Les chevaux de Troie informatiques

Inspirés de l’histoire du cheval de bois utilisé par les soldats Grecs pour duper les défenseurs de Troie en faisant entrer en douce des soldats dans leur ville, les chevaux de Troie informatique cachent un malware dans ce qui semble être un fichier normal.

Qu’est-ce qu’un cheval de Troie ?

Un cheval de Troie (« Trojan horse » en anglais) est un exemple classique de technique d’ingénierie sociale. Un cheval de Troie est un programme malveillant qui se dissimule à l’intérieur d’un autre programme en apparence inoffensif (utilitaire, économiseur d’écran, jeux…). Une fois téléchargé et installé sur votre ordinateur, il peut accomplir (effectuer) sa tâche malveillante à l’insu de l’utilisateur. L’usage le plus courant du cheval de Troie consiste en la création d’une porte dérobée (en anglais « backdoor »), permettant ainsi à son créateur de prendre le contrôle à distance de votre ordinateur via votre connexion Internet. Un cheval de Troie peut aussi voler des mots de passe, copier des données, exécuter des actions nuisibles.

Il se différencie du virus et du ver par le fait qu’il ne se reproduit pas de façon autonome.

Cheval de Troie est un terme générique qui rassemble plusieurs types de programmes malveillants : les bots, les chevaux de Troie de porte dérobée, les chevaux de Troie bancaires…

Les chevaux de Troie représentent un pourcentage important des programmes malveillants actuels.

INFORMATION – A SAVOIR – POUR INFO

Le stratagème du cheval de Troie.

Après avoir vainement assiégé Troie pendant dix ans, les Grecs ont l’idée d’une ruse pour prendre la ville. Des soldats grecs se dissimulent dans un grand cheval de bois déguisé en offrande à Poséidon pour garantir à la flotte grecque un bon retour. La flotte grecque feint de se retirer, abandonnant le cheval sur la plage. En signe de victoire les Troyens font entrer le piège dans l’enceinte de la cité. Croyant la guerre terminée, les habitants font la fête. La nuit venue, alors que la ville entière est endormie, les soldats grecs sortent du cheval et ouvrent les portes de la cité, permettant au reste de l’armée grecque d’entrer et de piller la ville.

A la manière des soldats grecs qui sont entrés dans la ville de Troie cachés dans un cheval de bois, un cheval de Troie informatique peut s’introduire sous la forme inoffensive d’un fichier ou d’une application, mais son contenu cache en réalité un code malveillant.

Les différents types de chevaux de Troie informatiques

Il existe différents types de chevaux de Troie malveillants, en fonction de l’objectif que le pirate tente d’atteindre et du mode de fonctionnement du cheval de Troie. Voyons maintenant les plus courants.

Les chevaux de Troie « à porte dérobée » (backdoor Trojans)

Ce type de cheval de Troie est utilisé pour créer (ouvrir) une « porte dérobée » sur votre ordinateur pour permettre à l’attaquant d’accéder à distance à votre appareil et de le contrôler à votre insu. L’attaquant peut alors tout faire sur l’ordinateur infecté comme exécuter des commandes, voler vos données, vous espionner et effectuer d’autres actions malveillantes. Cette porte dérobée est souvent utilisée pour installer d’autres logiciels malveillants ou inclure votre ordinateur à un botnet.

Les chevaux de Troie « à porte dérobée » combinent les fonctions de la plupart des autres types de chevaux de Troie. Ces chevaux de Troie sont les plus dangereux et les plus répandus à l’heure actuelle.

Les chevaux de Troie bancaires (banking Trojans)

Ces chevaux de Troie sont conçus pour dérober les données d’accès (identifiants de connexion) à vos comptes bancaires et financiers en ligne.

Les chevaux de Troie espions (spy Trojans)

Ces chevaux de Troie peuvent espionner votre ordinateur, par exemple en enregistrant les données sensibles (identifiants de connexion, données de carte bancaire…) que vous saisissez sur votre clavier, en effectuant des captures d’écran ou en récupérant la liste des applications que vous utilisez.

Les chevaux de Troie PSW (password stealer Trojans)

Ces chevaux de Troie recherchent les fichiers système qui contiennent des informations confidentielles (informations de compte des joueurs en ligne, identifiants et mots de passe de vos messageries instantanées, etc.) puis envoient les données recueillies par courrier électronique à l’attaquant.

Les chevaux de Troie voleurs de données de joueurs (game thieft Trojans)

Ces chevaux de Troie ciblent les joueurs en ligne et volent leurs informations de connexion. Les cybercriminels peuvent les utiliser pour pirater les comptes de joueurs célèbres ou voler des éléments de valeur dans le jeu.

Les chevaux de Troie voleurs de données (infostealer Trojans)

L’objectif principal de ce type de cheval de Troie est de voler les données de l’ordinateur infecté. Ils fouillent votre appareil à la recherche de données personnelles sensibles, puis les renvoient au pirate qui vous a attaqué. Les cybercriminels peuvent utiliser ces données pour commettre des fraudes ou usurper votre identité.

Les chevaux de Troie téléchargeurs (downloader Trojans)

Ces chevaux de Troie ne font rien d’intrinsèquement malveillant par eux-mêmes. Ils n’ont qu’un seul but : s’introduire dans votre système puis télécharger et installer d’autres logiciels malveillants (ransomwares, enregistreurs de frappes…) qui font le sale boulot.

Les chevaux de Troie injecteurs (dropper Trojans)

Ces chevaux de Troie contiennent un ou plusieurs programmes malveillants au sein de leur propre code qu’ils installent et exécutent sur l’ordinateur infecté à l’insu de l’utilisateur.

Les chevaux de Troie « faux antivirus » (fake antivirus Trojans)

Ces chevaux de Troie se comportent comme des logiciels antivirus. Ils prétendent détecter des virus et autres malwares sur votre appareil, puis vous incitent à acheter un logiciel de sécurité qui est soit inutile, soit activement malveillant. Lorsque vous payez, le créateur du cheval de Troie obtient vos informations de paiement.

Les chevaux de Troie ransomware (ransom Trojans)

Ces chevaux de Troie, une fois installés, verrouillent l’accès à votre ordinateur ou chiffrent vos fichiers qui deviennent alors illisibles. Ils exigent ensuite que vous payez une « rançon » pour récupérer l’accès au système ou à vos fichiers.

Les chevaux de Troie récupérateurs d’adresses e-mail (mailfinder Trojans)

Ces chevaux de Troie parcourent votre ordinateur à la recherche d’adresses e-mail enregistrées sur votre appareil. Celles-ci sont envoyées au pirate qui vous a attaqué, qui peut ensuite les utiliser pour réaliser d’autres attaques malveillantes (spamming, phishing…).

Les chevaux de Troie cliqueurs (clicker Trojans)

Ces chevaux de Troie redirigent les utilisateurs vers des sites Web ou d’autres ressources Internet spécifiques. Pour cela, ils peuvent notamment détourner le fichier hosts (sous Windows).

Ils sont utilisés pour :

  • Augmenter le nombre de visites sur un site spécifique à des fins publicitaires ;
  • Organiser une attaque par déni de service sur un serveur ou un site spécifique ;
  • Conduire le navigateur Web vers une ressource infectée où il sera attaqué par d’autres programmes malveillants (virus, chevaux de Troie, etc.).

Les chevaux de Troie proxy (proxy Trojans)

Ces chevaux de Troie permettent à l’attaquant d’utiliser l’ordinateur infecté comme un serveur proxy pour accéder anonymement à Internet.

Les chevaux de Troie notificateurs (notifier Trojans)

Ces chevaux de Troie confirment à l’attaquant la réussite de l’installation d’un cheval de Troie sur l’ordinateur de la victime et lui envoient par courrier électronique des informations relatives à l’ordinateur infecté (adresse IP, numéros de ports ouverts, adresses de courrier électronique, etc.). Ce type de cheval de Troie est inclus dans la plupart des chevaux de Troie.

Les chevaux de Troie bombes d’archive (arcbomb Trojans)

Ces chevaux de Troie sont des fichiers archivés infectés qui ont été codés pour saboter l’utilitaire de décompression (par exemple WinRar ou WinZip) lorsqu’il essaie d’ouvrir le fichier archivé. L’explosion de la bombe entraîne le ralentissement ou le plantage de l’ordinateur, et peut également noyer le disque avec des données inutiles.

Les chevaux de Troie SMS (SMS Trojans)

Ces chevaux de Troie infectent les appareils mobiles, généralement Android, et envoient des SMS coûteux à des services premium appartenant au cybercriminel, ou interceptent les messages en provenance et à destination de votre téléphone.

Comment fonctionnent les chevaux de Troie informatiques ?

Les chevaux de Troie se font passer pour des fichiers légitimes dans le but d’inciter les victimes à cliquer dessus, à les ouvrir ou à les installer. Une fois téléchargé et installé sur votre ordinateur, le cheval de Troie peut accomplir (effectuer), à l’insu de l’utilisateur, les actions malveillantes pour lesquelles il a été conçu (programmé).

Quels sont les risques ?

Un cheval de Troie présent (installé) sur votre ordinateur peut donner un accès non autorisé (illicite) à l’ordinateur sur lequel il est exécuté en ouvrant une porte dérobée (« backdoor »). Celle-ci permet à un utilisateur malveillant de prendre le contrôle à distance de votre ordinateur via votre connexion Internet et de s’en servir à votre insu.

Il permet (donne la possibilité) ainsi au pirate :

  • D’accéder au système de fichiers dans sa totalité. Le cybercriminel peut ainsi consulter, copier, modifier ou supprimer les fichiers présents sur l’ordinateur infecté et ce, toujours à l’insu de l’utilisateur.
  • De récupérer les mots de passe ou tout autre donnée (information) confidentielle (codes d’enregistrement de vos logiciels, licences de jeux…) présents sur l’ordinateur infecté.
  • De surveiller et d’enregistrer vos activités informatique. A partir de l’ordinateur infecté et des périphériques qui sont connectés à celui-ci, le cybercriminel peut capturer des données vidéo et audio, les enregistrer en tant que fichiers puis envoyer ces derniers à son propre ordinateur. Il peut ainsi visualiser le poste de travail et les actions de l’utilisateur comme s’il était assis à la place de celui-ci devant l’ordinateur contrôlée. Il peut également activer le micro et la webcam, si l’ordinateur de la victime en est équipé. Ainsi il est en mesure d’écouter et de voir la victime et son environnement (entourage).
  • De perturber le fonctionnement de l’ordinateur infecté. Exemples : rebooter ou éteindre l’ordinateur, exécuter ou interrompre un programme, inverser les boutons de la souris…
  • D’utiliser votre connexion Internet sous votre identité pour commettre des délits criminels dont l’enquête remontera jusqu’à vous.
  • De télécharger et d’exécuter d’autres logiciels malveillants :
    • Un keylogger. Celui-ci permet d’enregistrer toute frappe au clavier de l’utilisateur et de transmettre les informations saisies au cybercriminel (par exemple mots de passe pour les services en ligne, comptes d’e-mail, sites Web, FTP, codes d’accès pour le e-banking, etc.).
    • Un bot. Celui-ci permet de transformer l’ordinateur infecté en zombie, de l’intégrer dans un botnet (groupe de milliers d’ordinateurs « zombies ») et de réaliser des activités illégales à votre insu : envoi de malwares, de spam, attaques DDoS, stockage (hébergement, recel) de contenu illégal ou illicite sur votre ordinateur (cracks, images pédopornographiques, etc.)…

Comment puis-je être infecté ?

Les chevaux de Troie arrivent sur votre ordinateur en étant dissimulés dans des logiciels illicites et autres fichiers et programmes que vous téléchargez depuis Internet :

  • Des applications piratées (cracks).
  • Des générateurs de clés qui créent des codes de licence illégaux pour les logiciels commerciaux téléchargés que vous ne souhaitez pas payer (keygens).
  • Des logiciels « gratuits ».
  • Des codecs multimédia requis (nécessaires) pour lire un certain clip vidéo.
  • Des fichiers de musique ou de films. Ils utilisent les lacunes de sécurité dans différents programmes de lecture (par exemple : Media player) afin de s’installer subrepticement dans le système.

Ils peuvent également s’introduire sur votre ordinateur par le biais de messages électroniques ou instantanés, dissimulés derrière des pièces jointes ou des liens vers une image amusante, un « joke », une carte de vœux, un fichier audio ou vidéo, un économiseur d’écran, un faux correctif de sécurité pour une faille logicielle ou un jeux. Lorsque vous cliquez sur les pièces jointes ou les liens afin de les ouvrir, vous risquez de télécharger un cheval de Troie à votre insu.

Dans certains cas, un cheval de Troie peut arriver sur votre ordinateur sans que vous n’ayez effectué la moindre opération lors de la consultation (visite) de sites Internet à haut risque d’infections (sites warez, pornographiques, de jeux ou tout autre site à contenu illégal). Le téléchargement peut se faire automatiquement à votre insu par l’exploitation d’une vulnérabilité dans une application (navigateur Web, plug-ins, etc.) installée sur votre ordinateur (drive-by download).

La majorité des chevaux de Troie sont cachés dans des fichiers ou logiciels ayant des extensions de type .exe, .bin, .com, .zip et similaires.

Exemples de chevaux de Troie

ZeuS (2007)

Le cheval de Troie ZeuS a deux fonctionnalités majeures :

  • Il agit en tant que cheval de Troie bancaire conçu pour dérober des identifiants de connexion bancaires sur les machines qu’il infecte en surveillant les sites Internet et en enregistrant les frappes. Le programme malveillant identifie lorsque l’utilisateur consulte un site de services bancaires et enregistre les saisies clavier utilisées pour se connecter.
  • Il enrôle également votre ordinateur dans un botnet, un réseau massif d’ordinateurs asservis qui peuvent être contrôlés à distance.

Emotet (2014)

Le cheval de Troie Emotet est l’un des logiciels malveillants les plus nuisibles jamais créés. Il était conçu à l’origine pour agir comme un cheval de Troie bancaire. Les versions suivantes ont la capacité d’installer d’autres malwares dans les machines infectées. Emotet a notamment été utilisé pour créer plusieurs botnets, qui ont ensuite été loués sur un modèle de malware-as-a-service (MaaS) à d’autres cybercriminels.

Les symptômes d’une infection par un cheval de Troie informatique

Il peut être difficile de savoir si un cheval de Troie est présent sur votre appareil. Mais si vous rencontrez l’un des problèmes mentionnés ci-dessous, il se peut qu’un invité indésirable soit présent sur votre appareil :

  • Les diodes de votre box clignotent alors que vous êtes connecté à Internet mais que vous ne faites rien : ni navigation, ni téléchargement… Cette activité est peut-être due à la présence d’un Troyen.
  • Votre disque dur fonctionne sans raison apparente alors que vous ne faites rien.
  • Des logiciels s’ouvrent sans que vous ne les ayez lancés.
  • Vous trouvez sur votre ordinateur des programmes que vous ne vous souvenez pas avoir installés.
  • Dysfonctionnements répétés de votre ordinateur (plantages à répétition).
  • Redémarrages, blocages ou lancements intempestifs de programmes qui fonctionnaient parfaitement jusque là.
  • Comportements inhabituels de la souris ou du clavier.
  • Impossibilité de mettre à jour le logiciel antivirus.
  • Votre pare-feu vous signale qu’un programme dont l’origine vous est inconnue essaye d’ouvrir une connexion vers l’Internet.

Comment protéger votre ordinateur des chevaux de Troie ?

Mettez régulièrement à jour votre système d’exploitation et les autres logiciels (notamment le navigateur Web) que vous utilisez sur votre ordinateur. Les cybercriminels exploitent des failles de sécurité connues dans ces types de programmes, pour faciliter l’action du cheval de Troie.

Utilisez un logiciel antivirus. La meilleure façon de se protéger contre les chevaux de Troie est d’utiliser un logiciel de sécurité fiable capable de détecter, de bloquer et de supprimer automatiquement tous les types de malwares et de virus. Il est important de vérifier que le logiciel antivirus se met à jour régulièrement afin de vous protéger contre l’apparition de nouveaux chevaux de Troie.

Assurez-vous que le pare-feu est activé en permanence. Le pare-feu vous permet de limiter et surveiller les connexions au réseau que pourrait utiliser le pirate. Si un programme dont l’origine vous est inconnue essaye d’ouvrir une connexion, le pare-feu vous demandera une confirmation pour initier la connexion.

Utilisez un bloqueur de publicités. Certains chevaux de Troie se propagent par le biais de publicités Web infectées (malvertising). Un bloqueur de publicité empêchera ces publicités et d’autres de se charger dans votre navigateur, évitant ainsi que les sites infectés ne vous transmettent un cheval de Troie ou tout autre logiciel malveillant.

Utilisez un compte non-administrateur. Utiliser l’ordinateur avec un compte non-administrateur permet de limiter la portée des chevaux de Troie ou des programmes malveillants en cours d’exécution en arrière-plan. L’installation d’applications non désirées peut être également compliquée puisqu’une confirmation est toujours requise par l’administrateur.

N’ouvrez jamais de pièces jointes et ne cliquez jamais sur des liens dans des e-mails provenant d’adresses électroniques que vous ne connaissez pas. Même si l’e-mail semble provenir d’un expéditeur que vous connaissez et en qui vous avez confiance, restez vigilant. En cas de doute, interrogez l’expéditeur en utilisant un autre moyen de contact (téléphone, messagerie instantanée…) pour savoir de quoi il s’agit et si le courriel émane réellement de lui.

Ne visitez pas de sites Web dangereux. Soyez prudent lors de vos navigations sur Internet et évitez de vous rendre sur des sites Web illégaux (warez…). En évitant les sites inconnus, vous réduisez le risque de télécharger un cheval de Troie. La plupart des suites de sécurité Internet incluent un composant vous alertant lorsqu’un site que vous êtes sur le point de visiter est dangereux.

Méfiez-vous des téléchargements :

  • Téléchargez les programmes seulement à partir de sources dignes de confiance (depuis le site de leurs éditeurs). Évitez les téléchargements à partir de sites douteux ou non-officiels.
  • Recherchez des informations sur le programme que vous souhaitez télécharger. Tapez son nom dans Google. Vous pourrez ainsi lire des commentaires faits par d’autres utilisateurs.
  • Attention aux gratuits ! Certains ont parfois un coût caché : le logiciel malveillant dissimulé dans ces programmes.
  • Ne téléchargez aucun programme piraté, crack, ou keygen.
  • Évitez les sites de torrents.
  • Scannez le programme téléchargé avec un antivirus avant de l’exécuter.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *