 |
 |
|
Beaucoup trop souvent, les propriétaires d'ordinateur deviennent inconsciemment les victimes de pirates qui pénètrent à l'aide de ces chevaux de Troie dans les ordinateurs, par amusement ou avec une intention très ciblée. Cet article vous montre, ce qui est possible et comment on se protège au mieux d'eux.
Pourquoi le nom "Cheval de Troie"?
Trojans, Backdoors & Virus?
Déroulement d'une Infection par un Trojan
De quoi sont constitués les Trojans?
Mode de travail d'un Trojan
Fonctions du Trojan (exemples)
Fonctions Avancées
Remède
Utilitaires Anti-Trojan
Firewalls
Protection manuelle contre les Trojans
L'utilisateur en navigant dans l'Internet est en relation avec de gros problèmes.
Toutefois personne n'en est réellement très conscient. Dans les médias, il est
souvent question de lacunes de sécurité de type technique dans différents programmes
ou services. Toutefois le plus grand problème de sécurité est généralement la
personne qui utilise l'ordinateur.
Les systèmes informatiques sont de nos jours très complexes et ne peuvent être
saisis que difficilement par le profane. C'est justement pour cette raison, qu'il
est de plus en plus important de différencier entre petits problèmes et véritables
dangers. Un de ces véritables dangers sont les chevaux de Troie, ou encore appelés
simplement „Trojan“. Brièvement dit, un Trojan est un programme qui se fait passer
pour ce qu'il n'est pas vraiment.
Tout d'abord un peu d'histoire: Vous vous rappelez éventuellement de la ville
de Troja pendant vos cours d'histoire à l'école. Dans l'histoire ancienne, il
s'agisait d'une guerre qui dura plusieurs années entre Grecs et la forteresse
de Troja. Les murs de la ville étaient pour les Grecs imprenables pendant plus
de 10 ans. Alors, ils feignèrent une retraite et laissèrent un énorme cheval en
bois. Les citoyens de Troja ont considéré cela comme un cadeau et l'ont apporté
dans leur ville. Dans la nuit le cheval s'est avéré être un transporteur de soldats
Grecs, qui ouvrirent les portes de la ville à leurs compagnons restés cachés au
dehors. Par cela, les Grecs gagnèrent la bataille et prirent enfin la ville.
C'est par ce même principe que fonctionnent les chevaux de Troie modernes.
Quelqu'un vous fait un cadeau qui porte un contenu dangereux avec lui, dont
vous ne pouvez pas vous douter.
Vous trouverez fréquemment dans l'Internet, la spécification "Backdoor" pour les
Trojans. Les experts en sécurité définissent le „Trojan“ comme un programme qui
fait par ex: autre chose que ce qu'il est sensés de faire. Ce peut-être des
fichiers programmes (.EXE), qui sont annoncés comme étant un jeu, en réalité
c'est pour porter des dommages à votre ordinateur. En général „Backdoor“ désigne
un Trojan, qui ouvre dans le système d'exploitation une porte arrière (dérobé),
par laquelle le pirate peut pénétrer. Une autre spécification est „RAT“ pour
(Remote Administration Tool). Les Backdoors sont aujourd'hui les plus répandus
des Trojans.
Les Trojans sont définitivement, d'après des avis compétents, ni Virus ou Vers.
Virus et Vers ont la faculté de se propager soit par un fichier étranger manipulé
"infection", soit en se copiant lui même d'un ordinateur à l'autre. Les Trojans
ne possèdent pas de tels mécanismes de diffusion. Toutefois, il existe déjà des
croisements de Vers-Virus-Trojan (qu'on appelle aussi hybrides) qui en plus de
leurs fonctions destructrices, peuvent installer un Trojan dans votre système.
Il y a différentes possibilités pour les Trojans d'attaquer un ordinateur. Avec
presque tous les Trojans, l'intervention de l'utilisateur est nécessaire pour
activer le Trojan. Ce qui veut dire, que le fichier programme doit être démarré
au moins une fois manuellement pour qu'il y ait danger. Il existe déjà aussi des
Trojans, qui par des Vers-Virus installent automatiquement ceux-ci sans que
l'utilisateur ne soit au courant.
Une infection se déroule généralement d'après le schéma suivant:
1. L'attaquant envoi le Trojan
Puisqu'un Trojan est toujours un fichier programme exécutable (exemple: .EXE),
celui-ci peut par différentes voies arriver facilement sur l'ordinateur de la
victime. Cela peut ce faire par ex: en mettant un fichier-joint attaché à l'email.
Le texte email est généralement trompeur et demande à l'utilisateur de démarrer
le fichier en attachement. Pour la diffusion, on utilise également très souvent
l'Instant-Messenger ou programmes comme le MS-Messenger, ICQ, AIM ou autres.
Des services de Filesharing (P2P, échange de fichiers) représentent une possibilité
relativement nouvelle. De cette façon les Trojans seront camouflés et mis en
circulation en tant que fichiers de musique (MP3, Ogg, Wavs ect).
Illustration 1: Fichier-joint attaché à l'email
Petite indication à cette occasion: Le fait de recevoir un fichier-trojan n'est
pas encore et réellement un danger. Aussi longtemps qu'un Trojan reste inactif
sur le disque dur de votre ordinateur il ne se passera absolument rien.
2. Le destinataire démarre le fichier reçu
Pour qu'un Trojan devienne dangereux, il doit être premièrement activé. La
plupart du temps, il suffit d'un double-clique sur le fichier concerné.
Aussitôt que cela est arrivé, le Trojan s'installe dans le système et place
des entrées de demarrage automatique (Autostart) pour qu'il puisse se lancer
à chaque démarrage du système. Quelques Trojans ont entre-temps développé
des possibilités très effectives afin que le fichier soit automatiquement
exécuté. L'endroit des entrées Autostarts est très souvent difficile à trouver.
La plupart des endroits qu'ils emploient sont les sections "Run" du système
de registre ou alors, comme auparavant dans les fichiers autoexec.bat,
win.ini, system.ini, etc. Les Trojans modernes vont plus loin en s'enregistrant
dans le systéme des registres comme plugin de programmes différents ou alors
comme composants Active-X. De plus, beaucoup de Trojans suppriment le fichier
initial d'origine démarré à l'amorçage de l'ordinateur pour déclencher chez
l'utilisateur une confusion totale.
Un Trojan-Backdoor est toujours composé d'au moins deux parties. Le dangereux
Trojan-Serveur, appelé aussi Host (Hôte), et du Trojan-Client, avec lequel
le pirate se connecte au serveur. Aussitôt qu'un serveur est installé, il
ouvre un Port (Canal de communication) pour la connexion à l'Internet. Par
l'ouverture de ce Port, le pirate informatique peut ainsi se connecter à
l'ordinateur de la victime pour commencer ses actions destructrices.
La seule information que le pirate a besoin, c'est l'Adresse-IP de sa victime.
Une manière de connaitre celle-ci, est par exemple de se faire envoyer un email
par la victime. L'Adresse-IP peut-être lu sur le Email-Header (en-tête du mail).
On peut aussi à l'aide de Netstat rechercher l'IP, quand celui-ci à une connexion
directe avec l'Instant-Messager.
Les pirates qui utilisent les Trojans sans l'objectif d'attaque rélle, mais
seulement pour s'amuser, emploient aussi des scanneurs de Ports, avec lesquels
ils scrutent les différents secteurs de réseaux si des Trojans-Ports sont
ouverts. Les Trojans utilisent des Ports différents pour que l'on ne les
reconnaisse pas tout de suite. Dans beaucoup de serveurs, le pirate peut
aussi modifier manuellement le Port utilisé, même avec quelques uns ça se
fait pendant la pleine marche de l'ordinateur.
Illustration 2: Scanneur de Ports
Le Trojan-Serveur est pour le client une Interface du système d'exploitation-API
(Application Programming Interface) de l'ordinateur de la victime. Le serveur
reçoit les instructions du client, dans lesquelles est défini ce qu'il doit
faire et retourner. Selon la complexité du serveur, celui-ci peut plus ou moins
exécuter certaines fonctions. La plupart de ces fonctions utilisées, sont
l'espionnage des mots de passe et documents secrets.
Illustration 3: Interface API
Les photos d'écran suivantes sont du Trojan „NET DEVIL“, Version 1.5.
Fouiller les répertoires et les fichiers
Une fonction standard chez tous les Trojans. De cette façon, le pirate peut
rechercher certains fichiers sur l'ordinateur de sa victime et transférer
ensuite ceux-ci sur le sien. Le pirate peut aussi bien faire l'inverse, c.à.d.
charger des fichiers sur l'ordinateur de sa victime. Le plus souvent l'agresseur
à l'illustration totale de la structure des dossiers sur son programme-client
et peut exécuter différentes actions (créer des dossiers, fichiers, modifier
et supprimer, etc.).
Illustration 4: Gestionnaire de données
Espionner les mots de passe
Beaucoup de Trojans ont des routines insérées, qui demandent au système les
mots de passe qui y sont enregistrés. Avec les systèmes Windows 9x, cela est
particulièrement très simple puisque beaucoup de mots de passe sont stockés
dans le cache du systéme. Cela comprend par ex: les mots de passe de connexion
Internet et mots de passe de vos emails.
Illustration 5: Les mots de passe
Afficher les Processus
Cette fonction ressemble au gestionnaire de tâche de Windows NT/2000/XP.
On peut se faire afficher toutes les tâches des programmes qui sont démarrés
et si on le désire, les terminer.
Illustration 6: Les processus
Interroger les fenêtres
De cette façon, un pirate peut se procurer un aperçu des fenêtres qui sont
ouvertes sur l'ordinateur de sa victime. Fenêtres visibles mais aussi invisibles
peuvent être ainsi fermées (p. ex. programmes dans la zone de notification
(System-Tray)). Par cela, différentes fonctions lui sont accessibles. Il
peut geler (c.à.d. bloquer momentanément) les fenêtres, désactiver le
"Bouton-Fermer", modifier le titre des fenêtres, mettre les focus sur
d'autres fenêtres et envoyer plusieurs séquences de textes dans la fenêtre.
Illustration 7: Les fenêtres
Chat avec la victime
De cette façon, l'agresseur peut commencer un Chat avec la victime.
Cette fonction surprenante donne à l'utilisateur inexpérimenté de
l'ordinateur une sensation de crainte, se demandant qui peut bien
être la personne à l'autre bout du fil qui veut parler avec lui.
Illustration 8: Chat
Webcam téléguidé
Beaucoup de particuliers ont aujourd'hui une Webcam.
Justement même si celle-ci n'est pas utilisée par le propriétaire le
pirate peut l'utiliser pour surveiller sa victime. La victime ne se
doute de rien. Une Webcam offre une surveillance maximale de la victime.
Illustration 9: Webcam
Établir des Screenshots (Photo d'écran)
Afin que le pirate puisse voir exactement ce que fait sa victime sur son ordinateur,
il peut si il le veut, faire une photo d'écran. Les photos d'écran peuvent être alors
sauvegardées séparément.
Illustration 10: Photos d'écran
Keylogger
On désigne par "Keylogger" une fonction qui peut noter toutes les frappes du
clavier. De cette manière, par ex: les mots de passe que l'utilisateur tape
sur son clavier, peuvent être interceptés.
Illustration 11: Keylogger
Éditer le registre du système
Pour le pirate, ses possibilités n'ont pas de limites. Il peut aussi éditer
le registre de Windows. Ainsi, Il peut créer de nouvelles sections et de
nouvelles valeurs. Pratique pour par ex: modifier des entrées Autostart
pour le Trojan-Serveur ou pour démarrer automatiquement d'autres programmes
à l'amorçage du système.
Illustration 12: Editeur du registre
Plugins
Quelques Trojan-Serveur plus répandus ont une Interface-Plugin. Ainsi, les
pirates peuvent créer leur serveur avec toutes les fonctions dont ils ont
besoin et même de développer de nouveaux Plugins pour le Trojan. Ici, la
créativité dans le domaine de la destruction, n'a pas de frontières.
Jeu de Cache-Cache
Les Trojans modernes comme par ex: "Optix" peuvent très bien se cacher dans
l'ordinateur atteint. Ils manipulent les appels des Windows-API, qui ont pour
devoir d'afficher les fichiers de l'Explorer ou qui sont responsables pour le
système de registres. L'utilisateur n'a alors plus la possibilité de trouver
le Trojan manuellement, car il est invisible. Le pirate seul, sait où se dissimule
le serveur et comment il peut l'arrêter de nouveau.
Désactiver Antivirus et Firewalls
De même, une méthode fréquemment employée est de mettre hors circuit ou de
désactiver les programmes Anti-Virus et Firewalls pour ne pas être découvert.
Le Trojan-Serveur reste ainsi invisible sur l'ordinateur.
Contourner les Personal Firewalls
Le Trojan "Assasin 2" fournit dans ce domaine une performance remarquable.
Celui-ci peut contourner les Desktop Firewalls. Le principe du fonctionnement
est relativement simple à expliquer. Le Trojan injecte (si on peut dire) son
module de communication, qui peut sans problème passer outre le Firewall. Le
MS Internet Explorer convient donc parfaitement pour en être la victime.
L'Assasin 2 détourne ainsi le navigateur en le traversant pour pouvoir se
connecter vers l'extérieur. L'utilisateur de l'ordinateur ne remarque rien
et se sent parfaitement en sécurité.
Il existe plusieurs façons de garder son ordinateur sans Trojan. Ci-après, trois points importants sur la sécurité vont-être décrits. Petite chose auparavant: une protection à 100% contre les Trojans n'existe pas, ou bien sûr, vous vous passez d'Internet et des réseaux en géneral.
La plus simple des façons qu'a l'utilisateur pour garder son ordinateur "propre", est d'installer un programme Anti-Trojan. Ces programmes recherchent des fichiers Trojan dans tous les disques durs, de plus, la plupart d'entre-eux offrent généralement un Gardien d'arrière-plan, qui surveille à ce qu'aucun Trojan ne se niche dans l'ordinateur. Selon les utilitaires, le systéme de registres sera fouillé pour découvrir si des entrées Autostarts existent et par la même occasion la mémoire sera également examinée pour garantir une protection maximale. Les utilitaires Anti-Virus trouvent aussi des Trojans, mais ne peuvent pas les éliminer comme le font généralement les programmes Anti-Trojan. Certains Programmes Antivirus échouent en essayant de nettoyer un fichier Trojan, parce qu'ils cherchent une signature de Virus, alors qu'elle n'existe pas chez les Trojans, car les Trojans sont développés comme d'autres programmes le sont. De bons utilitaires Anti-Trojan offrent constamment des mises à jour de base de données de signatures, qui reconnaissent et éliminent les tout derniers Trojans. De tels utilitaires ont toutefois un désavantage. Ils ne reconnaissent que les Trojans qui sont dans leur base de données et que le programmeur connaît déjà.
Ici, on doit différencier les Firewalls qui par le filtrage des données
transférées empêchent le transfert d'un Trojan, de ceux qui empêchent
les communications de ces Trojans vers l'extérieur.
Les premiers cités, peuvent certes empêcher qu'un Trojan venant de
l'Internet se faufile dans votre réseau local, bloquant par ex: certains
types de fichiers, mais ne vous protègent pas contre les Trojans déjà
actifs dans votre réseau local venus d'ailleurs que de l'Internet.
Les Firewalls bloqueur de Ports sont basés sur le principe, que premièrement
tous les ports de communication de l'ordinateur sont bloqués et que petit à
petit les ports dont on à besoin et qui sont nécessaires soient ouverts. Les
Ports les plus importants qu'on ne devrait pas bloquer sont: 21 (FTP), 25
(SMTP), 80 (HTTP), 110 (POP3), etc. En fonction des services que l'on veut
utiliser pour être connecté à l'Internet, on doit ouvrir ces Ports. Ici, au
plus tard la chose sur la sécurité est encore une fois relative. Avec les
Trojans les numéros de Ports sont très variables, cela veut dire qu'un
agresseur peut modifier le Trojan, de telle sorte que le Port 80 par
exemple soit utilisé. Ainsi les Trojans-Serveurs peuvent aussi communiquer
avec le pirate au travers du Firewall.
Les Firewalls bloqueur de Ports ne peuvent qu'offrir une protection passive
contre les Trojans. Si, dans un ordinateur dans un réseau local un Trojan
est actif, il peut malgré tout être utilisé dans le réseau local. Dans les
grands réseaux d'entreprise les Trojans sont de plus en plus utilisés par
les employés eux-même, pour espionner les données protégées.
PProxy-Serveur ou Serveur-NAT ne protège pas d'un pirate qui veut se connecter
avec un Trojan déjà installé derrière le Proxy ou bien derrière un Serveur-NAT.
Entre-temps les Trojans sont également Proxy et NAT-capables et se connectent
seuls vers l'extérieur chez le pirate.
Naturellement vous pourriez maintenant dire„ je n'ai pas besoin d'utilitaires
de protection, j'ai mon système bien en main“. Ceci est naturellement votre
droit, et personne ne peut vous faire changer d'avis. Toutefois, vous devrez
alors maîtriser les règles les plus importantes en ce qui concernent la sécurité
dans l'utilisation d'Internet.
1. Attention avec les fichiers
N'ouvrez jamais un fichier exécutable qui vient d'Internet, car il pourrait
contenir un Trojan. Ceci n'est pas seulement valable pour les fichiers .EXE.
Il y a toute une palette de types de fichiers, qui tout comme les fichiers
.EXE et peuvent contenir des codes dangereux. Par example: .COM (DOS), .SCR
(Écran de veille), .DOC, .XLS, .MDB (VBA-Macros), .VBS, .JS, .HTA, .WSF
(Scripts), et beaucoup plus encore. Assurez-vous toujours que la source
des fichiers soit digne de confiance. Ceci est valable pour tous les
téléchargements.
Attention avec les fichiers-joint attaché à un email! Même si cet email vient
d'un expéditeur fiable, il peut quand même contenir un Trojan. Beaucoup de
Vers-Email envoient automatiquement des Trojans à toutes les adresses email
présentes dans le canet d'adresses de l'utilisateur sans que celui-ci n'en
sache rien.
2. Mises à jour
Veillez toujours à avoir installé les dernières mises à jour et mis les
correctifs de vos programmes. Autrement, il peut rapidement arriver que
votre ordinateur soit contaminé sans que vous le remarquiez. Quelques
Trojans ont atteint un degré de diffusion très grand en utilisant les
lacunes de sécurité du MS Internet Explorer et du MS Internet Information
Services.
3. Programmes et Ports bien en main
Si vous ne vous fiez pas aux logiciels de protection, vous devrez connaître
toutes les tâches des programmes actifs de votre ordinateur. Vous devrez
remarquer immédiatement, si un programme est en fonction et tient un Port
ouvert. Avec l'utilitaire "netstat" vous pouvez interroger toutes les
connexions actives et ensuite assigner manuellement ceux-ci aux programmes
actifs.
4. Les entrées à démarrage automatique (Autostart) bien en main
Les Trojans ont besoin d'entrées à démarrage automatique (Autostart) pour être
chargés à l'amorçage du système. Vous devez connaître également tous les
programmes, qui sont chargés automatiquement aux endroits suivants:
Menu Démarrer – Autostart
N'est pratiquement pas employé par les Trojans, parce que facile à trouver.
autoexec.bat
Pratiquement pas employé par les Trojans-Windows, principalement utilisé pour les Programmes-DOS.
config.sys
Également et principalement pour les Programmes-DOS.
system.ini
Des programmes peuvent-être chargés par l'édition du "shell=".
win.ini
Peuvent-être parfois chargés dans les sections "run=" et "load=".
Le système du registreu (Registry)
Presque tous les nouveaux Trojans utilisent les registres pour être chargés
automatiquement au démarrage du systéme. Les positions les plus importantes
sont:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
ainsi que
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
D'autres possibilités sont données en employant des Plugins et des Modul-Key.
Un Trojan peut s'enregistrer comme par ex: Active-X Control dans le système
des registres de Windows, pour qu'au démarrage du système différents programmes
soient chargés. Une autre possibilité très raffinée celle-ci, est l'enregistrement
d'entrées de fichiers-types. Avec chaque fichier-type on peut déterminer quels
programmes appellent ce fichier. Quelques Trojans utilisent ce truc pour appeler
ces fichiers et pour qu'ils soient démarrés.
Pour éliminer sûrement un Trojan, terminer en premier la "tâche du programme (processus)",
puis supprimer les fichiers programmes et à la fin éliminer les entrées de démarrage
automatique (Autostart).
| © 2003-2006 Emsi Software GmbH |