Cheval de Troie

Définition

Le cheval de Troie, aussi connu sous le nom anglais de Trojan Horse ou simplement trojan, est une des méthodes les plus courantes d'intrusion dans un système. Un cheval de Troie est un programme d'apparence bénigne ouvrant une brèche de sécurité à des fins malicieuses. L'appellation fait référence aux habitants de l'antique ville de Troie qui, selon la légende, virent leurs assiégeants abandonner le champ de bataille en y laissant un grand cheval de bois. D'apparence inoffensive, ce trophée fut imprudemment introduit derrière les murs la ville, ce qui allait causer leur perte. Des soldats ennemis s'étaient en effet cachés à l'intérieur du cheval. Ils attendirent la nuit pour sortir et ouvrir les portes de la cité à leurs compatriotes qui mirent la ville à feu et à sang.

La méthode d'action du cheval de Troie moderne n'a pas beaucoup changé. Il se présente caché dans un autre programme sous de fausses représentations. Il peut se dissimuler dans de petits programmes d'animation graphique, simplement amusants ou plus souvent pornographiques. Il est accepté sciemment et souvent envoyé de bonne foi par les internautes ignorant les dangers qu'il contient. C'est là surtout qu'il diffère du virus , dont la capacité à se reproduire par lui-même lui permet de se transmettre sans aucune intervention humaine directe.

Potentiel nuisible

Les dommages causés par un cheval de Troie peuvent avoir des conséquences très sérieuses. Il peut donner l'entier contrôle de votre système à de parfaits inconnus agissant sous le couvert de l'anonymat. Par exemple, le contenu de votre système pourrait être totalement supprimé. De façon plus insidieuse, vos données personnelles ou d'affaires et certains mots de passe mémorisés sur votre ordinateur pourraient être découverts et dans certains cas modifiés. Sans que vous ne vous doutiez de rien, un cheval de Troie peut permettre à un pirate informatique d'utiliser votre connexion Internet sous votre identité pour commettre des délits criminels dont l'enquête remontera jusqu'à vous.

Back Orifice

Back Orifice est sans doute le cheval de Troie qui a fait le plus parler de lui. Présenté comme une application client/serveur pour l'administration à distance par un groupe se donnant le nom de Cult of the Dead Cow, il s'agit en fait d'un programme très dangereux. Il permet aux pirates qui l'exploitent de faire à distance, et dans l'anonymat, tout ce que vous pouvez faire vous-même au clavier de votre ordinateur.

Back Orifice ouvre des ports de communication qui peuvent être connus de la plupart des pirates, permettant ainsi à quiconque sachant comment s'y prendre d'entrer dans votre système. Il est également possible de spécifier les ports de communication et d'en protéger l'accès par un nom d'utilisateur et un mot de passe. Le pirate se réserve ainsi l'exploitation illicite de votre système sans que vous ne soyez même conscient de sa présence.

Back Orifice ne s'installe sur  et ne s'attaque qu'aux systèmes Windows. Il modifie l'entrée suivante dans la base de registre :

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

La présence, dans le répertoire c:windowssystem, d'un fichier de type .exe apparemment sans nom est un autre signe d'infection par Back Orifice.

Une version fonctionnant sous (et permettant d'attaquer) Windows NT a été mise en circulation sous l'appellation Back Orifice 2000 (BO2K).

NetBus et autres

NetBus est un autre cheval de Troie très répandu. Tout comme Back Orifice, il s'installe insidieusement sur votre ordinateur pour ouvrir des portes d'entrées à qui veut bien les exploiter. Selon les versions, NetBus modifie la clé

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

dans la base de registre de Windows, ou bien il crée la clé suivante :

HKEY_CURRENT_USERNetBus Server

Une des caractéristiques de NetBus est de permettre à un pirate d'ouvrir et fermer la porte de votre lecteur de cédérom à distance. Si vous constatez un tel comportement erratique sans raison apparente, il vaudrait mieux faire une vérification de votre système.

Parmi les autres chevaux de Troie fréquemment rencontrés, il y a winhelper.exe, dmsetup.exe et ses multiples variantes ainsi que MSchv32.exe. Pour de plus amples information à ce sujet consultez la page Trojan Horse Attacks on IRC du site IRChelp.org.

Les énumérations données ici ou ailleurs sur Internet ne peuvent jamais être exhaustives. De nouveaux programmes peuvent en effet apparaître en tout temps. Il convient aussi de noter que si les exemples les plus fréquemment rencontrés concernent les systèmes Microsoft Windows, d'autres systèmes d'exploitation tels que Unix ou Macintosh ne sont pas à l'abri de ce type de menace.

Ce qu'il ne faut pas faire

Les erreurs à éviter pour se prémunir contre les chevaux de Troie et les virus sont les mêmes. En premier lieu, n'acceptez jamais d'exécuter des programmes qui ne viennent pas d'une source entièrement sûre. Entendez par là des entreprises, organisations ou des sites fiables, reconnus et ayant une réputation à préserver. Tous les sites reconnus ont une adresse alphabétique, selon le format nom.réseau.domaine. Un nom de domaine enregistré n'est pas une garantie de sécurité mais un site n'ayant qu'une adresse numérique (du genre 10.149.67.205) ne pouvant être associée à aucune adresse alphabétique offre toutes les apparences d'un site peu connu. Ce pourrait être un site pirate. Les serveurs dont les contenus frôlent l'illégalité ou l'indécence sont aussi à éviter. Du moins, n'y acceptez pas de fichiers programmes pouvant s'exécuter sur votre système.

N'acceptez pas non plus de programmes transférés sur IRC, ICQ ou via d'autres types de causeries en ligne, même s'ils viennent d'un ami. Supposons que vous correspondiez avec un ami en qui vous avez toute confiance. Il connaît lui-même un ami qui connaît un autre ami et ainsi de suite. Pouvez-vous accorder votre confiance à l'ami de l'ami de l'ami de l'ami de votre ami ? Même si vous n'aviez aucun doute sur les bonnes intentions de toutes ces personnes, la réponse à la question devrait être NON parce que vous ne connaissez pas leur degré d'exposition au risque, ni les mesures de prudence qu'ils appliquent.

Des précautions identiques doivent s'appliquer au courrier électronique, aux disquettes et aux disques compacts (cédérom) de confection personnelle, c'est-à-dire copiés par un utilisateur plutôt que pré-enregistrés par un fabricant. A moins de connaître leur utilité, d'être sûr de leur provenance et de pouvoir vous fier aux mesures de prévention mises en application par l'expéditeur, n'acceptez pas de tels disques et détruisez les fichiers programmes attachés aux messages de courrier. Si vous devez absolument vous en servir, détachez-les et scrutez-les avec la dernière mise à jour de votre logiciel de protection avant de les exécuter.

Comment se protéger

Bien qu'ils diffèrent des virus par leur mode de propagation, les chevaux de Troie sont maintenant détectés par bon nombre de logiciels anti-virus. Certains logiciels sont toutefois spécialisés uniquement dans la protection contre les chevaux de Troie.

Bien qu'étant d'une grande utilité, ces outils ne sont souvent que des mesures de réparation, après coup. Rien ne saurait remplacer la prudence élémentaire qui permet de prévenir le mal avant qu'il ne s'installe ou même qu'il ne frappe.

Voici quelques liens utiles qui offrent des ressources pour se protéger, pour vérifier l'intégrité de son système, le désinfecter au besoin ou simplement se familiariser avec la question du cheval de Troie :

The Cleaner
Norton AntiVirus
McAfee Anti-Virus
Back Orifice help page
Trojan Horse Attacks on IRC

En résumé :

  • Le cheval de Troie est un programme d'apparence bénigne dans lequel se cache un autre programme dangereux. Méfiez-vous particulièrement des programmes pornographiques ou d'utilité douteuse.
  • N'exécutez aucun programme qui ne vienne pas d'une source entièrement sûre (i.e. entreprises, organisations ou sites fiables, reconnus et ayant une réputation à préserver).
  • N'exécutez pas de programmes provenant d'un autre usager par courrier ou via des causeries telles que IRC ou ICQ à moins d'absolue nécessité et seulement après l'avoir scruté avec la dernière mise à jour de votre logiciel de protection.