Les Troyens
Introduction
Le but de Microsoft a toujours était de simplifier au mieux l'informatique
pour le rendre accessible à n'importe quelle personne... On peut désormais configurer soi-même sa connexion,
taper
un texte ou même jouer aux apprentis pirates, ceci grâce à de nombreux petits programmes illégaux qui circulent
depuis plusieurs années sur le Net.
Dans cet article, nous allons vous informer des problèmes que représentent les
troyens. En effet, une forte
majorité des internautes demeurent totalement ignorantes du réel problème que
peuvent poser les virus, les troyens...
Définition
Un troyen est une application Client/Serveur qui fonctionne
assez simplement. Un fichier exécutable, installé sur l'ordinateur
de la victime, se logera dans les principaux fichiers systèmes, détruira
les options de sécurité de la machine et ouvrira une porte
virtuelle (port) sur la machine. Les portes virtuelles possèdent
des numéros, identifiables de 1 à 65 536, ce qui laisse beaucoup
de chance aux pirates de vous attaquer. Mais, un véritable pirate n'utilisera pas un simple troyen s'il
veut vraiment vous poser des problèmes : le smurf, le fraggle, ainsi
que toutes les attaques du type D-DOS (Denial of service) sont là
pour ça. Quoique, rappelons le piratage de Microsoft en
Octobre dernier : les pirates infiltrés avaient utilisé
le désormais célèbre troyen QAZ.
Voici une liste
de troyens, ainsi que les ports infectés par ces troyens :
-
Back Orifice (31 337/31 338)
- Le Socket de Troie
- NetBus, NetBus Pro (2248)
- Backdoor - Master Paradise
- DeepThroat
- Sub7 Troyen
- ICQ Troyen (6692 : incertain)
On nommera également
les ports 33468, 33471, 7306, 28431,
j'en passe et des meilleurs...
Lorsque
quelqu'un tentea de vous envoyer un troyen, elle
le fera dans 95 % des cas sous forme
de fichier exécutable par mail. Les serveurs troyens (ce qui ouvrira
la porte d'accès virtuelle sur votre PC) ne font généralement pas
moins de 150 ko. Généralement, ils sont compris entre 150 et 300
ko. Existant également sous forme de programmes qualifiés de
"divertissement" ils peuvent se nommer par exemple
"aha.exe" ou encore "coca-cola.exe". Mais
si vous les ouvrez cela risque de ne plus être si divertissant que
ça.
Voici le messages d'erreur lors de l'installation de BO (antérieur
à 2000)
Voici le message d'erreur lors de l'installation de NETBUS
Les autres manières
permettant d'installer un troyen sur l'ordinateur d'un particulier,
voir d'un réseau, est l'installation de ce troyen par voie physique
! Le "hacker" désireux de jouer un peu, après avoir
visité un site peu recommandable, installera par lui-même le
client sur votre machine. Ce pourrait être un ami appelé pour
"réparer" un problème sur votre machine. Alors conseil,
méfiez-vous quand même !
Se
protéger face aux Troyens
Voici quelques
astuces pour ne pas être infecté, mais également pour voir si
vous ne l'êtes pas déjà, on ne sait jamais...
-
Tout d'abord, le conseil primordial se révèle de ne jamais lancer
quelconque fichier exécutable sur votre machine, sans en avoir au
préalable vérifié la source.
- Ensuite, analysons ensemble les symptômes lors
de l'installation d'un troyen sur un PC :
- La connexion Internet, qu'elle soit de type
RTC,
Numéris ou ADSL, ramera fortement ! Plusieurs secondes, voir
plusieurs minutes de chargement sur une simple page est un des
premiers signes d'alerte
- En cas de piratage, il se peut que des fichiers
aient été volés. Si vous ne retrouvez plus certains fichiers,
ayez également des doutes
- Vous êtes régulièrement déconnecté
- Il se peut également que votre compteur Internet
voit son temps triplé ! En effet, on peut également voler les
login/mot de passe de connexion sur un ordinateur, et ceci à
distance
- La souris, ainsi que le clavier, se lance tout
seul
- Votre corbeille peut contenir plusieurs MO, voir
quelques GO de données
- Votre PC s'éteint tout seul
Voici ce
qui pourrait vous arriver...
- Si vous êtes
infecté par un troyen, la base de registres (coeur des
applications) en sera modifiée : De nouvelles variables
apparaîtront, notamment à l'adresse HKEY_LM/Software/Microsoft/Windows/Current
Version/Run ou RunOnce ou RunServices... Si vous
ne savez pas modifier la base de registres (une mauvaise modification
peut s'avérer critique), je vous conseille de lancer MSCONFIG
(Démarrer > Executer > Msconfig) et de lui faire
vérifier les variables louches. Il les détectera et les
éradiquera.
-
Modifiez le niveau de sécurité de Windows : Allez dans Poste
de Travail, puis Panneau de Configuration, puis Options
Internet et enfin Sécurité. Modifiez alors les
paramètres et changez cela en paramètres de sécurité maximum.
Comment
fonctionne la piratage
Le piratage consiste à rechercher une faille sur un serveur privé
alors que attaquer une personne par un troyen
ne relève que de matière à cliquer sur quelques boutons...
Lorsque le client sera lancé sur l'ordinateur de la victime, le
troyen modifiera la base de registres, l'autoexec.bat (pour faire
redémarrer le troyen chaque fois) et, chose importante, il ouvrira
le port qui le concerne.
Lorsque la victime va se connecter, le client va
tout simplement envoyer par email l'adresse IP de cette même
personne au hacker qui possédera le serveur nécessaire. A partir
de là, quelques secondes suffisent : on tape l'IP, le serveur
repère l'ordinateur concerné, il s'introduit par l'intermédiaire
du port, et ça y est ! Vous êtes sur la machine de votre
"victime". Si cela n'est pas pitoyable...
Les IDS [Intrusion Detection System]
et
Firewalls
Les IDS sont des outils de détection d’attaques, ce sont
généralement des firewalls, des logiciels spécialisés, etc. Les
IDS travailleront de façons différentes : tout d’abord, ceux-ci
agiront par détection " détection d’empreintes d’attaques
", c’est à dire qu’ils analyseront toutes les attaques
connues et répertoriées, pour mieux sécuriser votre système.
Ensuite, certains IDS récents ont la
possibilité de trouver par recherche d’anomalies, c’est à dire
qu’ils rechercheront et analyseront tous les problèmes
rencontrés sur le PC (packets TCP/IP anormaux, sniffer, etc.).
S’ils trouvent une quelconque anomalie, celle-ci sera signalée à
l’utilisateur, qui, à la manière d’un firewall, pourra
accepter ou refuser l’attaque. Naturellement, il est très
conseillé de la refuser.
Pour bien choisir son IDS ou firewall personnel, il est très
conseillé d’en comparer plusieurs, de les télécharger en
version Shareware, puis de les acheter si la version téléchargée
vous convient. Il existe un tas d’IDS ou de firewall très
compétent, mais dans tous les cas, c’est à vous de choisir votre
système de protection : ce sera bien sûr celui qui vous conviendra
le mieux, tant par sa facilité d’utilisation, que par sa
fiabilité. Dans le chois d’un IDS, il ne faudra jamais
s’attarder sur le design du logiciel, design souvent austère ou
négligé : seuls comptent les fonctions qu’offre le logiciel
(sniffer, renifleur d’activités suspectes sur le réseau
Internet, surveillance de chacun des ports du PC, avertissement lors
d’une requête externe comme l’envoie d’un cookie non
sollicité ou encore des bannières de publicité envahissantes).
Personnellement, j'en utilise plusieurs sur le
réseau : Atguard, ancien mais maintenant gratuit car la société
qui l'éditait a été rachetée je crois ; Tiny Personnal Firewall,
car simple et gratuit, mais spécialement pour néophytes ; enfin,
Norton Security Personnal Firewall 2001 car actualisé et très
récent.
En
bref...
Les Troyens demeurent la vermine du Net : simple à configurer, à utiliser, et disponibles en millions d'exemplaires.
Le seul conseil utile que nous pouvons vous donner pour se
protéger des troyens est la surveillance continuelle de votre PC : filtrage de mails suspects, administration du réseau par
un IDS...
Haut de
page ^ |
Copyright © Génér@ls PC 2001. Tous Droits Réservés