Les virus et protection

La notion de cheval de Troie informatique correspond intimement à la version historique de l’Iliade d’Homère.

Un cheval de Troie est un programme simple, composé de deux parties, le module serveur et le module client. Le module serveur, installé dans l’ordinateur de la victime, donne discrètement à l’attaquant accès à tout ou une partie de ses ressources, qui en dispose via le réseau (en général), grâce à un module client (il est le « client » des « services » délivrés inconsciemment par la victime).

Le module serveur est un programme généralement dissimulé dans un autre programme, anodin et « attractif ». L’exécution de ce dernier, au minimum une fois, installe à l’insu la partie serveur du cheval de Troie.

Le module client, une fois installé, cette fois volontairement, dans la machine de la victime, recherche sur le réseau, grâce à la commande « ping », les machines infectées par le module serveur puis en prend le contrôle, lorsqu’il a obtenu en retour, l’adresse IP et le port (TCP ou UDP) des machines accessibles. Cette prise de contrôle lui permet de mener un nombre plus ou moins grand, selon la nature du cheval de Troie, d’actions offensives: redémarrage de la machine, transfert de fichiers, exécution de code, destruction de données, écoute du clavier,…

Les exemples les plus célèbres de cheval de Troie sont les logiciels Back Orifice (protocole UDP, port 31337), Netbus (protocole TCP, port 12345) et SubSeven. Ces logiciels, comme pour les bombes logiques, sont détectés de manière inégale. Un cheval de Troie, non diffusé sur Internet, bien programmé, à toutes les chances de contourner un antivirus. L’usage d’un pare-feu (conjointement à un antivirus et tous deux bien configurés), est hautement conseillé, même si plusieurs techniques sont connues ou à l’étude, qui permettent de les contourner. Les programmes imitant le fonctionnement normal d’un programme légitime du système, les espions de claviers (keyloggers) ne sont que des cas particuliers de chevaux de Troie, où le module client est réduit à sa plus simple expression et demeure passif. L’action « offensive » consiste, pratiquement toujours, à récupérer une ou plusieurs informations et s’effectue passivement par analyse (sniffing) des paquets IP transistant par le réseau ou envoi à des adresses fixées.