Les chevaux de Troie

mardi 22 mai 2007
par  Daniel
popularité : 94%

On appelle " Cheval de Troie " (en anglais trojan horse) un programme informatique effectuant des op√ɬ©rations malicieuses √ɬ l’insu de l’utilisateur. Le nom " Cheval de Troie " provient d’une l√ɬ©gende narr√ɬ©e dans l’Iliade (de l’√ɬ©crivain Hom√ɬ®re) √ɬ propos du si√ɬ®ge de la ville de Troie par les Grecs.

La l√ɬ©gende veut que les Grecs, n’arrivant pas √ɬ p√ɬ©n√ɬ©trer dans les fortifications de la ville, eurent l’id√ɬ©e de donner en cadeau un √ɬ©norme cheval de bois en offrande √ɬ la ville en abandonnant le si√ɬ®ge.

Les troyens (peuple de la ville de Troie), appr√ɬ©ci√ɬ®rent cette offrande √ɬ priori inoffensive et la ramen√ɬ®rent dans les murs de la ville. Cependant le cheval √ɬ©tait rempli de soldats cach√ɬ©s qui s’empress√ɬ®rent d’en sortir √ɬ la tomb√ɬ©e de la nuit, alors que la ville enti√ɬ®re √ɬ©tait endormie, pour ouvrir les portes de la cit√ɬ© et en donner l’acc√ɬ®s au reste de l’arm√ɬ©e ...

Un cheval de Troie (informatique) est donc un programme cach√ɬ© dans un autre qui ex√ɬ©cute des commandes sournoises, et qui g√ɬ©n√ɬ©ralement donne un acc√ɬ®s √ɬ l’ordinateur sur lequel il est ex√ɬ©cut√ɬ© en ouvrant une porte d√ɬ©rob√ɬ©e (en anglais backdoor), par extension il est parfois nomm√ɬ© troyen par analogie avec les habitants de la ville de Troie.

A la fa√ɬßon du virus, le cheval de Troie est un code (programme) nuisible plac√ɬ© dans un programme sain (imaginez une fausse commande de listage des fichiers, qui d√ɬ©truit les fichiers au-lieu d’en afficher la liste).

Un cheval de Troie peut par exemple

- voler des mots de passe ;
- copier des donn√ɬ©es sensibles ;
- ex√ɬ©cuter tout autre action nuisible ;
- etc.

Pire, un tel programme peut cr√ɬ©er, de l’int√ɬ©rieur de votre r√ɬ©seau, une br√ɬ™che volontaire dans la s√ɬ©curit√ɬ© pour autoriser des acc√ɬ®s √ɬ des parties prot√ɬ©g√ɬ©es du r√ɬ©seau √ɬ des personnes se connectant de l’ext√ɬ©rieur.

Les principaux chevaux de Troie sont des programmes ouvrant des ports de la machine, c’est-√ɬ -dire permettant √ɬ son concepteur de s’introduire sur votre machine par le r√ɬ©seau en ouvrant une porte d√ɬ©rob√ɬ©e. C’est la raison pour laquelle on parle g√ɬ©n√ɬ©ralement de backdoor (litt√ɬ©ralement porte de derri√ɬ®re) ou de backorifice (terme imag√ɬ© vulgaire signifiant "orifice de derri√ɬ®re" [...]).

Un cheval de Troie n’est pas n√ɬ©cessairement un virus, dans la mesure o√ɬĻ son but n’est pas de se reproduire pour infecter d’autres machines. Par contre certains virus peuvent √ɬ©galement √ɬ™tre des chevaux de Troie, c’est-√ɬ -dire se propager comme un virus et ouvrir un port sur les machines infect√ɬ©es !

D√ɬ©tecter un tel programme est difficile car il faut arriver √ɬ d√ɬ©tecter si l’action du programme (le cheval de Troie) est voulue ou non par l’utilisateur.

Les sympt√ɬīmes d’une infection

Une infection par un cheval de Troie fait g√ɬ©n√ɬ©ralement suite √ɬ l’ouverture d’un fichier contamin√ɬ© contenant le cheval de Troie (voir l’article sur la protection contre les vers) et se traduit par les sympt√ɬīmes suivants :

activit√ɬ© anormale du modem, de la carte r√ɬ©seau ou du disque : des donn√ɬ©es sont charg√ɬ©es en l’absence d’activit√ɬ© de la part de l’utilisateur ;
des r√ɬ©actions curieuses de la souris ;
des ouvertures impromptues de programmes ;
des plantages √ɬ r√ɬ©p√ɬ©tition ;

Principe du cheval de Troie

Le principe des chevaux de Troie √ɬ©tant g√ɬ©n√ɬ©ralement (et de plus en plus) d’ouvrir un port de votre machine pour permettre √ɬ un pirate d’en prendre le contr√ɬīle (par exemple voler des donn√ɬ©es personnelles stock√ɬ©es sur le disque), le but du pirate est dans un premier temps d’infecter votre machine en vous faisant ouvrir un fichier infect√ɬ© contenant le troyen et dans un second temps d’acc√ɬ®der √ɬ votre machine par le port qu’il a ouvert.

Toutefois pour pouvoir s’infiltrer sur votre machine, le pirate doit g√ɬ©n√ɬ©ralement en conna√ɬģtre l’adresse IP. Ainsi :

soit vous avez une adresse IP fixe (cas d’une entreprise ou bien parfois de particuliers connect√ɬ© par c√ɬĘble, etc.) auquel cas l’adresse IP peut √ɬ™tre facilement r√ɬ©cup√ɬ©r√ɬ©e
soit votre adresse IP est dynamique (affect√ɬ©e √ɬ chaque connexion), c’est le cas pour les connexions par modem ; auquel cas le pirate doit scanner des adresses IP au hasard afin de d√ɬ©celer les adresses IP correspondant √ɬ des machines infect√ɬ©es.

Se protéger contre les troyens

Pour se prot√ɬ©ger de ce genre d’intrusion, il suffit d’installer un firewall, c’est-√ɬ -dire un programme filtrant les communications entrant et sortant de votre machine. Un firewall (litt√ɬ©ralement pare-feu) permet ainsi d’une part de voir les communications sortant de votre machines (donc normalement initi√ɬ©es par des programmes que vous utilisez) ou bien les communications entrant. Toutefois, il n’est pas exclu que le firewall d√ɬ©tecte des connexions provenant de l’ext√ɬ©rieur sans pour autant que vous ne soyez la victime choisie d’un hacker. En effet, il peut s’agir de tests effectu√ɬ©s par votre fournisseur d’acc√ɬ®s ou bien un hacker scannant au hasard une plage d’adresses IP.

Pour les syst√ɬ®mes de type Windows, il existe des firewalls gratuits tr√ɬ®s performant :

ZoneAlarm
Tiny personal firewall

En cas d’infection

Si un programme dont l’origine vous est inconnue essaye d’ouvrir une connexion, le firewall vous demandera une confirmation pour initier la connexion. Il est essentiel de ne pas autoriser la connexion aux programmes que vous ne connaissez pas, car il peut tr√ɬ®s bien s’agir d’un cheval de Troie.

En cas de r√ɬ©cidive, il peut √ɬ™tre utile de v√ɬ©rifier que votre ordinateur n’est pas infect√ɬ© par un troyen en utilisant un programme permettant de les d√ɬ©tecter et de les √ɬ©liminer (appel√ɬ© bouffe-troyen).
C’est le cas de The Cleaner, t√ɬ©l√ɬ©chargeable sur http://www.moosoft.com.