Malwares 101 : les chevaux de Troie comme méthode d'infection

La mythologie grecque raconte une guerre longue d'une décennie entre Sparte et Troie. Après avoir été assiégée pendant dix années, Troie finit par tomber grâce à une ruse : un cheval de bois censé être un présent divin (en réalité rempli de soldats grecs) permet aux assiégeants d'entrer dans la cité et de la dévaster. Ainsi naquit la légende du cheval de Troie. Aujourd'hui, ce terme est couramment utilisé pour décrire non pas un cheval en bois, mais plutôt une partie d'un logiciel malveillant qui a toutes les apparences d'un fichier légitime. Ce n'est plus une ville qui succombe par la ruse, mais des ordinateurs, voire des réseaux entiers. L'armée assiégeante est ici remplacée par les charges utiles dédiées à cet objectif.

Dans le contexte de la cybercriminalité, un cheval de Troie, généralement appelé « Trojan », décrit la méthode par laquelle un logiciel malveillant parvient à s'introduire dans un appareil en trompant l'utilisateur sur sa nature. Les chevaux de Troie sont multiformes et ont des fonctions diverses, mais leur rôle principal est toujours d'accéder aux appareils pour déployer la partie du malware orientée vers l'objectif. Il peut s'agir d'un autre logiciel malveillant intégré au logiciel ou téléchargé à distance, que l'on appelle selon le cas chargeur ou téléchargeur (lorsqu'il s'agit de sous-types de cheval de Troie). Tous deux sont parfois simplement désignés par le nom de « dropper ».

Dans d'autres cas, le ciblage de l'objectif est intégré au malware original, le cheval de Troie exprimant alors l'idée de « tromperie de l'utilisateur », tandis que l'objectif sert de sous-classification, sur la base des co-occurrences avec l'ingénierie sociale. En fin de compte, si le cheval de Troie et la terminologie elle-même expriment simplement l'idée de « tromperie de l'utilisateur », le cheval de Troie doit être classé comme méthode d'infection, c'est-à-dire la façon dont le logiciel malveillant pénètre le système.

Objectifs et sous-classifications des chevaux de Troie

Les types courants qui servent à classer les chevaux de Troie sont les « bankers », les « infostealers », les voleurs de mots de passe, les portes dérobées et les fonctionnalités « droppers »/chargeurs/téléchargeurs déjà mentionnées. Outre le déploiement de charges utiles secondaires, l'objectif le plus courant des chevaux de Troie, identifiés comme tels, est de voler des informations. Les « bankers » volent des informations et des identifiants bancaires, tandis que les « infostealers » et les voleurs de mots de passe ciblent généralement les identifiants au sens large. Les portes dérobées assurent simplement à un pirate un accès ultérieur à l'appareil.

Notez que ces types/objectifs peuvent exister avec d'autres méthodes d'infection, et c'est pourquoi ils seront expliqués plus en détail dans des articles dédiés qui traitent des objectifs et des malwares en général.

Un cheval de Troie n'est pas le seul moyen de voler des informations bancaires par le biais de logiciels malveillants, mais c'est le moyen le plus courant et le plus efficace de le faire. Il est probable que la plupart des sous-classifications des chevaux de Troie, pour ne pas dire toutes, soient apparues de la même manière : elles ont été ajoutées comme sous-classifications parce qu'elles n'étaient pas assez répandues pour constituer une catégorie à part entière. Entre le critère de co-occurrence et la logique de détection potentielle, il était à l'époque pratique de tout regrouper dans une seule catégorie : les chevaux de Troie. Aujourd'hui cependant, avec la complexité des logiciels malveillants et la combinaison de différents types et techniques, il est important de comprendre que les objectifs sont distincts de la méthode d'infection.

Évolution des chevaux de Troie

Comme la plupart des malwares, les chevaux de Troie ont suivi les progrès réalisés dans la technologie en général. De nombreux formats de documents intègrent un script qui améliore la polyvalence. Comme il est de plus en plus facile de bloquer les logiciels malveillants qui se présentent sous forme de fichiers exécutables (parfois en bloquant simplement les fichiers exécutables en général, pratique très courante avec le courrier électronique), les chevaux de Troie recourent à d'autres formats de fichiers, en particulier les fichiers de type document. Dans le cas des « droppers », la logique du malware n'a pas besoin d'être particulièrement complexe, ni les fonctionnalités du langage de script robustes, puisque le but est de faire entrer la charge utile suivante dans le système et de l'exécuter.

Les fichiers Microsoft Office sont un format de fichier très couramment utilisé par les chevaux de Troie depuis de nombreuses années. Ils s'appuient généralement sur les macros pour parvenir à leurs fins. L'exploitation du Dynamic Data Exchange (DDE) était très populaire lorsqu'elle a été découverte il y a quelques années, puisque que la grande majorité des méthodes de détection s'appuyait sur la détection et l'analyse des macros. Le DDE a finalement été désactivé par défaut, ce qui a entraîné un regain de popularité des macros, qui sont désormais elles aussi désactivées par défaut. Il est donc probable que d'autres méthodes ou d'autres formats de fichiers les remplacent dans les années à venir.

Les fichiers Adobe PDF sont également un format largement utilisé, mais dans une proportion moindre que ceux de Microsoft Office en raison de leur utilisation de JavaScript comme langage de script qui, du point de vue des pirates, est beaucoup plus limité que le langage VBScript utilisé par les macros. En fait, il est assez courant que les logiciels malveillants de format PDF utilisent VBScript. Étant donné qu'il semble peu logique que des fichiers légitimes fonctionnent de cette manière, leur détection est plus facile, ce qui peut expliquer leur moindre popularité.

À mesure que les pratiques de sécurité et les logiciels progressent, l'ingénierie sociale prend une place de plus en plus centrale dans les méthodes d'attaque, car il suffit de tromper un seul utilisateur pour accéder à l'ensemble d'un réseau. L'ingénierie sociale est également moins coûteuse que la recherche et l'exploitation de bugs logiciels, et elle est redoutablement efficace. De l'autre côté, l'utilisation de la technologie est beaucoup plus simple qu'une formation adéquate de sensibilisation à la sécurité pour chaque utilisateur ou employé, et même une formation adéquate ne fournit pas toujours de résultats cohérents et efficaces. Néanmoins, une formation adéquate de sécurité reste essentielle pour lutter contre les menaces actuelles, y compris les logiciels malveillants.