Le cheval de Troie
Transcription
Le cheval de Troie
ECCSA Rue Georges Simenon, 13 4000 LIEGE Le cheval de Troie Mengual Garcia Rémy Maesen Andy 6U Info Année scolaire:2011-2012 Le cheval de Troie Page1 Histoire Les chevaux de Troie informatiques tirent leur nom de la légende dans l'Iliade sur la méthode utilisée par les grecs pour conquérir la ville de Troie: le héros Ulysse fait construire un immense cheval de bois qu'il place devant les portes de Troie et dans lequel il se cache avec ses alliés. Lorsque les Troyens découvrent ce cheval ils sont persuadés qu'il s'agit d'un cadeau et le font entrer dans leur ville. Une fois la nuit tombée, Ulysse et ses compagnons sortent de leur cachette et ouvrent les portes de la ville au reste de l'armée qui pille la ville et massacre les Troyens. le premier cheval de Troie informatique se présentait comme un jeu ou une application d'apparence légitime, mais une fois installé, il endommageait en fait l'ordinateur hôte. Qu'est-ce qu'un cheval de Troie? On appelle "Cheval de Troie" un programme informatique effectuant des opérations à l'insu de l'utilisateur. Le cheval de Troie est un programme pouvant ouvrir les ports de la machine, c'est-à-dire permettant à son concepteur de s'introduire sur votre machine par le réseau en ouvrant une porte dérobée. C'est la raison pour laquelle on parle généralement de backdoor (littéralement porte de derrière). Un peu comme le virus, le cheval de Troie est un programme nuisible placé dans un programme sain (imaginez une fausse commande de listage des fichiers, qui détruit les fichiers au-lieu d'en afficher la liste). Fonctionnement du cheval de Troie Un cheval de Troie est un logiciel malveillant qui permet à un hacker de perturber le fonctionnement d'un ordinateur ou d'en prendre le contrôle. Pour faire entrer ce programme espion, le pirate envoie le plus souvent un mail à la personne dont il cherche à infiltrer l'ordinateur et met son «cheval» en pièce jointe. L'ouverture de ce fichier (extension .rar, .zip, .dll, .exe, etc) lance en toute discrétion l'installation du mouchard sur la machine. Celuici va généralement se cacher dans la partie immergée - les fichiers système - de l'iceberg que constitue le système d'exploitation (Windows, Linux, MacOS). Pour une plus grande discrétion, le fichier d'installation du cheval de Troie («Trojan horse» en anglais) est parfois dissimulé dans un fichier ou un programme qui fonctionne tout à fait normalement - un jeu par exemple. Après avoir été installé par la victime, le logiciel se lance ensuite de manière automatique au démarrage de la machine sous un nom générique, identique à ceux des nombreux processus qui permettent le bon fonctionnement d'un ordinateur. A chaque fois qu'il est opérationnel, le «cheval» envoie un message au pirate par Internet pour le prévenir. Suivant la manière dont le mouchard est programmé, le hacker pourra, grâce à un autre logiciel installé sur sa propre machine : • fouiller et surveiller l'ordinateur de sa victime pour débusquer automatiquement Le cheval de Troie Page2 certaines informations (mots de passe, codes bancaires, etc) et les envoyer vers n'importe quel ordinateur extérieur ; • détruire des données pour déranger le fonctionnement d'un ordinateur ; • lancer des procédures automatiques comme, par exemple, des envois de mails massifs («spamming») ; • permettre au pirate d'entrer dans la machine pour y consulter des documents ou en prendre le contrôle (le piratage du ministère des Finances semble appartenir à cette catégorie). Méthode du pirate Le principe du cheval de Troie est généralement d'ouvrir un port de votre machine pour permettre à un pirate d'en prendre le contrôle. le but du pirate est dans un premier temps d'infecter votre machine en vous faisant ouvrir un fichier infecté contenant le troyen et dans un second temps d'accéder à votre machine par le port qu'il a ouvert. Toutefois pour pouvoir s'infiltrer sur votre machine, le pirate doit généralement en connaître l'adresse IP: • Soit vous avez une adresse IP fixe (cas d'une entreprise ou bien parfois de particuliers connecté par câble, ...) auquel l'adresse IP peut être facilement récupérée. • Soit votre adresse IP est dynamique (affectée à chaque connexion), c'est le cas pour les connexions par modem, auquel le pirate doit scanner des adresses IP au hasard afin de déceler les adresses IP correspondant à des machines infectées. Types et leur mode opératoires Les chevaux de Troie se répartissent en plusieurs sous-catégories, et ont chacune leur mode de fonctionnement: • • • Les portes dérobées sont les plus dangereux et les plus répandus des chevaux de Troie. Il s'agit d'un utilitaire d'administration à distance permettant à l'attaquant de prendre le contrôle des ordinateurs infectés via un LAN ou Internet. Leur fonctionnement est similaire à ceux des programmes d'administration à distance légitimes à la différence que la porte dérobée est installée et exécutée sans le consentement de l'utilisateur. Une fois exécutée, elle surveille le système local de l'ordinateur et n’apparaît que rarement dans le journal des applications actives. Elle peut notamment envoyer, réceptionner, exécuter, supprimer des fichiers ou des dossiers, ainsi que redémarrer la machine. Son objectif est de récupérer des informations confidentielles, exécuter un code malicieux, détruire des données, inclure l'ordinateur dans des réseaux de bots, etc. Les portes dérobées combinent les fonctions de la plupart des autres types de chevaux de Troie. Certaines variantes de portes dérobées sont capables de se déplacer, mais uniquement lorsqu'elles en reçoivent la commande de l'attaquant. Les chevaux de Troie PSW recherchent les fichiers système qui contiennent des informations confidentielles (comme les mots de passe, les détails du système, les adresses IP, les mots de passe pour les jeux en ligne, etc.) puis envoient les données recueillies à la personne mal-intentionnée par mail. Les chevaux de Troie cliqueurs redirigent les utilisateurs vers des sites Web ou d'autres Le cheval de Troie Page3 • • • • • • ressources Internet. Pour cela, ils peuvent notamment détourner le fichier hosts (sous Windows). Ils ont pour but d'augmenter le trafic sur un site Web, à des fins publicitaires ; d'organiser une attaque par déni de service ; ou de conduire le navigateur web vers une ressource infectée (par des virus, chevaux de Troie, etc.). Les chevaux de Troie droppers installent d'autres logiciels malveillants à l'insu de l'utilisateur. Le dropper contient un code permettant l'installation et l'exécution de tous les fichiers qui constituent la charge utile. Il l'installe sans afficher d'avertissement ou de message d'erreur (dans un fichier archivé ou dans le système d'exploitation). Cette charge utile renferme généralement d'autres chevaux de Troie et un canular (blagues, jeux, images, etc.), qui lui, a pour but de détourner l'attention de l'utilisateur ou à lui faire croire que l'activité du dropper est inoffensive. Les chevaux de Troie proxy servent de serveur proxy. Ils sont particulièrement utilisées pour diffuser massivement des messages électroniques de spam. Les chevaux de Troie espions sont des logiciels espions et des d'enregistrement des frappes, qui surveillent et enregistrent les activités de l'utilisateur sur l'ordinateur, puis transmettent les informations obtenues (frappes du clavier, captures d'écran, journal des applications actives, etc.) à l'attaquant. Les chevaux de Troie notificateurs sont inclus dans la plupart des chevaux de Troie. Ils confirment à leurs auteurs la réussite d'une infection et leur envoient (par mail ou ICQ) des informations dérobées (adresse IP, ports ouverts, adresses de courrier électronique, etc.) sur l'ordinateur attaqué. Les bombes d'archives sont des fichiers archivés infectés, codés pour saboter l'utilitaire de décompression (par exemple, Winrar ou Winzip) qui tente de l'ouvrir. Son explosion entraîne le ralentissement ou le plantage de l'ordinateur, et peut également noyer le disque avec des données inutiles. Ces bombes sont particulièrement dangereuses pour les serveurs. Les Man in the Browser(en) infectent les navigateurs web. Les symptômes • Activité anormale du modem, de la carte réseau ou du disque dur (des données sont chargées en l'absence d'activité de la part de l'utilisateur) • • • • Réactions curieuses de la souris Ouvertures impromptues de programmes, du lecteur CD/DVD Plantages répétés Redémarrage répété du système préventions et luttes Pour lutter contre ce genre de programme malveillant, l'utilisation d'un antivirus et d'un parefeu peut s'avérer efficace. Dans certains cas, l'utilisateur peut se retrouver obligé de démarrer sur un autre système d'exploitation, puis de redémarrer en mode sans échec pour pouvoir reprendre la main. Il faut ensuite utiliser un anti-malware (par exemple: Malwarebytes' AntiMalware).Un cheval de Troie n'est pas nécessairement un virus, dans la mesure où son but n'est pas de se reproduire pour infecter d'autres machines. Par contre certains virus peuvent également être des chevaux de Troie, c'est-à-dire se propager comme un virus et ouvrir un port sur votre machine ! Le cheval de Troie Page4 Détecter un tel programme est difficile car il faut arriver à détecter si l'action du programme (le cheval de Troie) est voulue ou non par l'utilisateur. Le cheval de Troie Page5 Table des matières Histoire........................................................................................................................................2 Qu'est-ce qu'un cheval de Troie?............................................................................................2 Fonctionnement du cheval de Troie...................................................................................2 Méthode du pirate.........................................................................................................3 Types et leur mode opératoires.................................................................................3 Les symptômes....................................................................................................4 préventions et luttes........................................................................................4 Le cheval de Troie Page6