 Introduction
Intrusions
Les Troyens
 histoire
 principe
lutte
exemples
Les attaques
Identification
Firewall
Conseils
mot
de passe
mises à jour |
Les
troyens ou chevaux de Troie permettent à une personne malveillante
d'ouvrir des brèches dans un système, c'est à
dire d'ouvrir un port sur la machine distante qui va permettre aux
deux machines de communiquer. Pour que la communication s'établisse
il faut deux parties essentielles, un logiciel serveur qui doit
être installé sur la machine distante et un logiciel
client qui permettra de piloter l'ordinateur distant.
La
première étape consiste à envoyer à
la machine cible le logiciel serveur. Étant donné
la nuisance que peut occasionner un cheval de Troie, l'utilisateur
cible ne va pas de son plein gré exécuté le
programme s'il sait de quoi il s'agit. Aussi, le cheval de Troie
en lui-même va être présenté comme différent,
un logiciel pour casser les mots de passe ou un antivirus par exemple,
et lorsque l'utilisateur se plaindra que le programme ne fonctionne
pas, la personne va s'en étonner en expliquant pour elle
le logiciel ne présente pas de problème. Ainsi, ce
déroule souvent une infection, à la suite d'un dialogue
sur ICQ,
IRC
ou tout autre espace de chat.
Autre méthode, plus subversive, existe, elle
consiste à introduire le troyen directement dans un logiciel,
aussi divers soit-il, puis de le faire parvenir à la personne
visée, dès lors tout programme peut être infecté
! De plus, selon la personne visé, ses intérêts,
sa vigilance, le mode d'infection peut être personnalisé.
Après l'infection, il faut attendre l'exécution
du programme. Dans ce cas deux solutions, soit le cheval de Troie
a été exécuté seul, alors un message
d'erreur s'affiche, soit le troyen incorporé dans un autre
logiciel, s'exécute sans changer le comportement du logiciel.
La partie active du programme (soit le troyen en lui-même,
soit la partie nocive d'un logiciel) va se renommer, prend un nom
qui ne soit pas suspect (qui change avec le cheval de Troie) et
se place dans un dossier généralement peu fréquenté
(du type C:\windows, ou C:\windows\system, où il existe un
grand nombre de fichiers dont l'utilité est parfaitement
inconnue.). De plus, le troyen va généralement écrire
dans la base de registre pour pouvoir s'exécuter à
chaque lancement de l'ordinateur.
A la suite de ces opérations, le cheval de Troie
est actif et prêt à être utilisé, suivant
la méthode utilisé par le troyen, celui-ci va attendre
qu'il détecte la possibilité de se connecter à
un serveur sur Internet ou alors que le pirate tente de se connecter
à la machine. La technique est toujours la même, après
une requête du pirate, le programme ouvre un port, qui permet
par la suite toute communication entre les deux logiciels (serveur
et client), de telle sorte que le pirate peut accéder à
tous les fichiers de la personne infectées.
Dès lors, le pirate peut réaliser de très
nombreuses choses sur l'ordinateurs distants. Lorsqu'une liaison
est établie entre le serveur (la personne "infecté")
et le pirate de nombreux renseignements peuvent être récupérés :
-
l'adresse IP (cependant celle-ci doit
généralement être connu auparavant)
la présence d'un firewall qui
pourrait empêcher la connection du pirate
la présence d'un proxy
de nombreuses information sur les interfaces
(type, vitesse, etc.)
les caractéristiques de l'ordinateur
(processeur, mémoire, disque dur...)
les navigateur installés(Internet
Explorer, Netscape)
les logiciel de messagerie (Outlook,
Eudora, etc.)
programmes enregistrés
nom réel d'utilisateur
nom d'utilisateur
adresse e-mail
Annexe : ports
utilisés par les troyens les plus courants.
Les troyens
L'histoire des troyens
La lutte anti-troyens
Complément : Les virus
|
