Un cheval de Troie (Trojan Horse en anglais) est un type de logiciel malveillant, souvent confondu avec les virus ou autres parasites. Le cheval de Troie est un logiciel en apparence légitime, mais qui contient une malveillance. Le rôle du cheval de Troie est de faire entrer ce parasite sur l'ordinateur et de l'y installer à l'insu de l'utilisateur.
Le programme contenu est appelé la "charge utile". Il peut s'agir de n'importe quel type de parasite : virus, keylogger, logiciel espion... C'est ce parasite, et lui seul, qui va exécuter des actions au sein de l'ordinateur victime. Le cheval de Troie n'est rien d'autre que le véhicule, celui qui fait "entrer le loup dans la bergerie". Il n'est pas nuisible en lui-même car il n'exécute aucune action, si ce n'est celle de permettre l'installation du vrai parasite.
Dans le langage courant, par métonymie on nomme souvent "cheval de Troie" le parasite contenu à l'intérieur. Cette confusion est en partie alimentée par les éditeurs d'antivirus, qui utilisent "trojan" comme nom générique pour désigner différents types de programmes malveillants qui n'ont rien à voir avec des trojans.
Historique
Les chevaux de Troie informatiques (ou trojan horses en anglais) tirent leur nom d'une célèbre légende de la Grèce antique. Il s'agit de la méthode utilisée par les Grecs pour conquérir la ville de Troie : le héros Ulysse fit construire un immense étalon de bois qu'il plaça devant les portes de Troie et dans les flancs duquel il se cacha avec ses compagnons. Lorsque les Troyens découvrirent ce cheval, ils le firent entrer eux-mêmes dans leur cité. Ils s'endormirent sans méfiance tandis que le cheval se trouvait dans leurs murs. À la nuit tombée, Ulysse et ses compagnons sortirent de leur cachette et ouvrirent les portes de la ville au reste de l'armée, qui détruisit la ville et massacra les Troyens.
Un cheval de Troie informatique est un programme d'apparence inoffensive, mais qui en contient un autre, malveillant celui-là. Le cheval de Troie est installé par l'utilisateur lui-même, qui ignore qu'il fait pénétrer un parasite sur son ordinateur. C'est pourquoi on a baptisé ce type de programme "cheval de Troie", qu'Ulysse utilisa pour contourner les défenses adverses par la ruse.
Le premier cheval de Troie informatique se présentait comme un jeu ou une application d'apparence légitime, mais une fois installé, il endommageait l'ordinateur hôte.
En 2014, une étude de l'Association of Internet Security Professionnals centrée sur les dangers du live streaming illégal révèle qu'un ordinateur sur trois est infecté par un logiciel malveillant et que 73 % de ces infections proviennent d'un cheval de Troie4.
Vecteurs d'infection
Le cheval de Troie prend l'apparence d'un logiciel existant, légitime et parfois même réputé, mais qui aura été modifié pour y dissimuler un parasite. L'utilisateur va télécharger et installer le programme, pensant avoir affaire à une version saine. En réalité, le logiciel véhicule un parasite qui va pouvoir s'exécuter sur son ordinateur. Les logiciels crackés peuvent être des chevaux de Troie qui vont allécher l'internaute qui cherche à obtenir gratuitement un logiciel normalement payant (Adobe Acrobat pro, Photoshop, Microsoft Office..).
Ces versions trafiquées auront été téléchargées sur des sites non officiels ou des plateformes peu sûres (P2P). Télécharger les logiciels sur le site officiel de l'auteur ou du distributeur évite d'avoir affaire à une version trafiquée. Cela n'est évidemment pas possible pour se procurer des versions crackées, mais faisable pour tous les logiciels gratuits. Télécharger les programmes P2P. Des sites Web contenant exécutable (par exemple les contrôles ActiveX ou des applications Java). Exploite applications obsolètes (navigateurs, lecteurs multimédias, les clients de messagerie instantanée). L'ingénierie sociale (par exemple, un pirate envoie directement le cheval de Troie à la victime par messagerie instantanée). Pièces jointes et les fichiers envoyés par messagerie instantanée. Connectez votre ordinateur à un périphérique externe infecté. Mettre à jour votre logiciel informatique. Ne pas avoir tout logiciel de protection
Notions voisines du cheval de Troie
Le cheval de Troie ne doit pas être confondu avec d'autres notions proches :
- L'injecteur (ou dropper, en anglais) est quasiment identique au cheval, car il sert lui aussi de véhicule pour une malveillance. Mais l'injecteur est un programme spécialement fabriqué pour propager des parasites, alors que le cheval est une version modifiée d'un programme existant et légitime.
- La porte dérobée (backdoor) est un programme qui va s'exécuter discrètement sur l'ordinateur où il est installé pour y créer une faille de sécurité. Le backdoor ouvre un ou plusieurs ports sur la machine, ce qui lui permet d'accéder à internet librement et de télécharger, à l'insu de l'utilisateur, un parasite. Le backdoor n'est donc pas un cheval de Troie : il ne véhicule pas le parasite en lui, il va simplement ouvrir l'accès et récupérer, via internet, le programme malveillant qui se trouve sur un serveur distant.
- Le RAT (Remote administration tool) est un logiciel de prise de contrôle à distance d'un ordinateur. Un RAT peut être un outil légitime (par exemple pour le dépannage à distance), mais il peut aussi être utilisé par un pirate pour s'emparer d'une machine. Dans ce cas, l'introduction du RAT sur la machine à contrôler se fait à l'insu de l'utilisateur. Par exemple, par un cheval de Troie qui contient le RAT, mais le RAT n'est pas le cheval. Contrairement à ce qu'on lit parfois, le T de RAT ne signifie pas Trojan mais Tool (outil).
- Les bombes de décompression ne transportent pas de parasite, mais elles peuvent être confondues avec les chevaux de Troie car la notion de conteneur entre aussi en jeu. Il s'agit d'un fichier compressé, par exemple un fichier zip, de taille raisonnable tant qu'il n'est pas ouvert. Mais lorsque l'utilisateur va tenter de la décompresser, elle va générer un fichier monstrueux de plusieurs gigaoctets. Cette "explosion" entraîne le ralentissement ou le plantage de l'ordinateur, et sature le disque dur avec des données inutiles. Bien qu'il s'agisse de conteneurs malveillants, le fonctionnement des bombes de décompression n'a donc rien à voir avec celui des chevaux de Troie. En effet, elles ne transportent aucun parasite indépendant, elles saturent la machine de données aléatoires.
Symptômes d'une infection
- Activité anormale du modem, de la carte réseau ou du disque dur (des données sont chargées en l'absence d'activité de la part de l'utilisateur)
- Réactions curieuses de la souris
- Ouvertures impromptues de programmes ; du lecteur CD/DVD
- Plantages répétés
- Redémarrage répété du système
- Écran ou fenêtres avec des messages inhabituels.
- Aucune justification apparaissent, disparaissent et les fichiers sont modifiés.
- Un comportement inhabituel dans le fonctionnement de l'ordinateur, tels que: des changements dans les assainisseurs d'écran de bureau, lecteur CD, les rôles de change de boutons de la souris, modifiant le volume du lecteur audio.
- Fenêtres sont activés ou désactivés sur l'écran.
- Présence ou sans extension des fichiers .TXT sur le disque dur, de préférence dans C: \.OS lent, blocs continus ou système redémarre sans les causes.
- Les programmes commencent ou terminent leur exécution de manière inattendue sont connus.
- Le navigateur d'accès seul à certains sites Internet.
- Installation d'autres programmes (y compris d'autres logiciels malveillants).
- Vol de renseignements personnels: informations bancaires, mots de passe, codes de sécurité ...
- Suppression, la modification ou le transfert de fichiers (téléchargement ou upload).
- Exécuter ou terminer les processus.
- Arrêter ou de redémarrer l'ordinateur.
- Surveiller les frappes.
- Prendre des screenshots.
- Occuper l'espace libre sur le disque dur des fichiers inutiles.
Prévention et lutte
Pour lutter contre ce genre de programme malveillant, l'utilisation d'un antivirus peut s'avérer efficace, mais reste souvent insuffisante. Il est conseillé de faire une analyse complète de son système d'exploitation grâce à un antivirus. Dans certains cas, l'utilisateur peut se retrouver obligé de démarrer sur un autre système d'exploitation, puis de redémarrer en mode sans échec pour pouvoir reprendre la main.
Exemples
- Socket23
- Vundo (aussi dénommé Virtumonde)
- LANfiltrator
- FlashBack
- Y3k RAT(inactive)
- Hadès-RAT
- Back Orifice
- Beast
- Netbus
- Zeus
- ZeroAccess
- Koobface