Codes Malicieux utilisés comme mouchard : les chevaux de Troie

By 23 September 2012

II / Les Codes Malicieux utilisés comme mouchard : Les chevaux de Troie (trojan horse ou trojan)

Définition du NIST (National Institute of Standards and Technology) : un cheval de Troie est un programme qui exécute une tâche souhaitée, mais inclut aussi des fonctions inattendues et indésirables. La différence avec un virus est qu’il ne se réplique pas automatiquement et n’affecte normalement pas les fichiers contenus dans l’ordinateur.

(Virus : segment de code auto reproducteur qui doit être attaché à un hôte exécutable. …)

Ce sont à l’origine de simples programmes destinés à faire effectuer des actions à un ordinateur à l’insu de l’utilisateur.

Ce terme s’applique aujourd’hui davantage aux applications de capture de données, bien qu’ils aient à l’origine comme but la destruction ou le détournement de données. En effet tous les chevaux de Troie ont une fonction commune : donner accès à des données contenues dans un système. C’est pour cela que le cheval de Troie est le mouchard par excellence car il est fait pour récupérer des données le plus discrètement possible. C’est aussi pour cette raison que certaines personnes ont qualifié les espiogiciels de chevaux de Troie légaux, car ils en ont toutes les caractéristiques.

Leur objectif est d’ouvrir une porte dérobée (backdoor) sur le système cible, permettant ensuite à l’attaquant de revenir épier, collecter des données ou contrôler le système. Certains sont même devenus des outils d’administration à distance.

Contrairement au virus, ils sont beaucoup plus faciles à utiliser et donc accessibles à un plus grand nombre de personnes. C’est en réalité le moyen le plus simple de piratage.

Mais il existe aujourd’hui des vers très dangereux qui contiennent un cheval de Troie : c’est le cas du vers Bugbear.

2.1/ Principe

Pour s’introduire, le cheval de Troie utilise toutes sortes de moyens :
– Il peut s’implanter directement en exploitant les failles de sécurité d’un système ou d’un logiciel/
– Être contenu dans un programme comme un économiseur d’écran, un jeu…
– Être téléchargé involontairement sur un site web ou ftp.
– Être installé sur la machine par une personne y ayant physiquement accès.
– Par une pièce jointe d’un e-mail…

Une fois introduit, il se cache dans des répertoires système ou se lie à des exécutables.

Il modifie le système d’exploitation de manière à pouvoir démarrer en même temps que la machine. Sous Windows c’est la base de registre.

2.2 / Classification

En plus de permettre la récupération d’information sur l’ordinateur, ils ont souvent une fonction key logger qui leur permet d’enregistrer toutes les frappes au clavier et aussi une fonction capture d’écran. Ils ont également toute une série de fonctions comme éteindre et redémarrer l’ordinateur (séquences de reboot), bloquer le clavier, démarrer des applications, ouvrir des documents, récupérer les mots de passe…

En fonction des différentes fonctions dont ils disposent on peut les classer en quatre sortes :
– les RAT : les chevaux de Troie télécommandés ou d’administration à distance (Remote Access Trojan ou Remote Administration Trojan)
– les chevaux de Troie FTP (File Transfert Protocole)
– les chevaux de Troie de mots de passe (passwords trojan)
– les enregistreurs de touches ou key loggers.

2.2.1. Les chevaux de Troie d’administration à distance (RAT)

Ce sont les chevaux de Troie les plus courants mais aussi les plus dangereux. Ils permettent de faire absolument toutes les opérations que l’utilisateur devant son ordinateur peut faire : ainsi avec un RAT on peut lire, modifier, télécharger tout fichier présent sur l’ordinateur cible et en télécharger sur l’ordinateur cible, récupérer tous les mots de passe et autres, modifier le système…

Un RAT créé une brèche dans l’ordinateur en ouvrant clandestinement un port réseau, ils sont par extension aussi appelés backdoor (porte dérobée). Ils ont une structure client / serveur, c’est à dire deux programmes distincts : le programme serveur doit être placé sur l’ordinateur cible et le programme client permet l’accès au dit ordinateur en communiquant avec le programme serveur implanté et totalement clandestin. Ils nécessitent donc une connexion internet.

Les plus connus sont Backorifice et Netbus.

2.2.2. Les chevaux de Troie FTP

Ils sont assez proches des RAT mais ils n’ont pas autant de fonctionnalités. Ils utilisent également une porte dérobée (backdoor) et ont aussi une structure client serveur. Par contre leur particularité est qu’une fois le serveur installé, ils fonctionnent comme un serveur FTP classique qui permet donc le transfert de fichier. Le programme client n’est donc plus spécifique au cheval de Troie, tout client FTP permet l’accès au serveur. Mais les opérations possibles sont forcément réduites à ce que permet un serveur FTP, c’est à dire surtout des interventions sur les fichiers, et ils nécessitent bien sûr que la machine cible soit connectée à Internet.

Ils sont moins connus que les RAT mais aussi moins détectables. En outre ils utilisent en général le port FTP 21, qui est un port commun (certains peuvent être paramétrés pour utiliser un autre port).

2.2.3. Les chevaux de Troie de mots de passe

Ils vont chercher les mots de passe qui ont été stockés sur un ordinateur, lorsque l’utilisateur a demandé à ce qu’ils soient retenus. Certains sont spécialisés dans la recherche de mots de passe de logiciels bien définis, d’autres récupèrent tous les mots de passe.

Il y a deux types de récupération de ces mots de passe :
– soit en mode local, c’est à dire qu’il faut avoir accès à la machine cible et appeler le programme qui affiche alors les mots de passe trouvés,
– soit en mode distant, tous les mots de passe trouvés sont envoyés sur une boite e-mail et transitent par le serveur de la boite mail du destinataire et non pas directement comme pour les autres chevaux de Troie. Il n’y a pas de programme client, il suffit juste de configurer le programme serveur (avec la boite mail) avant de l’implanter.

Ils ne sont pas actifs en permanence. En général ils ne fonctionnent qu’une fois, à l’exception de certains qui peuvent redémarrer lorsque certains mots de passe sont modifiés. D’autres ont une fonction de destruction une fois les mots de passe envoyés.

Leur intérêt par rapport aux RAT qui ont aussi cette fonction là, est que ce sont des programmes beaucoup plus légers et moins repérables.

2.2.4. Les enregistreurs de touches ou key loggers.

Ce sont des enregistreurs d’activités informatiques permettant d’enregistrer les touches pressées par un utilisateur sur son clavier et tous les événements déclenchés.

Ils ne sont pas toujours considérés comme chevaux de Troie mais leur fonction étant la récupération d’information, ils correspondent tout à fait au type « trojan ». L’enregistreur de touche peut soit être installé seul et n’avoir pas d’autre fonction, soit être une des fonctions d’un cheval de Troie plus développé, de la même manière que les chevaux de Troie de mots de passe.

Ils permettent simplement l’enregistrement d’informations mais ne modifient rien sur la machine cible. Ils vont permettre de récupérer tous les mots de passe, identifiants… qui ont été tapés au clavier. Ils se lancent automatiquement au démarrage de l’ordinateur.

Il y a trois sortes de key loggers en fonction de la technique de récupération des informations :
– mode local : les informations généralement cryptées dans un fichier log ou plusieurs fichiers log (cela dépend du key loggers) sont ensuite récupérées directement sur l’ordinateur cible : dans ce cas l’enregistreur de touches a aussi été mis manuellement sur l’ordinateur.
– les e-mails key loggers : ils envoient périodiquement les informations à une adresse mail configurée préalablement.
– Les Remote key loggers (mode distant) : ils nécessitent un programme client et permettent, soit de voir directement la saisie à l’écran, soit de se connecter régulièrement au serveur pour récupérer les informations qui sont alors enregistrées temporairement.

De la même manière que les chevaux de Troie de mots de passe, ils sont beaucoup plus petits que les RAT et moins repérables.

2.3 / Les différentes utilisations des chevaux de Troie

Des programmes d’enregistreurs de touches ont été commercialisés pour des utilisations personnelles ou pour des utilisations en entreprise. Ces programmes étant autorisés, ils ne sont pas repérés par les logiciels de détection.

Les chevaux de Troie ne sont donc pas utilisés qu’à des fins de piratages mais dans ce cas ils peuvent avoir une autre dénomination :

§ Le FBI depuis les attentats du 11 septembre 2001 utilise un cheval de Troie appelé Magic Lantern ou Lanterne Magique qui est un key logger. Il est reçu par courrier électronique et ouvre ensuite une porte dérobée (backdoor). Il doit les aider à traquer les terroristes potentiels mais permet surtout d’identifier les mots de passe et les clés des programmes de cryptage. Le FBI a démenti disposer d’un tel outil mais a reconnu travailler sur sa conception.
§ On les trouve en usage personnel comme moyen de surveillance (pour les enfants, les maris jaloux…).
§ Ils se développent de plus en plus dans les entreprises pour contrôler le travail des salariés : ils sont appelés logiciels de télé-maintenance.

Sur ce dernier point le Code du Travail en France exige que le salarié, dont le travail est vérifié par un système de ce genre, soit prévenu avant que le système soit mis en place, c’est le principe de transparence :
« Aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié ou du candidat à un emploi. »
Article L121-8 (inséré par Loi nº 92-1446 du 31 décembre 1992 art. 26)

De plus, le contrôle doit également être justifié par la nature des tâches et proportionné au but recherché. La proportionnalité est une affaire de cas par cas car elle dépend du degré de sécurité et de surveillance exigée par l’entreprise.

Le troisième point est que la mise en place de ce contrôle doit faire l’objet d’une discussion collective :
« Le comité d’entreprise est informé et consulté, préalablement à la décision de mise en oeuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés. »
Article L432-2-1 (Loi nº 2001-152 du 19 février 2001 art. 1)

Au niveau européen une recommandation du comité des ministres du Conseil de l’Europe du 18 janvier 1989, imposait en substance ce qui a été retranscrit dans la loi 92-1446 mais en précisant que l’accord du salarié devrait être recherché lorsque « la procédure de consultation … révèle une possibilité d’atteinte au respect de la vie privée et de la dignité humaine des employés… ».

2.4/ Détection et éradication

– La plupart de ces dispositifs peuvent être détectés par des antivirus mais pas tous.
– Des logiciels spécialisés existent ainsi que des programmes spécifiques pour chaque cheval de Troie.
– On peut les détecter grâce à un ralentissement du système au démarrage mais ce n’est en général pas très visible.
– Des listes de chevaux de Troie et des ports qu’ils utilisent sont mises à jour régulièrement et peuvent aussi permettre certaines vérifications.
– Il peut être intéressant d’effectuer une analyse des ports (scan ports) de manière à voir ceux qui sont ouverts, et de les fermer ou les protéger.
– On peut également les repérer avec un pare feu, si des ports inhabituels sont ouverts.

Certains utilisent les ports communs. Dans ce cas on peut voir qu’un programme inconnu cherche à communiquer à l’extérieur. Le pare feu peut également servir à bloquer la communication entre le serveur et le client (pour les chevaux de Troie utilisant ce principe).

– On peut les supprimer manuellement. Dans ce cas il faut supprimer le programme et faire en sorte que le programme ne soit plus activé au démarrage (trouver la clé dans la base de registre ou celle qui a été modifiée…)

Il est aussi très important d’effectuer régulièrement les mises à jour et correctifs des systèmes d’exploitation et des logiciels, les chevaux de Troie utilisant des trous ou failles de sécurité. On réduit ainsi les risques d’infection. Les utilisateurs ne sont pas suffisamment sensibilisés à l’importance des correctifs, c’est pour cela qu’on retrouve des chevaux de Troie encore actifs alors qu’ils utilisent des failles corrigées depuis longtemps.

Lire le mémoire complet ==> (Mouchard informatique
De l’atteinte à la vie privée à l’espionnage d’État – Principes, Techniques et Législation
)

Mémoire – DESS Audit et Expertise en Informatique
Université Paris II Panthéon-Assas