Un cheval de Troie (Trojan horse en anglais) est un type de logiciel malveillant, qui ne doit pas être confondu avec les virus ou autres parasites. Le cheval de Troie est un logiciel en apparence légitime, mais qui contient une fonctionnalité malveillante. Son but est de faire entrer cette fonctionnalité malveillante sur l'ordinateur et de l'installer à l'insu de l'utilisateur.

Histoire

Origine du concept

Le terme « cheval de Troie » a été inventé en 1970 par Daniel J. Edwards^[1], chercheur à la NSA. En 1971, le manuel UNIX suppose le concept bien connu puisqu'il y est écrit^[2] :

« On ne peut pas changer le propriétaire d’un fichier en modifiant le bit utilisateur, car ainsi on pourrait créer des chevaux de Troie capables d'utiliser frauduleusement les fichiers d'autres personnes. »

La terminologie a été par la suite utilisée en 1974 dans un rapport de l'US Air Force sur l'analyse de la vulnérabilité des systèmes informatiques^[3], puis présentée en 1981 par David Jordan^[4] et enfin vraiment popularisée par Ken Thompson dans la conférence Turing^[5], qu'il donna à la réception du prix Turing en 1983, prix qu'il avait reçu pour avoir créé UNIX. Sa conférence est sous-titrée :

« To what extent should one trust a statement that a program is free of Trojan horses? Perhaps it is more important to trust: the people who wrote the software. »

Ce qui signifie :

« Dans quelle mesure doit-on se fier à une déclaration selon laquelle un programme est exempt de chevaux de Troie ? Il est peut-être plus important de faire confiance aux personnes qui ont écrit le logiciel. »

Il signale qu'il a eu connaissance de l'existence possible de chevaux de Troie (à la manière de ceux qu'ils présentent), dans un rapport sur la sécurité de Multics, dont il ne peut malheureusement pas trouver de référence, mais Paul Karger et Roger Schell^[6] sont en position d'affirmer qu'il s'agit du rapport cité plus haut^[3]^,^[7].

La légende du cheval de Troie dans l'Odyssée

Les chevaux de Troie informatiques (ou Trojan horses en anglais) tirent leur nom d'une célèbre légende de la Grèce antique, racontée par Homère dans l'Odyssée et reprise par Virgile dans l'Énéide. Le cheval de Troie est la méthode utilisée par les Grecs pour conquérir la ville de Troie : le héros Ulysse fit construire un immense étalon de bois qu'il plaça devant les portes de Troie et dans les flancs duquel il se cacha avec ses compagnons. Lorsque les Troyens découvrirent ce cheval, ils le firent entrer eux-mêmes dans leur cité. Ils s'endormirent sans méfiance tandis que le cheval se trouvait dans leurs murs. À la nuit tombée, Ulysse et ses compagnons sortirent de leur cachette et ouvrirent les portes de la ville au reste de l'armée, qui la détruisit et massacra ses habitants.

Les chevaux de Troie aujourd’hui

Un cheval de Troie informatique est un programme d'apparence inoffensive, mais qui contient un logiciel malveillant installé par l'utilisateur lui-même, ignorant qu'il fait pénétrer un intrus malveillant sur son ordinateur. C'est par analogie que ce type de programme a été baptisé « cheval de Troie », en référence à la ruse qu'Ulysse utilisa pour contourner les défenses adverses.

En 2014, une étude de l'Association of Internet Security Professionnals, centrée sur les dangers du live streaming illégal, révèle qu'un ordinateur sur trois est infecté par un logiciel malveillant et que 73 % de ces infections proviennent d'un cheval de Troie^[8].

Les chevaux de Troie peuvent être utilisés de manière légale par les services de renseignement ou les services d'enquête. Ainsi dans un cadre judiciaire, les enquêteurs peuvent avoir recours à la captation des données informatiques. Le démantèlement du réseau de communications chiffrées EncroChat en est ainsi une illustration.

Quelques précisions terminologiques

Le programme contenu (ou téléchargé par la suite automatiquement) est appelé la charge utile^[9]. Il peut s'agir de n'importe quel type de logiciel malveillant : virus, keylogger, logiciel espion ou publicitaire... C'est ce logiciel malveillant qui va exécuter des actions au sein de l'ordinateur victime^[10]. Le cheval de Troie n'est rien d'autre que le véhicule, celui qui fait « entrer le loup dans la bergerie ». Il n'est pas nuisible en lui-même car il n'exécute aucune action, si ce n'est celle de permettre l'installation du vrai logiciel malveillant.

Dans le langage courant, on nomme souvent par métonymie « cheval de Troie » pour désigner le logiciel malveillant contenu à l'intérieur. Cette confusion est en partie alimentée par les éditeurs d'antivirus, qui utilisent « trojan » comme nom générique pour désigner différents types de programmes malveillants qui n'ont rien à voir avec des chevaux de Troie^[11].

Vecteurs d'infection

Le cheval de Troie prend l'apparence d'un logiciel existant, légitime et parfois même réputé, mais qui aura été modifié pour y dissimuler un parasite. La subtilité avec laquelle l'installation est faite est expliquée par Ken Thompson dans sa conférence Turing. L'utilisateur va télécharger et installer le programme, pensant avoir affaire à une version saine. En réalité, le logiciel véhicule un logiciel malveillant qui va pouvoir s'exécuter sur son ordinateur. Les logiciels crackés peuvent d'ailleurs être des chevaux de Troie qui vont berner l'internaute qui souhaite obtenir gratuitement un logiciel normalement payant, comme Adobe Acrobat Pro, Photoshop, Microsoft Office^[12]...

Origines fréquentes des chevaux de Troie

L’introduction d'un cheval de Troie dans un système informatique peut s'effectuer de différentes façons. Voici celles qui sont les plus courantes :

Téléchargement de versions modifiées sur des sites non officiels ou des plateformes peu sûres (P2P). Télécharger un logiciel sur le site officiel de l'auteur ou du distributeur évite normalement d'avoir affaire à une version infectée par un cheval de Troie.
Visite de sites Web contenant un exécutable (par exemple, durant les années 2000, les contrôles ActiveX ou des applets Java).
Exploitation de failles dans des applications obsolètes (navigateurs, lecteurs multimédias, clients de messagerie instantanée...) et notamment les Web Exploit.
Ingénierie sociale (par exemple, un pirate envoie directement le cheval de Troie à la victime par messagerie instantanée).
Pièces jointes et fichiers envoyés par messagerie instantanée.
Mise à jour d'un logiciel.
Lecture d'une clé USB d'origine inconnue.

Notions voisines du cheval de Troie

Le cheval de Troie ne doit pas être confondu avec d'autres notions proches :

L'injecteur (ou dropper, en anglais) est quasiment identique au trojan car il sert aussi de véhicule pour un logiciel malveillant. Cependant, l'injecteur est un programme spécialement créé pour propager des logiciels malveillants, tandis qu'un cheval de Troie est une version modifiée d'un programme existant et légitime.
La porte dérobée (backdoor) est un programme qui va s'exécuter discrètement sur l'ordinateur où il est installé pour y utiliser une faille de sécurité. Le backdoor ouvre un ou plusieurs ports sur la machine, ce qui lui permet d'accéder librement à Internet et de télécharger, à l'insu de l'utilisateur, un logiciel malveillant. Le backdoor n'est donc pas un cheval de Troie car celui-ci ne véhicule pas le logiciel malveillant de lui-même : il va simplement ouvrir un accès et récupérer, via Internet, le programme malveillant qui se trouve sur un serveur distant.
Le RAT (Remote administration tool) est un logiciel de prise de contrôle à distance d'un ordinateur. Un RAT peut être un outil légitime (pour le dépannage à distance, par exemple), mais il peut aussi être utilisé par un pirate pour s'emparer d'une machine. Dans ce cas, l'introduction du RAT sur la machine à contrôler se fait à l'insu de l'utilisateur. Contrairement à ce qu'on lit parfois, le T de RAT ne signifie pas Trojan mais Tool (outil).
Les bombes de décompression ne contiennent pas de logiciels malveillants, mais elles peuvent être confondues avec les chevaux de Troie car la notion de conteneur entre aussi en jeu. Il s'agit d'un fichier compressé (un fichier zip, par exemple) de taille raisonnable tant qu'il n'est pas ouvert. Mais lorsque l'utilisateur va tenter de le décompresser, celui-ci va générer un fichier d'une taille gigantesque. Cette « explosion » entraîne le ralentissement ou le plantage de l'ordinateur, et sature le disque dur avec des données inutiles. Bien qu'il s'agisse de conteneurs malveillants, le fonctionnement des bombes de décompression n'a donc rien à voir avec celui des chevaux de Troie. En effet, elles ne transportent aucun parasite indépendant, elles saturent la machine de données aléatoires.
Le Trojan Stealer, plutôt spécialisé dans le vol de données et notamment les comptes en ligne (mail, réseaux sociaux ou encore compte bancaire). Le préfixe utilisé par les antivirus peut alors être Trojan.PWD, où PWD signifie password pour mot de passe.

Symptômes possibles d'une infection

Activité anormale de la carte réseau ou du disque dur (des données sont chargées en l'absence d'activité de la part de l'utilisateur).
Mouvements curieux de la souris.
Ouvertures impromptues de programmes ou du lecteur CD/DVD.
Plantages répétés du système.
Arrêt ou redémarrage impromptus de l'ordinateur.
Écran ou fenêtres comportement des messages inhabituels.
Comportement inhabituel dans le fonctionnement de l'ordinateur, comme la modification du rôle des boutons de la souris ou la modification du volume du lecteur audio.
Ouverture ou fermeture intempestive de fenêtres ou de logiciels.
Les programmes commencent ou terminent leur exécution de manière inattendue.
Le navigateur accède tout seul à certains sites Internet.
Présence d'autres programmes qui n'ont pas été volontairement installés (y compris des logiciels malveillants).
Vol de renseignements personnels : informations personnelles ou bancaires, mots de passe...
Suppression, modification ou transfert de fichiers (téléchargement ou upload).
Exécution ou arrêt de processus.
Enregistrement des frappes (voir Enregistreur de frappe)
Captures d'écran inhabituelles.
Espace libre du disque dur occupé par des fichiers inutiles.

Exemples

Socket23
Vundo (aussi dénommé Virtumonde)
LANfiltrator^[13]
FlashBack
Y3k RAT^[14] (inactive)
Hadès-RAT
Back Orifice
Beast
Netbus
ZeroAccess
Koobface
SubSeven
DarkComet
PoisonIvy
Bifrost
Flux

Une liste des Trojan Banker qui ont été les plus actifs en 2016 et qui sont spécialisés dans le vol de comptes bancaires :

Zeus
Spyeye
Dyre
Ursnif aka (Papras, ouVoslik)
Dridex.
Vawtrak

Notes et références

Cet article est principalement issu de l'article de viruslist.com

↑ « Oral history interview with Daniel J. Edwards », Charles Babbage Institute, 2 juillet 2013
↑ Ken Thompsom, « UNIX PROGRAMMER'S MANUAL, », 3 novembre 1971 (consulté le 28 mars 2020)
↑ ^{a et b} (en) Paul A. Karger et Roger R. Schell, « Multics Security Evaluation: Vulnerability Analysis , ESD-TR-74-193 », HQ Electronic Systems Division: Hanscom AFB, MA, vol. II,‎ juin 1974 (lire en ligne)
↑ (en) David M. Jordan, « Multics Data Security », Scientific Honeyweller, vol. 2, n^o 2,‎ juin 1981 (lire en ligne)
↑ (en) Ken Thompson, « Reflection on Trusting Trust », Commun. ACM, vol. 27, n^o 8,‎ 1984, p. 761-763 (lire en ligne).
↑ (en) Paul A. Karger et Roger R. Schell, « Thirty Years Later: Lessons from the Multics Security Evaluation », ACSAC,‎ 2002, p. 119-126 (lire en ligne)
↑ Karger et Schell écrivent même que Thompson a ajouté cette référence dans une version ultérieure de sa conférence Turing : (en) Ken Thompson, « On Trusting Trust », Unix Review, vol. 7, n^o 11,‎ novembre 1989, p. 70-74
↑ (en) « Illegal Streaming and Cyber Security Risks : a dangerous status quo ? », sur documentcloud, automne 2014
↑ « Charge utile », sur Assiste.com, 10 janvier 2019
↑ (en) « Trojan Horse », sur Webopedia
↑ (en) « What is the difference between viruses, worms, and Trojans? », sur Symantec, 12 janvier 1999
↑ En fait, l'utilisateur devrait se remémorer la phrase de Laocoon citée par Virgile à propos du cheval de Troie : "Je crains les Grecs, même quand ils me font des cadeaux".
↑ « Backdoor.Lanfiltrator », Symantec date undisclosed (consulté le 5 février 2011)
↑ « BD Y3K RAT 1.1 », Symantec date undisclosed (consulté le 5 février 2011)

Voir aussi

Articles connexes

Liens externes

v · m Attaques, menaces et programmes informatiques malveillants
Vers	Attaque par déni de service (Denial of service) Code Rouge (Code Red) Débordement tampon (Buffer overflow) De réseau Bugbear ExploreZip (I-Worm.ZippedFiles) Flame (Worm.Win32.Flame) Here you have (via courriel) I love you (Love Letter) Sapphire (Slammer) Spambot (Spam robotisé) Stuxnet (via clé USB) Ver de script (Script Worm)
Chevaux de Troie	Bombe (Bomb) Cliqueur (Modificateur du fichier Hosts) Code automodifiable (Self-modifying code) Espiogiciel (Spyware) Injecteur (Dropper) Notificateur (Trojan) Porte dérobée (Backdoor) Rançongiciel (Ransomware) Scanneur de vulnérabilité (Vulnerability scanner) Trojan Rustock (Botnet Rustock) Trojan Srizbi (Botnet Exchanger) Trojan Storm (Botnet Storm) Zombificateur (Zombie)
Virus	Autorépliquant (Wabbit) De fichier Du secteur d’amorçage (boot) De script Macrovirus Ping-Pong virus Virus polymorphe
Autres	KeyRaider XcodeGhost

Portail de la sécurité informatique

Catégorie