sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et BS7799-2

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

Les chevaux de Troie

La ruse pour se cacher

Comme dans la mythologie, les chevaux de Troie ("Trojan horses" ou "Trojans" en anglais) utilisent une ruse pour agir de façon invisible, le plus souvent en se greffant sur un autre programme.

Ils font partie des menaces liées à Internet, parmi les virus et autres vers. Pourtant, contrairement à ceux-ci, les chevaux de Troie de ne reproduisent pas (en tout cas, ce n'est pas leur objectif premier). Ce sont à la base de simples programmes destinés à être exécutés à l'insu de l'utilisateur.

Objectifs et fonctionnement

Leur objectif est le plus souvent d'ouvrir une porte dérobée sur le système cible, permettant ensuite à l'attaquant de revenir à loisir épier, collecter des données, les corrompre, contrôler voire même détruire le système. Certains chevaux de Troie sont d'ailleurs tellement évolués qu'ils sont de véritables outils de prise en main à distance.

Un cheval de Troie peut par exemple :

  • voler des mots de passe

  • copier des données sensibles

  • exécuter tout autre action nuisible ...

Pire, un tel programme peut créer, de l'intérieur de votre réseau, une brêche volontaire dans la sécurité pour autoriser des accès à des parties protégées du réseau à des personnes se connectant de l'extérieur.

 

Leur mode opératoire est souvent le même; ils doivent tout d'abord être introduits dans le système cible. Les moyens sont variés et exploitent le vaste éventail des failles de sécurité, souvent grâce à un simple économiseur d'écran piégé ou une bonne blague (envoyé par e-mail du type rayon-X.exe, snow.exe...).

 spacer

Après leur introduction dans le système, ils se cachent et modifient le système d'exploitation cible pour pouvoir démarrer en même temps que la machine. Ils sont actifs en permanence et reste à l'écoute des connections provenant du pirate pour recevoir des instructions.

Comment se protéger

Il est assez facile d’en détecter les versions classiques (back-orifice 2000) avec les anti-virus et pare-feux actuels qui connaissent très précisément leur empreinte ou leur code. Le problème est plus difficile lorsqu'il s'agit de programmes dont le code a été modifié afin d'obtenir un cheval de Troie dont l'empreinte est unique et donc inconnue des anti-virus.yeux

Alors il faut détecter leur activité : un cheval de Troie est obligé d'ouvrir des voies d'accès pour pouvoir communiquer avec l'extérieur par l’intermédiaire des ports de la machine (par exemple 12345, 2222, etc...) surtout s'ils sont habituellement inutilisés.

D'autres chevaux de Troie ont détourné cette faiblesse en utilisant des ports plus communs (relatifs aux services ftp, irc...). Là encore, il faut administrer ces ports ouverts et se demander pourquoi tel service est actif.

 

pix1 pix2 pix3 pix4