous ne remarquez pas que votre ordinateur travaille plus qu'il ne devrait.
Chaque courrier que vous envoyez, ainsi que les mots de passe de vos comptes POP3, sont
transmis directement à l'attaquant sans que vous vous en rendiez compte. Les mots de passe
cachés dans Windows ainsi que les touches du clavier que vous avez pressées peuvent aussi
être envoyés. Il s'agit, pour l'attaquant, de récupérer le maximum d'informations comme les
numéros de cartes de crédit, les mots de passes de logiciels divers et encore bien d'autres.
Dans certains cas, l'attaquant peur même avoir un accès complet à votre ordinateur. Cela
dépend des fonctions implémentées dans le cheval de Troie. Les ports 25 ou 110, utilisés
lorsque vous envoyez un courrier, peuvent être sollicités par l'attaquant pour se connecter à
votre ordinateur et utiliser les fonctions cachées du logiciel. Bien sûr, il prendra la précaution
de s'y connecter à travers un autre ordinateur piraté pour l'occasion. L'astuce de l'attaque
consiste à vous offrir un logiciel qui nécessite qu'il se connecte régulièrement à un serveur.
Intégré dans l'interface du logiciel, un bandeau publicitaire se rafraîchit toutes les minutes. Il
s'agit officiellement de la seule source de revenu permettant au programmeur de continuer à
vous offrir ce très bon logiciel. Il l'explique d'ailleurs dans la section " A propos " de son
logiciel. Tout cela renforce la confiance que vous accordez à ce logiciel. Le logiciel de
protection, configuré par vos soins, ne bloquera ses tentatives de connexion. L'attaquant a
réussi à vous tromper. Même en imaginant que vous constatiez les activités anormales de
votre connexion, vous ne serez pas inquiété car le rafraîchissement du bandeau publicitaire
expliquera ces communications vers un serveur inconnu.
L'imagination est la seule chose dont un attaquant ait besoin. Et la plupart d'entre eux en ont.
Imaginez un faux Audigalaxy, renommé différemment, permettant l'échange de fichiers mp3.
L'attaquant pourra créer sur son propre ordinateur une base de données importante de mp3. Il
pourra faire de même sur d'autres ordinateurs piratés. Lorsque vous téléchargerez vos mp3,
vous aurez l'impression d'être connecté à des utilisateurs présents dans le monde entier.
L'attaquant peut aussi simplement vous proposer une interface qui ne montre pas la
provenance du fichier mp3. Le logiciel sera infecté d'un cheval de Troie, contaminant des
milliers d'utilisateurs trop naïfs et utilisant certainement des connexion ADSL.
Ces faux logiciels infectés sont souvent proposés sur des sites Internet d'apparence très
professionnelle, avec des liens à divers logiciels anti-troyens partenaires. Tout est arrangé
pour que vous accordiez votre confiance au logiciel, comme le fichier lisez-moi.txt inclus
dans les fichiers d'installations. Faites attention à tous les gratuiciels que vous téléchargez.
Considérez les comme extrêmement dangereux. Ils constituent un moyen très simple pour
contaminer votre ordinateur avec un cheval de Troie.
8. Sites sensibles et gratuiciels
Un site Internet, hébergé par un fournisseur gratuit ou proposant en téléchargement des
programmes utilisables dans des activités illégales, peut être considéré comme sensible.
Comme vous le savez, il existe des milliers de sites, spécialisés en piratage et en sécurité,
hébergés par des fournisseurs comme Xoom, Tripod, Geocities et d'autres. Ces sites disposent
de quantités de programmes de piratage, des scanneurs, des logiciels de bombards (mail
bomb), des flooders (logiciels inondant un ordinateur) et d'autres utilitaires. Souvent certains
de ces programmes, voir tous, sont infectés par le créateur du site. Il est donc risqué de
télécharger ces types de fichiers sur ses sites sensibles. Etes-vous prêts à prendre de tels
risques ? Certains de ces sites vous apparaîtront très professionnels, contenant une base de
données importante, des logiciels, des formulaires pour communiquer avec les concepteurs du
site et des liens avec d'autres sites connus. Je pense que si vous prenez le temps de regarder
les choses de plus près, en analysant les fichiers que vous téléchargez, vous pourrez décider
par vous-même de la confiance que vous pourrez donner à ce site.
Vous devez télécharger les logiciels comme mIRC, ICQ, PGP sur les sites officiels ou un de
leurs sites miroirs, et certainement pas sur d'autres. Parfois un site sensible peut vous proposer
la dernière version de mIRC 7.0, par exemple, alors que votre version est la 6.0. Bien sûr, il
est facile de cliquer et de télécharger en une minute le fichier exécutable, et vous serez à coup
sûr contaminé. Un site pourra même vous informer de la présence de fausses failles contenues
dans la version précédente, celle dont vous disposez, et vous proposer une "nouvelle" version.
Encore une fois, il est plus facile de télécharger directement ce logiciel que d'aller vérifier sur
le site officiel l'existence de correctifs ou de toute information concernant ces fameuses
failles.
Les webmestres de portails connus en matière de sécurité, qui disposent de nombreux
programmes de piratage, se sentent généralement responsable des fichiers qu'ils fournissent et
les scannent régulièrement avec des logiciels anti-virus et anti-troyen pour garantir la qualité
de leurs téléchargements. Il arrive que des attaquants proposent au webmestre de ces sites un
logiciel, un flooder UDP par exemple, mais qui sera infecté. Les visiteurs qui téléchargeront
le fichier seront contaminés. Les attaquants profitent alors du manque de conscience
sécuritaire des webmestres. Un magazine de jeux électroniques avait pour habitude de
distribuer un cd-rom comprenant des démo gratuites de nouveaux jeux. Les éditeurs du
magazine organisèrent un concours dans l'espoir de découvrir de nouveaux talents. Ils
proposèrent alors de leur envoyer leurs jeux. Un programmeur envoya son propre jeu sans
avoir oublié de l’infecter par un cheval de Troie de sa propre conception. Vous pouvez
imaginer les conséquences de la parution du cd-rom. Cela est arrivé car les éditeurs du cdrom, n'ayant que peu de connaissance sur la matière, ont utilisé un anti-virus qui ne détectait à
l'époque qu'une infime quantité de chevaux de Troie connus. Les webmestres proposant des
logiciels se doivent de les analyser régulièrement et doivent aussi examiner tout nouveau
fichier. En cas de doute, il doit être envoyé à votre laboratoire d'analyse de fichiers pour une
analyse plus poussée. Si vous voulez prendre soin de vous-même, prenez soin de vos visiteurs
ou de vos lecteurs.
Considérant la facilité pour un attaquant de vous contaminer avec des gratuiciels, ceux-ci
doivent être considérés comme suspects et extrêmement dangereux. Comprenez bien que
gratuit ne veuille pas forcément dire bon. Je vous conseille, avant d'utiliser un gratuiciel, de
rechercher des commentaires qui auront pu être rédigés sur le logiciel, de vérifier sur les
moteurs de recherche connus en y recherchant toute information disponible sur ces logiciels.
Lorsque vous trouvez des critiques sur des sites respectables, cela veut dire que ces logiciels
ont été utilisés et testés. La chance que le logiciel soit infecté est alors minimisée. Si vous ne
trouvez aucun commentaire, il peut être dangereux d'utiliser le logiciel.
9. Comment détectent-ils ma présence sur l'Internet?
Les nouveaux internautes se posent souvent cette question. Ils ne comprennent pas que
quelqu'un puisse vouloir les attaquer eux. Ils n'ont jamais fait de mal à personne. Ils ne se sont
jamais mis dans une situation qui aurait pu les mettre en danger. En lisant les sections
précédentes, j'espère que vous avez compris qu'il suffit de visiter un site Internet avec un
navigateur non sécurisé pour être contaminé.
Voici quelques exemples grâce auxquels un attaquant peut être averti de l'existence de votre
ordinateur sur l'Internet :
- Lorsque vous visitez une page Internet, un programme, intégré dans le code source de cette
page, peut vérifier automatiquement la présence de failles dans votre navigateur. S'il en
découvre, il peut installer un cheval de Troie sur votre ordinateur ou prévenir l'attaquant pour
qu'il y jette un coup d'œil. Assurez-vous d'avoir toujours la dernière version de votre
navigateur. Cela vous donnera une protection maximale. Vérifiez régulièrement les mises à
jour et appliquez-les!
- En vous connectant sur un canal IRC, un IRCbot (Robot IRC) peut être configuré pour
rechercher des ports ouverts utilisés par des chevaux de Troie ou par le partage de fichier
(Netbios). Si l'attaquant est intelligent, il programmera le scannage quelques minutes après
que vous ayez rejoint le canal IRC et utilisera pour cela une adresse IP qui n'est pas utilisée
par quelqu'un sur le canal.
- Le scannage, plus ou moins aléatoire, de blocs d'adresses IP permet de trouver des ports
ouverts utilisés par des chevaux de Troie ou par le partage de fichier (Netbios). Une fois
contaminé, votre ordinateur, comme aussi un IRCbot, peut être utilisé en scannant par
exemple les utilisateurs des canaux IRC très connus.
Il s'agit là des techniques les plus courantes utilisées par les pirates pour trouver des nouvelles
victimes à leurs activités illégales. Si vous êtes une cible directe, l'attaquant n'utilisera pas ces
méthodes. Il se renseignera sur les versions de votre système d'exploitation et du navigateur
que vous utilisez puis établira avec vous un contact personnel par IRC ou ICQ. Il cherchera
ensuite à vous tromper et vous contaminer.
10. Que Recherche Un Attaquant?
Certains peuvent croire que les chevaux de Troie sont utilisés uniquement pour détruire. Ils
peuvent aussi être utilisés pour espionner l'ordinateur de quelqu'un et pour récolter toutes
sortes d'informations privées ou sensibles, dans le cas d'espionnage industriel. Voici une liste
non limitative des informations qui peuvent intéresser un attaquant :
- Les informations sur les cartes de crédit souvent utilisées pour acheter en ligne, notamment
des noms de domaines.
- Les informations de connexion (mots de passe de courrier électronique, mots de passe de
connexion à l'Internet, mots de passe de services Internet, etc.)
- Les adresses de courrier électronique, pouvant être utilisé pour du spamming.
- Des documents et travaux professionnels
- Les photos, noms et ages d'enfants peuvent peut-être intéresser un attaquant pédophile
- Les travaux universitaires, pour les publier sous un autre nom.
Voici encore d'autres exemples de l'usage dont peut faire un attaquant de votre ordinateur:
- Une fois contaminé, votre ordinateur peut être utilisé comme espace de téléchargement de
logiciels piratés. Quelque soit la quantité d'espace libre dont vous disposer, cela sûrement
suffisant. L'attaquant prendra soin de limiter le nombre d'accès à votre ordinateur,
économisant ainsi la bande passante. Vous pourrez continuer d'utiliser normalement votre
ordinateur sans savoir qu'il a été transformé en serveur de logiciels piratés et qu'il est connu et
utilisé par des personnes dans le monde entier.
- Des collectionneurs d'images pornographiques pédophiles peuvent aussi transformer votre
ordinateur en espace de stockage et, encore un fois, permettre à d'autres collectionneurs de
télécharger des images. Jamais vous ne vous rendrez compte que votre ordinateur est utilisé
dans de telles activités.
- L'attaquant peut juste vouloir s'amuser en ouvrant votre lecteur de cd-rom ou en jouant avec
votre souris. Cela est complètement idiot et n'a aucun intérêt, pourtant nombre de pirates en
herbe le font.
- Votre ordinateur peut aussi être utilisé dans le cadre d'autres activités illégales, permettant
au pirate d'utiliser votre adresse IP pour pirater, scanner, " flooder ", pénétrer d'autres
ordinateurs sur l'Internet. C'est alors votre adresse IP qui s'affichera chez les victimes, et vous
risquez d'avoir des problèmes.
11. Espionnage Avec Un Cheval De Troie
Prenez le temps pour comprendre à quel point votre vie peut dépendre de votre ordinateur, de
votre ICQ, de votre logiciel de discussion, de votre courrier électronique. Votre vie devient
extrêmement vulnérable si jamais votre ordinateur est contaminé par un cheval de Troie. Les
chevaux de Troie peuvent, et ont été utilisés, pour de l'espionnage. Votre profil psychologique
peut être tiré en quelques heures en examinant vos courriers, vos contacts, en lisant vos
conversations privées, vérifiant les sites sur lesquels vous avez navigué, en analysant
l'historique d'ICQ ou de mIRC. Votre vie, mode de pensée, vos réactions dans des situations
données, vos besoins pourront être récupérés par un fou voulant vous manipuler ou vous
enrôler. En s'éloignant de notre sujet, imaginez la puissance d'une personne qui maîtrise la
psychologie, l'ingénierie sociale et possède une connaissance en sécurité informatique. Et
rappelez-vous que la plupart des gens révèlent leur vraie personnalité, leurs désirs, leur mode
pensée, leurs intérêts, lorsqu'ils sont persuadés que personne ne les regarde.
12. Les ports utilisés par les chevaux de Troie
Les chevaux de Troie utilisent des ports spéciaux pour établir la communication avec le
logiciel client. Les anciens chevaux de Troie utilisaient certains ports particuliers, mais
aujourd'hui ces ports peuvent être modifiés à chaque redémarrage du cheval de Troie. Voici
un lien vers la liste, la plus complète que j'ai vu, des ports utilisés par les chevaux de Troie
connus :
http://www.simovits.com/trojans/trojans.html
13. Comment savoir si je suis contaminé?
Lorsque 500 Mo en trop sont utilisés sur votre disque dur, vous pouvez penser qu'il s'agit d'un
comportement normal de Windows. Certains logiciels peuvent en avoir besoin ou alors vous
avez peut-être oublié de désinstaller un jeu. Toutes ces raisons peuvent cacher la vraie raison.
Voici quelques comportements suspects qu'il faut à tout prix prendre au sérieux et chercher à
en déterminer la cause, même si votre logiciel anti-virus vous affirme que vous n'êtes pas
contaminé. En connaissant certaines des fonctions des chevaux de Troie, vous serez plus apte
à réagir lorsque vous serez confrontés à de telles activités sur votre ordinateur. J'ai rajouté
dans cet article des liens vers diverses bases de données relatives aux chevaux de Troie que
vous devriez visiter si vous voulez approfondir vos connaissances.
- Lorsque vous visiter un site Internet, des fenêtres (pop-up) peuvent s'ouvrir
automatiquement. Cela est tout à fait normal. Mais si jamais, alors que vous ne faîtes rien,
votre navigateur vous emmène sur un site Internet que vous ne connaissez pas, alors vous
devez vous inquiéter.
- Un message étrange peut apparaître sur votre écran, vous demandant de répondre à des
questions personnelles.
- La configuration de Windows peut se modifier automatiquement, en changeant votre
économiseur d'écran, la date et l'heure, le volume du son. La souris peut bouger toute seule et
le lecteur de cd-rom peut s'ouvrir.
Evidemment les attaquants les plus expérimentés se contenteront de vous espionner et
d'utiliser votre ordinateur pour une raison particulière. Ils ne s'amuseront pas avec les astuces
citées ci-dessus. Ils s'arrangeront pour ne pas éveiller la suspicion sur l'ordinateur cible évitant
de se faire facilement remarquer.
14. Logiciels Anti-Virus
Les vieux logiciels anti-virus ne détectaient que les virus et seulement quelques rares chevaux
de Troie très connus. Depuis, réalisant la gravité de la situation, la plupart des anti-virus
détectent la majorité des chevaux de Troie. Mais, comme toujours, les gens pensent être en
sécurité lorsqu'ils utilisent un logiciel anti-virus. Ils n'ont de réelle conscience sécuritaire.
Ces logiciels se basent sur la "signature" de chacun de ces chevaux de Troie et sur les
méthodes connues d'exécution automatique. Mais il ne s'agit pas là de la solution parfaite. Les
chevaux de Troie peuvent utiliser d'autres méthodes pour se cacher, de méthodes qui sont
indétectables par les logiciels anti-virus. Lorsque les premiers logiciels anti-troyen sont sortis,
les logiciels anti-virus, pour s'assurer leur clientèle, ont dû développer des modules antitroyen, certains étant même très efficaces. Pour votre sécurité optimale, il est tout de même
recommandé d'utiliser la combinaison d'un logiciel anti-virus et logiciel d'un anti-troyen.
De nouveaux chevaux de Troie apparaissent tous les jours et les logiciels de détection sont
remis à jour quotidiennement pour la protection maximale de leurs clients. Mais souvent les
utilisateurs ne mettent pas à jour leur fichier de signatures aussi souvent qu'ils le devraient.
Leur logiciel de détection est donc incapable de reconnaître certains virii et chevaux de Troie.
Vous devez mettre à jour quotidiennement votre logiciel. Cela ne vous prendra que quelques
minutes. Chaque fois que vous téléchargez un nouveau fichier, il doit être systématiquement
analysé par vos logiciels avant d'être exécuté. Si, pour une raison quelconque, le fichier vous
paraît suspect, ne l'exécutez sous aucun prétexte, mais envoyez le plutôt à votre laboratoire
d'analyse de fichiers pour analyse.
15. Logiciels Anti-Troyen
Voici une liste des logiciels anti-troyens les plus connus. Cette liste comprend aussi des
logiciels, gratuiciel, divers qui vous aideront à analyser votre ordinateur à la recherche
d'activités pouvant résulter de la présence d'un cheval de Troie. Je vous propose de visiter
chaque site. Vous pourrez choisir vous-même le logiciel qui correspond au mieux à vos
besoins. Dans la section des liens, vous trouverez des sites Internet vous proposant des
analyses et des critiques des logiciels présents dans cette section.
TDS-3
Trojan Defence Suite (TDS) est un logiciel indispensable en matière de protection contre les
chevaux de Troie. Il contient des fonctions encore jamais rencontrées dans d'autres logiciels.
Ces fonctions sont très avancées et cela vous prendra certainement un peu de temps avant de
pouvoir utiliser pleinement le logiciel. Lisez les excellents fichiers d'aide.
Vous pouvez télécharger TDS à http://tds.diamondcs.com.au/
LockDown2000
Il s'agit d'un très bon logiciel anti-troyen qui détecte une majorité des chevaux de Troie et
autres logiciels de piratage. Il vous aidera à surveiller vos fichiers systèmes, les processus, la
base de registre, ainsi que toute modification qui y sera apportée. Vous aurez plus
d'informations sur le site Internet.
Vous pouvez télécharger LockDown2000 à http://www.lockdown2000.com
TFAK5
Trojans First Aid Kit (trousse de secours) est un scanneur de chevaux de Troie développé par
SnakeByte. Il dispose de fonctions uniques. Il pourrait aussi être utilisé comme logiciel client
pour certains chevaux de Troie.
Vous pouvez télécharger TFAK5 à http://www.snake-basket.de/tfak/TFAK5.zip
Trojan Remover
Ce logiciel de détection reconnaît, le 15 août 2002, 5468 chevaux de Troie et vers, ainsi que
leurs variantes. Des fonctions de surveillance des fichiers systèmes et de la base de registre
sont incluses. Vous aurez plus d'informations sur le site Internet:
http://www.simplysup.com/tremover/details.html
Pest Patrol
Cet utilitaire scanne votre ordinateur à la recherche de chevaux de Troie de certains logiciels
de piratage connus ainsi que des logiciels espions. Vous aurez plus d'informations sur le site
Internet officiel:
http://www.safersite.com/
Anti-Trojan 5.5
Ce logiciel est capable de supprimer la plupart des chevaux de Troie connus.
Vous aurez plus d'informations sur le site Internet officiel:
http://www.anti-trojan.net
Tauscan
Ce scanneur indispensable de chevaux de Troie dispose de fonctions uniques. Il est capable de
détecter de nouveaux chevaux de Troie encore jamais distribués publiquement. Vous aurez
plus d'informations sur le site Internet officiel:
http://www.agnitum.com/products/tauscan/
The Cleaner
Logiciel anti-troyen très populaire, connu de tous. Visitez le site Internet:
http://www.moosoft.com/
PC Door Guard
Logiciel de détection de chevaux de Troie. Il en détecte un nombre important et comprend
aussi une fonction de surveillance des fichiers et des répertoires.
Pour plus d'informations:
http://www.trojanclinic.com/pdg.html
Trojan Hunter
Logiciel très pratique de détection de chevaux de Troie disposant de nombreuses fonctions.
Vous aurez plus d'information à http://www.mischel.dhs.org/trojanhunter.jsp
LogMonitor
Cet un outil de surveillance des fichiers et des répertoires. Le logiciel s'exécute
périodiquement et surveille la date de modification de fichiers sélectionnés. Il permet
d'exécuter un logiciel externe. Il surveille aussi les répertoires à la recherche d'ajout,
suppression et modification de fichier. Je recommande cet outil pratique et qui vous sera très
utile.
Site Internet: http://logmon.bitrix.ru/logmon/eng/
PrcView
PrcView est un gratuiciel permettant de surveiller les processus en cours, montrant des
informations détaillées sur chacun d'entre eux. Ces informations comprennent la date de
création, la version, le chemin complet d'accès aux DLL utilisés par chaque processus, la liste
complète des threads, blocs mémoire et des heaps. PrcView permet aussi de terminer ou
d'ajouter un débuggeur un processus sélectionné. PrcView fonctionne sur les systèmes
d'exploitation Windows 95/98 et Windows NT. Il comprend une interface graphique et en
ligne de commande.
Pour obtenir PrcView: http://www.xmlsp.com/pview/prcview.htm
XNetStat
Outil de surveillance réseau pour Windows avec une interface graphique. Il vous aidera à
surveiller les ports ouverts sur votre ordinateur. Vous pouvez le télécharger à:
http://packetstormsecurity.org/Win/netstat.zip
ConSeal PC FIREWALL
Un très bon pare-feu pour des utilisateurs avancés de Windows ayant des connaissances
basiques du TCP/IP et d'autres protocoles. Ce logiciel vous aidera à sécuriser votre ordinateur.
Il possède de nombreux avantages sur d'autre pare-feu pour Windows. Pour obtenir le détail
des fonctionnalités, visitez le site officiel:
http://www.consealfirewall.com/
16. Après Le Nettoyage
La sécurité de votre ordinateur a été compromise, des données sensibles ont pu être volées,
des fichiers ont pu être modifiés et votre ordinateur a peut-être été utilisé dans le cadre
d'activités illégales. Voici ce que vous devez faire après avoir nettoyé votre ordinateur de tout
cheval de Troie.
- Le pirate connaît désormais les données de connexion à votre FAI (Fournisseur d'Accès
Internet) comme vos mots de passe, ceux d'ICQ, de mIRC, de sites FTP ou de certains
services Web. Vous devez contacter votre FAI pour qu'il modifie votre mot de passe.
Modifier aussi vos mots de passe ICQ et mIRC. Modifiez les même si, apparemment, ils n'ont
pas été changés. Un pirate peut vous faire croire que tout va bien en prenant le soin de ne rien
modifier. Il vous sera d'autant plus facile de récupérer vos données. Changez les mots de
passe de vos comptes de courrier électronique, notamment ceux de compte en ligne comme
Yahoo! et Hotmail. Les pirates peuvent uniquement modifier la "question secrète" ce qui leur
permettra de se connecter à votre compte que vous ayez modifié votre mot de passe ou non.
- Si vous utilisez la fonction carnet d'adresse de votre logiciel de courrier, vous y avez
certainement entré la liste complète des adresses électroniques de vos amis ou collègues.
L'attaquant peut utiliser cette liste et tenter de contaminer vos contacts. Informez-les de la
situation et conseillez-les de vérifier à leur tour l'intégrité des fichiers que vous leur avez
envoyés et la présence de chevaux de Troie dans leurs ordinateurs. Faites de même pour vos
contacts ICQ. Ces derniers sont aussi des cibles potentielles.
- Rechercher sur votre disque dur la présence de d'espace libre manquant pouvant être occupé
par des fichiers pirates ou par des images pédophiles pornographiques.
- Pensez aussi à toute donnée sensible que vous possédiez avant que la sécurité de votre
ordinateur soit compromise. Si vous êtes persuadés que le pirate a pu y avoir accès, prenez les
décisions nécessaire, comme contacter les propriétaires des données.
- Exécutez une analyse complète de votre ordinateur avec un logiciel anti-virus. Le pirate aura
pu contaminer votre ordinateur avec des virus pouvant détruire vos données au cas où il
n'aurait plus accès.
- Surveillez les processus du système d'exploitation, AVANT et APRES que vous vous soyez
connecté à l'Internet. Pour vous tromper, certains chevaux de Troie peuvent s'exécuter une
fois qu'ils ont détecté une connexion réseau. Soyez donc très vigilant.
17. Scanneurs En Ligne
Ces services sont, de nos jours, devenus très pratique pour tout utilisateur n'ayant que peu de
connaissance en matière de sécurité mais soucieux de se protéger. Si cette section se trouve à
la fin de l'article, c'est qu'il y a une raison. Si vous avez lu l'article, vous êtes sensés avoir
maintenant une bonne connaissance des chevaux de Troie, de leur fonctionnement et des
techniques permettant de les détecter. Vous êtes alors capable de juger de l'utilité de ces
scanneurs en ligne ou s'ils vous procurent un faux sentiment de sécurité.
Il existe différents types de scanneurs en ligne: Les scanneurs anti-troyen, les scanneurs de
ports et les analyseurs de failles.
- Les scanneurs anti-troyen
Ils utilisent une liste, avec des ports prédéfinis associés avec le nom du cheval de Troie
utilisant son port par défaut, par exemple Girl Friend=21544.
Si ce port en mode "écoute" est détecté sur votre ordinateur, le logiciel vous informera que
vous êtes contaminé par le cheval de Troie Girl Friend. Mais, comme vous le savez
maintenant, le cheval de Troie peut être modifié, selon le choix de l'attaquant, pour utiliser
n'importe quel port. Ces scanneurs deviennent alors inutiles. Des attaquants sérieux
n'oublieront pas de modifier le port.
- Les scanneurs de ports
Ce service vous permettra de scanner les ports connus ainsi que la totalité des ports
disponibles. Encore une fois, les ports connus sont ceux associés à des protocoles définis, par
exemple 21-FTP, 23-Telnet, 25-SMTP. Le scannage total des 65.535 ports disponibles ne sera
généralement pas proposé gratuitement à cause de la charge que représente l'opération en
terme de bande passante. Une association avec les ports connus sera faite, mais dans le cas où
le scannage découvrirait un port non associé, il le mentionnera de la manière suivante: Port
34525 Etat:en écoute. Cela veut dire que ce port est prêt à recevoir une tentative de connexion
de l'extérieur.
- Les analyseurs de failles
Le but est d'analyser votre navigateur ou logiciel de courrier électronique à la recherche de
failles. Si des failles sont découvertes, il vous sera proposé des liens vers des sites disposant
de mises à jour ou de la dernière version les corrigeant.
Il est conseillé de fermer tout logiciel utilisant l'Internet avant d'être scanné par de tels
services. Vous pourrez décider quel service, capable de détecté une contamination,
correspond le mieux à vos besoins. J'espère que vous connaissez maintenant les principes
généraux ainsi que les réponses qui peuvent être apportées. Des liens vers certains de ces
services ont été inclus dans la section des liens.
18. Conseils
Voici une section utile qui vous présente des astuces et des conseils pour se protéger des
chevaux de Troie. Elle rassemble différentes techniques déjà expliquées auparavant mais
résumées ici pour vous permettre les lires et de les comprendre plus facilement.
[01] N'acceptez de fichiers de personne, même d'un ami. Vous ne pouvez jamais être certain
de l'identité réelle de l'expéditeur. Si vous avez besoin, par exemple, d'un document de travail,
assurez-vous par d'autres moyens, comme le téléphone, que ce fichier provient bien de votre
correspondant. Cela prendra certainement du temps, mais cet excès de précautions vous
évitera une contamination.
[02] Avant d'exécuter un fichier, vérifier son extension. S'agit-il vraiment d'un .doc ou d'un
exécutable avec l'icône d'un .doc.
[03] Mettez régulièrement à jour les bibliothèques de vos logiciels anti-virus et anti-troyen.
Pour une sécurité optimale, faites-le quotidiennement. De nouveaux virus et chevaux de Troie
sont découverts tous les jours. La plupart de ces logiciels ont une fonction de scannage
automatique.
Programmez cette fonction pour qu'elle se déclenche la nuit, alors que votre ordinateur est
peut-être allumé. Cela renforcera encore l'efficacité de votre système de sécurité.
[04] Soyez toujours en possession de la dernière version de vos logiciels. Des nouvelles failles
apparaissent fréquemment. Vérifiez aussi l'existence de tout problème de sécurité liés à vos
logiciels et modifiez les ou mettez les à jour si nécessaire. Certains logiciels disposent d'une
fonction de recherche automatique des mises à jour. Utilisez cette fonction.
[05] Prenez le temps de surveiller régulièrement les tâches exécutées par votre ordinateur avec
certain des logiciels mentionnés. Vous serez surpris de ce que vous pourrez y trouver.
[06] Soyez conscient du risque que vous prenez en acceptant un logiciel envoyé par quelqu'un
que vous venez de rencontrer sur ICQ ou IRC.
[07] Considérez les gratuiciels comme dangereux. Avant d'en télécharger un, recherchez les
analyses dont ils ont fait l'objet.
[08] Lisez attentivement les fichiers d'aide des logiciels de détection pour être sûr de les
utiliser le plus efficacement possible.
[09] Téléchargez un logiciel uniquement sur le site Internet officiel ou un à partir d'un site
miroir référencé. Ne téléchargez jamais la dernière version d'ICQ ou de mIRC d'un site
hébergé chez un fournisseur d'espace gratuit comme Geocities. Considérez ce site comme
sensible.
[10] Si vous voulez jouer avec des chevaux de Troie, vous pouvez aussi être contaminé.
Certains auront pris le soin d'infecter des chevaux de Troie avec un autre cheval de Troie. Ils
n'auront plus qu’à attendre qu'un apprenti moins expérimenté tente de les utiliser.
[11] Ne croyez pas tout ce que vous lisez sur l'Internet, et ne téléchargez pas des logiciels sur
lesquels vous n'avez jamais rien lu.
19. Liens
Cette section peut être très utile pour tous ceux d'entre vous qui s'intéressent aux chevaux de
Troie. Vous y trouverez des articles, des analyses de logiciels, des bases de données, des
portails dédiés à la sécurité informatique et d'autres sites se rattachant au sujet de l'article.
J'ajouterai volontiers, dans la prochaine version de cet article, les liens que vous pourrez
m'envoyer, pointant sur des sites intéressants pour ce sujet.
Vous retrouverez tous ces liens, ainsi que d'autres concernant la sécurité informatique, dans le
répertoire
de
liens
de
Frame4
Security
Systems.
Il
se
trouve
à:
http://www.frame4.com/php/modules.php?name=Web_Links
Portails spécialisés sur les chevaux de Troie
URL : http://www.tlsecurity.net
DESC : Excellent portail dédié à la sécurité, disposant de nombreuses informations
concernant les chevaux de Troie.
URL : http://www.euyulio.org
DESC : Portail dédié à la sécurité avec une grande base de données et d'autres services
particuliers.
URL : http://www.megasecurity.org/
DESC : Portail dédié à la sécurité disposant d'une bibliothèque bien organisée.
URL : http://www.trojan.ch
DESC : Portail dédié aux chevaux de Troie avec des nouvelles, une bibliothèque et des
logiciels.
URL : http://www.trojanforge.net/
DESC : Portail dédié aux chevaux de Troie avec une bibliothèque, des documents, et un
forum de discussion.
URL : http://packetstormsecurity.org/trojans
DESC : Une section dédiée aux chevaux de Troie.
URL : http://www.pcflank.com
DESC : Portail dédié à la sécurité disposant de logiciels d'analyse en-ligne de navigateurs et
de détection de chevaux de Troie à distance.
URL : http://www.staff.uiuc.edu/~ehowes/trojans/tr-tests.htm
DESC : Site Internet présentant des comparatifs de résultats d'analyse de divers logiciel de
détection de chevaux de Troie.
Base de données de chevaux de Troie
URL : http://www.simovits.com/trojans/trojans.html
DESC : Enorme liste détaillée de chevaux de Troie avec leurs fonctions.
URL : http://www.tlsecurity.net/tlfaq.htm
DESC : List complète et bien présentée, avec analyse, des chevaux de Troie connus.
URL : http://www.blackcode.com/trojans/
DESC : Bibliothèque de vers et de chevaux de Troie mis à disposition par BlackCode.
Site Internet anti-troyen
URL : http://www.hackfix.org/
DESC : Site Internet présentant la sécurité informatique aux débutants.
URL : http://www.nohack.net/
DESC : Le projet nohack aide les débutants à nettoyer leur ordinateur et à se protéger.
URL : http://www.virushelp.info
DESC : Canal IRC dédié à la lutte contre les virii et les chevaux de Troie.
URL : http://www.anti-trojan.org
DESC : Site Internet d'aide de lutte contre les chevaux de Troie.
Analyses de logiciels de détection
URL : http://www.wilders.org/anti_trojans.htm
DESC : Site Internet proposant des analyses de logiciels anti-troyen.
URL : http://www.rokopsecurity.de/
DESC : Site Internet allemand proposant des analyses de logiciels anti-troyen et anti-virus
ainsi que d'autres informations. (Ce site est en allemand)
URL : http://www.fruitloop.net/virushelp/index.html
DESC : Site Internet proposant des analyses de logiciels de détection.
URL : http://www.firewallguide.com/anti-trojan.htm
DESC : Site Internet proposant des analyses et des services liés à la sécurité.
Articles sur les chevaux de Troie
URL : http://www.jmu.edu/computing/info-security/engineering/issues/remote.shtml
DESC : Article intéressant sur les chevaux de Troie.
URL : http://members.ozemail.com.au/~netsafe/trojan_index.html
DESC : Des informations détaillées concernant les chevaux de Troie.
URL : http://researchweb.watson.ibm.com/antivirus/SciPapers/Whalley/inwVB99.html
DESC : Les chevaux de Troie sous Windows.
URL : http://researchweb.watson.ibm.com/antivirus/SciPapers/Smoke/smoke.html
DESC : Un article indispensable.
URL :
http://www.frame4.com/content/files/the_gentle_art_of_trojan_horsing_under_windows.txt
DESC : Les chevaux de Troie sous Windows.
URL : http://www.frame4.com/content/files/trojdetecte.txt
DESC : La détection des chevaux de Troie et les astuces de Snakebyte.
URL : http://www.frame4.com/content/files/what_trojan.pdf
DESC : Article sur les chevaux de Troie sous Windows.
URL : http://www.frame4.com/content/files/Trojan_reversing.txt
DESC : De la lecture intéressante.
Scanneurs en ligne
URL : http://www.hackerwhacker.com/
DESC : Un scanneur en ligne indispensable avec des fonctions spéciales.
URL : http://www.scannerx.com
DESC : Service d'audit de sécurité.
URL : http://scan.sygatetech.com/
DESC : Scanneur de sécurité.
Navigateur et Logiciel de courrier électronique
URL : http://www.nwnetworks.com/iesc.html
DESC : Site dédié à la sécurité d'Internet Explorer.
URL : http://www.guninski.com
DESC : Site Internet d'un chercheur spécialiste en sécurité et des failles des navigateurs et du
contenu actif, une référence.
URL : http://www.sophos.com/virusinfo/whitepapers/activecontent.html
DESC : Document de présentation technique sur la sécurité du contenu actif
Divers
URL : http://directory.google.com/Top/Computers/Security/Anti_Virus/Trojans/
DESC : Le répertoire de Google sur les chevaux de Troie.
URL : http://support.microsoft.com/support/kb/articles/q262/6/31.asp?LN=ENUS&SD=gn&FR=0
DESC : Les extensions des fichiers à risque.
URL : http://www.frame4.com/content/files/razor.wintrinoo.txt
DESC : Une analyse du cheval de Troie WinTrinoo.
URL : http://www.megasecurity.org/Info/mIRC.txt
DESC : Article détaillant les portes dérobées contenues dans mIRC.
20. Conclusion
J'espère que vous avez réalisé l'importance du problème que posent les chevaux de Troie en
matière de sécurité sous Windows et que vous êtes devenus un peu paranoïaque. Si vous avez
déjà été contaminé, vous aurez peut-être compris, en lisant cet article, comment cela s'est
produit. Je suis sûr que vous ne ferez pas les mêmes erreurs. De nouveaux chevaux de Troie et
de nouvelles méthodes d'infection apparaissant régulièrement, cet article sera mis à jour avec
les dernières informations. Toutes vos critiques, idées, commentaires, suggestions ou tout ce
qui à un rapport avec le sujet seront appréciées. Je peux être contacté à l'adresse suivante:
[email protected].
Cet article fait partie de la bibliothèque de documents publiés par Frame4 Security Systems et
se trouve à http://www.frame4.com/publications/index.php. Vous y trouverez la dernière
version de l'article ainsi que d'autres documents ayant pour sujet la sécurité informatique.
------------------------------------------------------------------------------Cet article est publié par Frame4 Security Systems. Tous les droits sont réservés. Vous
pouvez distribuer librement cet article, tant que son contenu reste inchangé et ainsi que cet entête. Je vous encourage aussi à le proposer en téléchargement sur votre site web, FTP, lettre de
diffusion ou autre. Si toutefois vous voulez le modifier, obtenez d'abord l'accord de son
auteur.
ATTENTION - CET ARTICLE N'EST PROPOSE QUE PAR SOUCI D'INFORMATION.
Dans les limites des textes juridiques applicables, Frame4 Security Systems ne pourra être
tenu pour responsable d'aucun dommage, comprenant de manière non exhaustive la perte de
profits, l'interruption d'activités professionnelles, la perte de données professionnelles ou toute
perte financière, résultant de l'utilisation des logiciels cités ou des procédures décrites dans cet
article, et cela même si Frame4 Security Systems a été informé de la survenance possible d'un
tel dommage. Cet article ne donne aucune garantie quant à son contenu, mais vous aide à
améliorer sensiblement la sécurité de Windows.
Cet article demeure la propriété de Frame4 Security Systems.
Tous droits réservés.
Copyright (c) 1999-2002 Frame4 Security Systems -- http://www.frame4.com/
===================================================================