Le cheval de Troie informatique ou la perfidie appliquée

Symbole d'un cheval de Troie informatique
Qu’est-ce qu’un cheval de Troie informatique, trojan horse ou troyen ? Le langage courant s’est beaucoup écarté de la définition originelle, pour simplifier l’inventaire des types de logiciel malveillant. Comme le rootkit, ce n’est pas un logiciel malveillant en soi mais son utilisation est souvent malveillante. Il est choisi pour répondre à la demande « citez deux catégories de logiciels malveillants (malware). ».

Définition originelle du cheval de Troie informatique

Un cheval de Troie informatique est un programme légitime et apparemment sain, qui exécute des actions supplémentaires malveillantes, discrètement le plus souvent, par lui-même ou en installant un programme malveillant. Ainsi c’est la perfidie appliquée aux logiciels.

En effet un cheval de Troie se présente comme un logiciel légitime, mais contenant un parasite malveillant. Et l’installation de ce logiciel légitime va lancer l’exécution du parasite. Et cette dernière est conçue pour être la plus discrète possible.

Surtout un cheval de Troie peut contenir tous les types de logiciel nuisible (virus, spyware, relai de spam, backdoor, keylogger, etc …).

Par ailleurs un cheval de Troie informatique s’appelle aussi troyen ou trojan horse. Ce nom vient d’une analogie avec un épisode de la guerre de Troie dans la mythologie grecque.

Par abus de langage

Le programme malveillant dans un cheval de Troie informatique s’appelle la charge utile. Par exemple ça peut être un keylogger, une backdoor, un virus, un spyware, un relai de spam ou n’importe quel autre parasite.

Surtout il est d’usage de regrouper sous le terme cheval de Troie le parasite qu’il contient. C’est en particulier marqué pour certains types de programme malveillant qui n’appartiennent à aucune autre catégorie. Mais c’est un abus de langage.

Et c’est ce que nous allons voir. Mais pour l’instant voici les vecteurs d’infection.

Les vecteurs d’infection par un troyen

Voici quelques manières de se faire infecter par un troyen :

  • télécharger une version gratuite piratée d’un logiciel commercial sur un site Web non officiel ou sur un réseau de téléchargement illégal ( plateforme P2P ); ainsi ce logiciel commercial est gratuit parce qu’il est piraté mais comporte parfois un parasite malveillant
  • le programme P2P lui-même
  • une page Web peut contenir ce type de malware (un exécutable sous la forme d’un ActiveX ou un code Java)
  • un email contenant le troyen en pièce jointe et incitant l’utilisateur à l’ouvrir
  • l’insertion d’une clé USB dans l’ordi peut déclencher un programme automatiquement et ainsi lancer le parasite
  • ingénierie sociale (le pirate se fait passer pour une personne de confiance pour vous faire installer un malware)
  • etc

Programmes malveillants associés à un cheval de Troie informatique

Une backdoor ou porte arrière (ou porte dérobée)

Certains modules typiques ne sont pas nuisibles en tant que tel, même s’ils peuvent être utilisés dans un cadre malveillant aussi.

Une backdoor ou porte arrière ou porte dérobée est une porte d’accès à distance à un ordi. Ainsi un port reste ouvert sur le PC pour pouvoir y accéder à distance, et y exécuter une fonction définie à l’avance.

En particulier ici, il s’agit d’une discrétion double. Puisque le but est non seulement d’installer discrètement ce programme malveillant sur le PC de la victime, mais aussi de conserver l’accès à cet ordi le plus longtemps possible.

Ce type de logiciel malveillant est discret, comme le suivant, au point que l’utilisateur ne peut le détecter par lui-même.

Keylogger ou enregistreur de touches

Un keylogger enregistre les touches que vous frappez au clavier dans un fichier. Ensuite le pirate va récupérer ce fichier grâce à un accès à distance sur votre ordi. Ainsi en analysant le fichier, il récupère vos mots de passe d’accès à des services protégés.

L’administration malveillante à distance d’un PC

L’administration malveillante à distance d’un PC consiste à avoir un accès total à votre ordi à des fins malveillantes. Elle s’appelle aussi de la prise de contrôle malveillante à distance.

Ainsi le pirate peut tout faire sur votre PC, par exemple :

  • lire, modifier, supprimer vos fichier,
  • ou récupérer les fichiers de votre ordi de manière discrète,
  • lancer et arrêter vos programmes,
  • espionner votre frappe au clavier,
  • provoquer des affichages divers,
  • éteindre votre ordinateur,
  • ouvrir et fermer votre lecteur de DVD,
  • etc …

Ce type de cheval de Troie informatique comporte deux programmes :

  1. le pirate a la partie cliente du troyen sur son PC, pour envoyer des ordres …
  2. … vers le serveur installé sur votre ordinateur.

Ce type d’attaque nécessite souvent une intervention manuelle pour utiliser le cheval de Troie à distance. Les fonctions du trojan sont plus ou moins nombreuses selon le modèle. Cela ressemble à de l’administration distante sauf qu’il ne s’agit pas ici de dépanner, bien au contraire.

Un relai pirate ( ou PC zombi )

Un relai pirate ou un PC zombi est un PC qui servira de point intermédiaire à un pirate pour lancer des attaques ailleurs. Ainsi c’est le PC zombi qui sera identifié par la victime comme auteur de l’attaque et non le PC du pirate.

Un relai de spam

Un relai de spam (ou de mass mailing) est un exemple de relai pirate. Quand un ordi est infecté par un relai de spam, c’est lui qui enverra des milliers de spams pour le compte du spammer. Ainsi c’est lui qui sera incriminé par les victimes du spam.

Exemple : Pegasus

Pegasus a défrayé la chronique en 2021 quand la presse a révélé que ce logiciel malveillant avait infecté le smartphone de personnalités politiques, dont Emmanuel Macron, des journalistes et avocats. Présenté comme un spyware par les médias, Pegasus est en fait un cheval de Troie informatique. C’est à dire un type de malware bien plus dangereux qu’un logiciel espion.

Logiciels malveillants différents d’un cheval de Troie informatique

Ces logiciels sont différents d’un cheval de Troie, même s’ils ont une mécanique commune. En effet ils cachent un logiciel malveillant derrière un logiciel sain.

Un dropper

Un dropper est un programme « collé » derrière un autre dans le but de l’exécuter à la suite. Ainsi le deuxième programme s’exécutera à la suite du premier.

La bombe logique

Parmi une équipe de développeur, un membre ajoute un module nuisible à un programme sain, à l’insu des autres. Et ce module nuisible s’appelle une bombe logique. Mais c’est rarissime.

Troyen, virus ou spyware ?

Un virus se propage par lui-même d’un ordinateur à un autre et n’a pas forcément besoin d’un cheval de Troie pour être activé. De même un spyware peut s’installer autrement que par un troyen. En revanche un cheval de Troie pourrait contenir un virus ou un spyware.

Plus haut nous avons parlé d’un abus de langage consistant à confondre un troyen avec sa charge utile. Cet abus de langage a le mérite de regrouper plusieurs types de programmes malveillants ayant deux caractéristiques :

  • la malveillance, bien sûr aussi quand il s’agit de voler des mots de passe, ce qui va bien au-delà d’une atteinte à la vie privée, par différence avec les spywares
  • et l’incapacité à se reproduire d’un fichier à l’autre, ni d’un ordinateur à l’autre, par différence avec les virus.

Enfin certains malware compliquent les choses parce qu’ils combinent plusieurs catégories à la fois. Par exemple de plus en plus de virus contiennent un ou plusieurs troyens.

Sujets connexes

  • Autre type de logiciel malveillant, qu’est-ce qu’un virus informatique précisément ?
  • Un spyware espionne votre comportement sur le Web et capture vos données confidentielles ou financières.
  • Un rançongiciel crypte vos fichiers et vous fait payer une rançon pour les retrouver.
  • Quels sont les 6 types de virus informatique ? Quelle différence entre un virus Web, un virus multipartite et un ver ( worm ) ?
  • Sur un smartphone, un logiciel malveillant peut voler vos mots de passe.