Dans un contexte de réseau, un cheval de Troie est vraisemblablement utilisé pour espionner et voler des informations sensibles (espionnage industriel). Les intérêts des agresseurs peuvent inclure, sans pour autant y être limité :

  • Tous détails des comptes (mots de passe email, connexion à distance, services Web, etc)
  • Documents confidentiels
  • Adresses email (par exemple, les contacts de clients)
  • Images ou conception confidentielles
  • Informations sur l’emploi du temps d’un utilisateur, sur ses déplacements
  • Information de cartes de crédit (souvent utilisées pour l’enregistrement de nom de domaine ou des achats en ligne)
  • Utiliser votre ordinateur avec des intentions illégales, comme hacker, scanner, noyer ou infiltrer d’autres machines sur le réseau ou sur Internet.

Différents types de chevaux de Troie

Il y a de nombreux types de chevaux de Troie ; ils peuvent être répartis en sept catégories principales. Notez, cependant, qu’il est en général difficile de classer un cheval de Troie dans un seul groupe, car ils ont souvent des traits qui les placeraient dans plusieurs catégories. Ci-dessous sont les différentes fonctions qu’un cheval de Troie peut avoir.

Cheval de Troie à accès distant

Ceux-ci sont probablement les chevaux de Troie les plus connus, car il donnent aux agresseurs un contrôle total sur la machine de la victime. Par exemple, vous avez les chevaux de Troie Back Orifice et Netbus. Leur concept est de donner un accès TOTAL à l’agresseur sur la machine de la victime, et donc de donner plein accès aux fichiers, conversations privées, données de comptes, etc.

Le virus Bugbear qui a été introduit sur Internet en Septembre 2002, par exemple, installait un cheval de Troie sur la machine de la victime qui permettait un accès distant aux données importantes.

En général, les chevaux de Troie agissent en tant que serveur et espionnent à partir d’un port qui devait être disponible aux pirates Internet.

Les attaqueurs peuvent désormais utiliser une connexion inverse pour atteindre les hôtes backdoor de façon à ce qu’ils atteignent le serveur même lorsqu’un pare-feu est activé.

Certains chevaux de Troie peuvent aussi se connecter automatiquement au IRC et peuvent être contrôlés grâce à des commandes IRC de façon presque anonyme, sans que ni l’agresseur ni la victime ne procèdent à une connexion TCP/IP réelle.

Chevaux de Troie transmetteurs de données

L’objectif de ces chevaux de Troie est d’envoyer des données au hacker contenant des informations comme des mots de passe (ICQ, IRC, FTP, http) ou des informations confidentielles telles que les détails de carte de crédit, log de discussions, listes d’adresses, etc. Le cheval de Troie recherche des informations spécifiques dans des endroits particuliers, ou peut installer un log de clés et uniquement envoyer les touches de clavier enregistrées au hacker (qui, par la suite, peut extraire les mots de passe de ces données).

Un exemple le virus d’email Badtrans.B (publié en Décembre 2001) peut enregistrer les frappes de touches des utilisateurs.

Les données capturées peuvent être envoyées à l’adresse email de l’agresseur, qui dans le plupart des cas est un fournisseur d’email gratuit sur Internet. Alternativement, les données capturées peuvent être envoyées en se connectant sur le site Web d’un hacker – probablement un hébergeur Web gratuit – et envoyer les données par un formulaire en ligne. Ces deux méthodes passent inaperçues et peuvent être faites à partir de n’importe quelle machine sur votre réseau, qui a un accès Internet et email.

Chevaux de Troie destructifs

La seule fonction de ces chevaux de Troie est de détruire et de supprimer des fichiers. Cela les rend très simples à utiliser. Ils peuvent automatiquement supprimer tous les fichiers du coeur du système (par exemple, les fichiers .dll, .ini ou .exe, et peut-être d’autres sur votre machine). Le cheval de Troie peut soit être activé par l’agresseur ou peut fonctionner comme une bombe à retardement qui démarre un certain jour, à une certaine heure.

Un cheval de Troie destructif est un danger pour tout réseau informatique. Il est similaire en beaucoup de points à un virus, mais le cheval de Troie destructif a été créé pour spécifiquement vous attaquer, et, par voie de fait, a peu de chance d’être détecté par votre logiciel anti-virus.

Chevaux de Troie de Denial of service

Ces chevaux de troie donnent à l’agresseur le pouvoir de démarrer une attaque de ‘distributed denial of service’ (DDoS) si il y a suffisamment de victimes. L’idée principale est que, si vous avez 200 utilisateurs ADSL et que vous attaquez les victimes en même temps, ceci va générer un trafic LOURD (supérieur à la bande passante de la victime, dans la plupart des cas), causant l’arrêt de son accès Internet.

WinTrinoo est un outil de DDoS qui est récemment devenu très populaire; par son biais, un agresseur qui a infecté plusieurs utilisateurs ADSL peut amener des sites Internet populaires à s’arrêter ; les premiers exemples datent de février 2000, quand un nombre de grands sites commerciaux comme Amazon, CNN, E*Trade, Yahoo et eBay étaient attaqués.

Une autre variation d’un cheval de Troie DoS est le cheval de Troie de bombe de courrier électronique, qui a pour objectif principal d’infecter autant d’ordinateurs que possible, puis d’attaquer une ou plusieurs adresses email spécifique avec des sujet pris au hasard et des contenus qui ne peuvent être filtrés.

De nouveau, un cheval de Troie DoS est similaire en beaucoup de points à un virus, mais le cheval de Troie DoS a été créé pour vous attaquer particulièrement, et, par voie de fait, a peu de chance d’être détecté par votre logiciel anti-virus.

Chevaux de Troie de proxy

Ces chevaux de Troie transforment les ordinateurs des victimes en serveur Proxy, le rendant disponible au monde entier ou à l’agresseur seul. Il est utilisé pour des connexions Telnet Anonymes, ICQ, IRC, etc., pour faire des achats avec des cartes de crédit volées, et pour d’autres activités illégales. Il donne à l’agresseur un anonymat complet et l’opportunité de tout faire à partir de votre ordinateur, y compris lancer des attaques sur votre réseau.

Si, cependant, les activités de l’agresseur sont détectées et suivies, la trace est dirigée sur vous, et non l’agresseur – ce qui peut amener votre organisation à avoir des problèmes juridiques. Au sens strict, vous êtes responsable de votre réseau et de toute attaque qui est lancée à partir de celui-ci.