Cheval de Troie - Virus ou malware ?

Qu'est-ce qu'un cheval de Troie ? 

Méfiez-vous des Grecs portant des cadeaux : Dans le poème épique de Virgile, L'Énéide, un stratège de guerre grec astucieux nommé Ulysse conçoit un plan pour faire entrer ses hommes dans la cité fortifiée de Troie. Plutôt que de détruire ou d'escalader les murs de la ville, Ulysse voit une autre voie d'entrée : par la tromperie. Les soldats de Troie observent les Grecs qui semblent s'éloigner à la voile, laissant derrière eux un gigantesque cheval de bois en guise de reddition. Ivre de victoire, les Troyens amènent le cheval à l'intérieur de leurs murs, pour découvrir Ulysse et ses hommes cachés à l'intérieur depuis tout ce temps.

Comme son homonyme, les attaques de cheval de Troie (ou simplement "Trojans") en informatique sont définies comme un type de malware qui utilise la tromperie et l'ingénierie sociale pour amener des utilisateurs inconscients à exécuter des programmes informatiques apparemment bénins qui en réalité cachent des intentions malveillantes. Bien qu'ils ne soient techniquement pas des virus informatiques mais plutôt une forme distincte de malware, "virus cheval de Troie" est devenu une manière courante de s'y référer. 

Comment caractériser un Trojan

Les gens pensent parfois qu'un cheval de Troie est un virus ou un ver, mais ce n'est ni l'un ni l'autre. Un virus est un infecteur de fichier qui peut se répliquer et se propager en s'attachant à un autre programme. Les vers sont un type de malware similaire aux virus, mais ils n'ont pas besoin de s'attacher à un autre programme pour se propager. La plupart des virus sont maintenant considérés comme des menaces obsolètes. Les vers sont également devenus rares, bien qu'ils apparaissent de temps en temps. 

« Un Trojan peut être comme un couteau suisse du piratage. »

Pensez aux chevaux de Troie comme un terme générique pour la distribution de malwares, car il existe différents types de chevaux de Troie. Selon l'intention du programmeur criminel, un Trojan peut être comme un couteau suisse du piratage—agissant en tant que malware autonome, ou comme un outil pour d'autres activités, telles que la livraison de charges utiles futures, la communication avec le hacker à un moment ultérieur, ou l'ouverture du système à des attaques tout comme les soldats grecs l'ont fait de l'intérieur de la forteresse de Troie.

En d'autres termes, un Trojan est une stratégie de livraison que les pirates utilisent pour délivrer un nombre quelconque de menaces, allant des ransomwares qui demandent immédiatement de l'argent, aux spywares qui se cachent tout en volant des informations précieuses comme des données personnelles et financières.

Gardez à l'esprit que les adware ou les PUPs (programmes potentiellement indésirables) peuvent être confondus avec les chevaux de Troie en raison de la similarité de méthode de livraison. Par exemple, parfois, un adware s'infiltre sur votre ordinateur dans le cadre d'un lot de logiciels. Vous pensez télécharger un programme, mais c'est vraiment deux ou trois. Les auteurs du programme incluent généralement l'adware pour des raisons d'affiliation marketing afin qu'ils puissent monétiser leur installateur avec des offres—généralement clairement étiquetées. Généralement, ces packageurs de logiciels adware sont moins malveillants que les chevaux de Troie. De plus, ils ne se cachent pas comme le font les chevaux de Troie. Mais comme le vecteur de distribution de l'adware ressemble à celui d'un cheval de Troie, cela peut entraîner de la confusion.

Symptômes d'un virus Trojan

Les Trojan peuvent ressembler à peu près à n'importe quoi, d'un logiciel gratuit et de la musique, à des publicités de navigateur à des applications apparemment légitimes. Divers comportements peu judicieux des utilisateurs peuvent mener à une infection par un Trojan. Voici quelques exemples :

• Télécharger des applications piratées. Les promesses d'une copie gratuite et illégale d'un logiciel peuvent être séduisantes, mais le logiciel piraté ou le générateur de clé d'activation peut cacher une attaque de Trojan.
• Télécharger des programmes gratuits inconnus. Ce qui ressemble à un jeu ou un écran de veille gratuit pourrait vraiment être un Trojan, surtout si vous le trouvez sur un site peu fiable.
• Ouvrir des pièces jointes infectées. Vous recevez un email étrange avec ce qui semble être une pièce jointe importante, comme une facture ou un reçu de livraison, mais il lance un Trojan lorsque vous cliquez dessus.
• Visiter des sites web douteux. Certains sites n'ont besoin que d'un instant pour infecter votre ordinateur. D'autres utilisent des astuces comme prétendre streamer un film populaire, mais seulement si vous téléchargez un certain codec vidéo, qui est en fait un Trojan.
• Toute autre technique d'ingénierie sociale qui se déguise en profitant des dernières tendances. Par exemple, en décembre 2017, une vaste base installée de processeurs Intel a été découverte comme vulnérable à l'attaque en raison de problèmes matériels. Les hackers ont exploité la panique qui a suivi en faisant semblant de publier une mise à jour appelée Smoke Loader, qui a installé un Trojan.

Actualités du cheval de Troie

• SharkBot cheval de Troie bancaire Android vide les comptes des utilisateurs
• Source du Trojan : Cacher un code malveillant à la vue de tous
• Le cheval de Troie Polazert utilise des résultats de recherche Google empoisonnés pour se propager
• Bizarro : un cheval de Troie bancaire plein de vilains tours
• Le Trojan Android xHelper utilise des tactiques de réinfection persistantes : voici comment le supprimer
• Une nouvelle version du cheval de Troie IcedID utilise des charges utiles stéganographiques
• Nouveau cheval de Troie Android découvert dans Google Play
• Les Trojans : Qu'en est-il vraiment ?

Histoire du virus Cheval de Troie

Amusement et jeux

Un programme appelé ANIMAL, sorti en 1975, est généralement considéré comme le premier exemple au monde d'une attaque de cheval de Troie. Il se présentait comme un simple jeu basé sur le concept des vingt questions. Cependant, en coulisses, le jeu se copiait dans des répertoires partagés où d'autres utilisateurs pouvaient le trouver. De là, le jeu pouvait se propager à travers des réseaux informatiques entiers. Dans l'ensemble, c'était un canular inoffensif.

En décembre 1989, les attaques de Trojans n'étaient plus des canulars. Plusieurs milliers de disquettes contenant le cheval de Troie AIDS, le premier ransomware connu, furent envoyées aux abonnés du magazine PC Business World et à une liste de distribution de la conférence sur le SIDA de l'Organisation mondiale de la Santé. Ce Trojan DOS demeurait inactif pendant 90 cycles de démarrage, encryptait tous les noms de fichiers du système, puis affichait un avis demandant à l'utilisateur d'envoyer 189 dollars à une boîte postale au Panama pour recevoir un programme de déchiffrement.

Dans les années 1990, un autre cheval de Troie infâme est apparu déguisé en jeu de Whack-A-Mole. Le programme cachait une version de NetBus, un programme qui permet de contrôler à distance un système informatique Microsoft Windows via un réseau. Avec un accès à distance, l'attaquant pouvait faire n'importe quoi à l'ordinateur, même ouvrir son lecteur de CD.

Amour et argent

En 2000, un cheval de Troie appelé ILOVEYOU est devenu l'attaque cybernétique la plus destructrice de l'histoire à l'époque, avec des dommages estimés jusqu'à 8,7 milliards de dollars. Les destinataires recevaient un e-mail avec ce qui semblait être une pièce jointe texte nommée "ILOVEYOU". S'ils étaient assez curieux pour l'ouvrir, le programme lançait un script qui écrasait leurs fichiers et s'envoyait à chaque email de la liste de contacts de l'utilisateur. Aussi intelligent que soit le ver d'un point de vue technique, l'utilisation de l'ingénierie sociale était probablement son composant le plus ingénieux.

Durant les années 2000, les attaques de Trojans ont continué à évoluer, tout comme les menaces qu'elles portaient. Au lieu de cibler la curiosité des gens, les Trojans ont exploité l'essor du téléchargement illégal, déguisant des malware en fichiers musicaux, films ou codecs vidéo. En 2002, un cheval de Troie backdoor sous Windows appelé Beast est apparu et était capable d'infecter presque toutes les versions de Windows. Puis, à la fin de 2005, un autre cheval de Troie backdoor appelé Zlob a été distribué déguisé en codec vidéo requis sous forme d'ActiveX.

Les années 2000 ont également vu une augmentation du nombre d'utilisateurs de Mac, et les cybercriminels ont suivi le mouvement. En 2006, la découverte du tout premier malware pour Mac OS X, un cheval de Troie de faible menace connu sous le nom de OSX/Leap-A ou OSX/Oompa-A, a été annoncée.

Les motivations derrière les attaques de Trojans ont également commencé à changer à cette époque. Beaucoup de cyberattaques précoces étaient motivées par un désir de pouvoir, de contrôle ou de pure destruction. Dans les années 2000, un nombre croissant d'attaques étaient motivées par la cupidité. En 2007, un cheval de Troie nommé Zeus a été conçu pour cibler Microsoft Windows afin de voler des informations bancaires au moyen d'un keylogger. En 2008, des hackers ont libéré Torpig, également connu sous le nom de Sinowal et Mebroot, qui désactivait les applications antivirus, permettant à d'autres de accéder à l'ordinateur, modifier des données, et voler des informations confidentielles telles que des mots de passe et d'autres données sensibles.

Plus gros et plus méchant

Alors que la cybercriminalité évoluait dans les années 2010, la cupidité se maintenait, mais les hackers ont commencé à voir plus grand. La montée des cryptomonnaies non traçables comme Bitcoin a conduit à une augmentation des attaques par ransomware. En 2013, le cheval de Troie Cryptolocker a été découvert. Cryptolocker chiffre les fichiers sur le disque dur d'un utilisateur et demande un paiement de rançon au développeur pour recevoir la clé de déchiffrement. Plus tard la même année, plusieurs chevaux de Troie de ransomware imitant Cryptolocker ont également été découverts.

« De nombreux chevaux de Troie dont nous entendons parler aujourd'hui ont été conçus pour cibler une entreprise, une organisation ou même un gouvernement en particulier. »

Les années 2010 ont également vu un changement dans la manière dont les victimes sont ciblées. Bien que de nombreux chevaux de Troie utilisent toujours une approche généralisée, tentant d'infecter le maximum d'utilisateurs possible, une approche plus ciblée semble être en hausse. De nombreux chevaux de Troie dont nous entendons parler aujourd'hui ont été conçus pour cibler une entreprise, une organisation ou même un gouvernement en particulier. En 2010, Stuxnet, un cheval de Troie Windows, a été détecté. Il a été le premier ver à attaquer des systèmes de contrôle informatisés, et il y a des suggestions que son but était de cibler les installations nucléaires iraniennes. En 2016, le Tiny Banker Trojan (Tinba) a fait les gros titres. Depuis sa découverte, il a été trouvé qu'il avait infecté plus de deux douzaines de grandes institutions bancaires aux États-Unis, y compris TD Bank, Chase, HSBC, Wells Fargo, PNC et Bank of America. En 2018, le cheval de Troie Emotet, autrefois un Trojan bancaire à part entière, a été vu en train de distribuer d'autres types de malware, y compris d'autres chevaux de Troie.

En tant que l'une des méthodes les plus anciennes et les plus courantes pour livrer des malware, l'histoire des chevaux de Troie suit l'histoire de la cybercriminalité elle-même. Ce qui a commencé comme un moyen de faire des farces à ses amis s'est transformé en moyen de détruire des réseaux, voler des informations, faire de l'argent et prendre le pouvoir. Les jours des plaisanteries sont depuis longtemps révolus. Au lieu de cela, ils continuent d'être des outils cybercriminels sérieux utilisés principalement pour le vol de données, l'espionnage et les attaques par Déni de Service Distribué (DDoS).

Quels sont les différents types de chevaux de Troie ?

Les Trojan sont polyvalents et très populaires, donc il est difficile de caractériser chaque type. Cela dit, la plupart des chevaux de Troie sont conçus pour prendre le contrôle de l'ordinateur d'un utilisateur, voler des données, espionner les utilisateurs ou insérer plus de malware sur l'ordinateur d'une victime. Voici quelques menaces courantes qui proviennent des attaques de chevaux de Troie :

• Backdoors, qui créent un accès distant à votre système. Ce type de malware modifie votre sécurité pour permettre au hacker de contrôler l'appareil, voler vos données, et même télécharger plus de malware.
• Spyware, qui observe lorsque vous accédez à des comptes en ligne ou entrez vos détails de carte de crédit. Ensuite, ils transmettent vos mots de passe et d'autres données d'identification au hacker.
• Les Trojan zombifiant, qui prennent le contrôle de votre ordinateur pour le faire esclave d’un réseau contrôlé par le hacker. C'est la première étape dans la création d'un botnet (robot + réseau), souvent utilisé pour exécuter une attaque par déni de service distribué (DDoS) destinée à paralyser un réseau en le saturant de trafic.
• Les Trojan de type Downloader, Emotet étant un bon exemple, téléchargent et déploient d’autres modules malveillants, comme des ransomware ou des keyloggers.
• Les Trojan Dialer, qui peuvent sembler anachroniques puisque nous n'utilisons plus de modems dial-up. Mais plus à ce sujet dans la section suivante.

Applications trojanisées sur les smartphones Android

Les Trojan ne sont pas seulement un problème pour les ordinateurs portables et de bureau. Ils attaquent également les appareils mobiles, ce qui a du sens étant donné la cible attrayante présentée par les milliards de téléphones en utilisation.

Comme avec les ordinateurs, le Trojan se présente comme un programme légitime, bien qu'il soit en fait une fausse version de l'application pleine de malware.

Ces Trojans se tapissent habituellement sur des marchés d'applications non officiels et pirates, incitant les utilisateurs à les télécharger. Les Trojan couvrent toute la gamme des méfaits, infectant le téléphone avec des publicités et des keyloggers, qui peuvent voler des informations. Les Trojan Dialer peuvent même générer des revenus en envoyant des SMS premium.    

« Les extensions de navigateur peuvent aussi agir comme des chevaux de Troie... »

Les utilisateurs d'Android ont été victimes d'applications truffées de chevaux de Troie même sur Google Play, qui scanne et élimine constamment les applications dangereuses (souvent après la découverte du cheval de Troie). Les extensions de navigateur peuvent également agir comme des chevaux de Troie, car elles peuvent transporter du code malveillant intégré.

Alors que Google peut supprimer les extensions de navigateur des ordinateurs, sur les téléphones, les chevaux de Troie peuvent placer des icônes transparentes à l'écran. Elles sont invisibles pour l'utilisateur, mais réagissent néanmoins à une pression pour lancer leur malware.

Quant aux utilisateurs d'iPhone, il y a de bonnes nouvelles : les politiques restrictives d'Apple concernant l'accès à l'App Store, iOS et toute autre application sur le téléphone protègent efficacement contre les incursions de chevaux de Troie. La seule exception concerne ceux qui jailbreak leur téléphone pour télécharger des applications gratuites ailleurs que sur l'App Store. Installer des applications risquées en dehors des réglages d'Apple vous rend vulnérable aux chevaux de Troie.

Comment supprimer un virus Trojan ?

Une fois qu'un cheval de Troie infecte votre appareil, le moyen le plus universel pour le nettoyer et le restaurer est d'utiliser un outil anti-malware automatisé de bonne qualité et de faire un scan complet du système. Si vous craignez une infection par un cheval de Troie, vous pouvez essayer notre scanner gratuit de chevaux de Troie pour vérifier votre appareil. 

Il existe de nombreux programmes antivirus et anti-malware gratuits — y compris nos propres produits pour Windows, Android et Mac — qui détectent et éliminent les publiciels et logiciels malveillants. En fait, Malwarebytes détecte tous les chevaux de Troie connus et plus encore, car 80 % de la détection de chevaux de Troie est réalisée par analyse heuristique. Nous aidons même à atténuer toute infection supplémentaire en coupant la communication entre le malware inséré et tout serveur de backend, ce qui isole le cheval de Troie. Notre outil gratuit de lutte contre les malwares scannera et éliminera les malwares existants, et notre produit premium scannera et protégera de manière proactive contre les malwares comme les chevaux de Troie, les virus, les vers et les ransomwares. Vous pouvez commencer par un essai gratuit de nos produits premium pour les tester vous-même.    

Comment prévenir un virus Trojan ?

Comme les chevaux de Troie comptent sur la tromperie pour pénétrer dans l'ordinateur, la plupart des infections peuvent être évitées en restant vigilant et en observant de bonnes habitudes de sécurité. Adoptez un scepticisme sain envers les sites web proposant des films gratuits ou des jeux d'argent, et préférez télécharger des programmes gratuits directement depuis le site du producteur plutôt que des miroirs non autorisés.

Une autre précaution à envisager : modifiez les paramètres par défaut de Windows pour que les extensions réelles des applications soient toujours visibles. Cela évite d'être trompé par une icône innocente.

D'autres bonnes pratiques, en plus d'installer Malwarebytes pour Windows, Malwarebytes pour Android et Malwarebytes pour Mac, incluent :

• Effectuer des analyses de diagnostic périodiques
• Configurer les mises à jour automatiques de votre logiciel système d'exploitation, pour garantir que vous ayez les dernières mises à jour de sécurité
• Maintenir vos applications à jour, pour s'assurer que toutes les vulnérabilités de sécurité sont corrigées
• Éviter les sites web dangereux ou suspects
• Se méfier des pièces jointes et des liens non vérifiés dans des emails inconnus
• Utiliser des mots de passe complexes
• Rester derrière un pare-feu

Comment Malwarebytes Premium vous protège

Chez Malwarebytes, nous prenons la prévention des infections très au sérieux, c'est pourquoi nous bloquons agressivement à la fois les sites web et les publicités que nous considérons frauduleux ou suspects. Par exemple, nous bloquons les sites de torrents comme The Pirate Bay. Bien que de nombreux utilisateurs avertis aient utilisé ces sites sans problème, certains des fichiers qu'ils proposent en téléchargement sont en réalité des chevaux de Troie. Pour des raisons similaires, nous bloquons également le cryptominage via les navigateurs, mais l'utilisateur peut choisir de désactiver le blocage et se connecter.

Notre raisonnement est qu'il vaut mieux être prudent. Si vous souhaitez prendre des risques, il est facile de mettre un site en liste blanche, mais même les adeptes de la technologie peuvent se laisser duper par un cheval de Troie convaincant.

Pour en savoir plus sur les chevaux de Troie, les logiciels malveillants et autres cybermenaces, consultez le blog Malwarebytes Labs. Les choses que vous apprendrez pourraient bien vous aider à éviter une infection à l'avenir.