Le cheval de Troie: efficace et... discret!

Une grosse frayeur s'est emparée il y a quelque temps d'une PME dont l'activité dépend entièrement de sa plate-forme Internet. A l'origine de la panique : des serveurs devenus incontrôlables et qui, toutes les deux heures, "prenaient l'initiative" d'expédier des données à travers le réseau. Seule solution pour cette entreprise : se déconnecter du réseau en attendant d'identifier l'origine de son mal. En l'occurrence, des chevaux de Troie nichés dans les serveurs. Tout aussi nocifs que les virus et autres vers, les chevaux de Troie sont pourtant moins sous les feux de l'actualité - qui se souvient que le célèbre virus " I Love You " cachait aussi un cheval de Troie ? Cette situation s'explique: alors qu'un virus altère ouvertement des fichiers, alors qu'un ver se duplique jusqu'à saturer un disque dur, le cheval de Troie, lui, prend soin avant tout de ne pas manifester sa présence. Avec quel objectif ? Nous allons y revenir…

"A l'insu de son plein gré"
Tout d'abord, une petite précision s'impose sur les différentes manières d'accueillir un tel intrus - à "l'insu de son plein gré" serait-on tenté d'ajouter. En fait, deux cas de figure se présentent. Soit, l'utilisateur a reçu ce bout de code dans un email et l'a activé en cliquant sur un exécutable ; soit, il a tout simplement été le chercher ! En effet, il est tout à fait possible de cueillir un cheval de Troie en naviguant sur des sites, disons… plus ou moins douteux. A une époque, certains sites permettaient ainsi de télécharger Winzip, le célèbre utilitaire de compression de fichiers, avec en prime un cheval de Troie ! Dans ce domaine, les entreprises doivent garder à l'esprit que le développement des forces commerciales nomades accroît les risques. Hors des murs de l'entreprise, ces salariés se connectent parfois à Internet sans être protégés par l'infrastructure logicielle de l'entreprise et viennent ensuite brancher leur ordinateur portable sur le réseau local. Nous avons récemment rencontré une société qui, par ce biais, avait récolté près de 26 chevaux de Troie, tous très actifs… Justement, quels types d'effets faut-il redouter?

Du cheval de Troie à la prise de contrôle à distance
Généralement, une prise de contrôle à distance de la machine infectée. Aussitôt installé, le cheval de Troie envoie l'adresse IP de son hôte au pirate, voire à des pirates. Il arrive d'ailleurs que les adresses IP des machines ainsi contaminées soient directement publiées dans des forums ou sur des canaux IRC (Internet Relay Chat, canaux de dialogue en direct). Ces programmes sont parfois tellement doués que certains ont déjà eu l'idée d'en faire des logiciels commerciaux, concurrents des produits de contrôle à distance comme PCanywhere de Symantec ! Cette prise de contrôle offre toutes les possibilités : copie et effacement de fichiers, récupération des paramètres de la connexion réseau, de le messagerie et des mots de passe stockés en clair dans la mémoire de l'ordinateur… Rappelons que même si tous les messages électroniques ne sont pas confidentiels, le fait de disposer des paramètres d'un compte permet d'utiliser ensuite ce dernier pour des actions délictueuses. Ces dommages sont d'autant plus préjudiciables que beaucoup de temps peut s'écouler avant que le cheval de Troie ne soit découvert. Et à ce jeu-là, même les meilleurs se font prendre. Microsoft lui-même a laissé s'écouler un mois et demi avant de découvrir que ces systèmes hébergeaient de tels clandestins. Comment s'en prémunir ?

Les moyens sont classiques : tenir à jour les anti-virus, lancer régulièrement des examens en profondeur des postes de travail et, aussi, éviter les sites à risques. Des mesures minimales qui, toutefois, ne mettront pas forcément l'entreprise à l'abri d'un cheval de Troie " ciblé ", installé par exemple par un salarié mécontent ou par un intervenant extérieur à l'entreprise (en régie par exemple). Un cas, lui aussi, déjà observé.