Chevaux de Troie - Informatique

Mai 2015

Définition


On appelle « Cheval de Troie » (en anglais trojan horse) un programme informatique effectuant des opérations malicieuses à l'insu de l'utilisateur.

Histoire


Le nom « Cheval de Troie » provient d'une légende narrée dans l'Iliade (de l'écrivain Homère) à propos du siège de la ville de Troie par les Grecs.

La légende veut que les Grecs, n'arrivant pas à pénétrer dans les fortifications de la ville, eurent l'idée de donner en cadeau un énorme cheval de bois en offrande à la ville en abandonnant le siège.

Les troyens (peuple de la ville de Troie), apprécièrent cette offrande à priori inoffensive et la ramenèrent dans les murs de la ville. Cependant le cheval était rempli de soldats cachés qui s'empressèrent d'en sortir à la tombée de la nuit, alors que la ville entière était endormie, pour ouvrir les portes de la cité et en donner l'accès au reste de l'armée ...

Un cheval de Troie (informatique) est donc un programme caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à l'ordinateur sur lequel il est exécuté en ouvrant une porte dérobée (en anglais backdoor), par extension il est parfois nommé troyen par analogie avec les habitants de la ville de Troie.

Espions


A la façon du virus, le cheval de Troie est un code (programme) nuisible placé dans un programme sain (imaginez une fausse commande de listage des fichiers, qui détruit les fichiers au-lieu d'en afficher la liste).

Un cheval de Troie peut par exemple

  • voler des mots de passe ;
  • copier des données sensibles ;
  • exécuter tout autre action nuisible ;
  • etc.



Pire, un tel programme peut créer, de l'intérieur de votre réseau, une brêche volontaire dans la sécurité pour autoriser des accès à des parties protégées du réseau à des personnes se connectant de l'extérieur.

Les principaux chevaux de Troie sont des programmes ouvrant des ports de la machine, c'est-à-dire permettant à son concepteur de s'introduire sur votre machine par le réseau en ouvrant une porte dérobée. C'est la raison pour laquelle on parle généralement de backdoor (littéralement porte de derrière) ou de backorifice (terme imagé vulgaire signifiant "orifice de derrière" [...]).

Un cheval de Troie n'est pas nécessairement un virus, dans la mesure où son but n'est pas de se reproduire pour infecter d'autres machines. Par contre certains virus peuvent également être des chevaux de Troie, c'est-à-dire se propager comme un virus et ouvrir un port sur les machines infectées !


Détecter un tel programme est difficile car il faut arriver à détecter si l'action du programme (le cheval de Troie) est voulue ou non par l'utilisateur.

Symptômes d'une infection


Une infection par un cheval de Troie fait généralement suite à l'ouverture d'un fichier contaminé contenant le cheval de Troie (voir l'article sur la protection contre les vers) et se traduit par les symptômes suivants :

  • activité anormale du modem, de la carte réseau ou du disque: des données sont chargées en l'absence d'activité de la part de l'utilisateur ;
  • des réactions curieuses de la souris ;
  • des ouvertures impromptues de programmes ;
  • des plantages à répétition ;

Principe


Le principe des chevaux de Troie étant généralement (et de plus en plus) d'ouvrir un port de votre machine pour permettre à un pirate d'en prendre le contrôle (par exemple voler des données personnelles stockées sur le disque), le but du pirate est dans un premier temps d'infecter votre machine en vous faisant ouvrir un fichier infecté contenant le troyen et dans un second temps d'accèder à votre machine par le port qu'il a ouvert.

Toutefois pour pouvoir s'infiltrer sur votre machine, le pirate doit généralement en connaître l'adresse IP. Ainsi :

  • soit vous avez une adresse IP fixe (cas d'une entreprise ou bien parfois de particuliers connecté par câble, etc.) auquel cas l'adresse IP peut être facilement récupérée
  • soit votre adresse IP est dynamique (affectée à chaque connexion), c'est le cas pour les connexions par modem ; auquel cas le pirate doit scanner des adresses IP au hasard afin de déceler les adresses IP correspondant à des machines infectées.

Se protéger contre les troyens


Pour se protéger de ce genre d'intrusion, il suffit d'installer un firewall, c'est-à-dire un programme filtrant les communications entrant et sortant de votre machine. Un firewall (littéralement pare-feu) permet ainsi d'une part de voir les communications sortant de votre machines (donc normalement initiées par des programmes que vous utilisez) ou bien les communications entrant. Toutefois, il n'est pas exclu que le firewall détecte des connexions provenant de l'extérieur sans pour autant que vous ne soyez la victime choisie d'un hacker. En effet, il peut s'agir de tests effectués par votre fournisseur d'accès ou bien un hacker scannant au hasard une plage d'adresses IP.

Pour les systèmes de type Windows, il existe des firewalls gratuits très performant :


En cas d'infection


Si un programme dont l'origine vous est inconnue essaye d'ouvrir une connexion, le firewall vous demandera une confirmation pour initier la connexion. Il est essentiel de ne pas autoriser la connexion aux programmes que vous ne connaissez pas, car il peut très bien s'agir d'un cheval de Troie.

En cas de récidive, il peut être utile de vérifier que votre ordinateur n'est pas infecté par un troyen en utilisant un programme permettant de les détecter et de les éliminer (appelé bouffe-troyen).
C'est le cas de The Cleaner, téléchargeable sur http://www.moosoft.com.

Liste des ports utilisés habituellement par les troyens


Les chevaux de Troie ouvrent habituellement un port de la machine infectée et attendent l'ouverture d'une connexion sur ce port pour en donner le contrôle total à d'éventuels pirates. Voici la liste (non exhaustive) des principaux ports utilisés par les chevaux Troie (origine : Site de Rico) :


portTroyen
21Back construction, Blade runner, Doly, Fore, FTP trojan, Invisible FTP, Larva, WebEx, WinCrash
23TTS (Tiny Telnet Server)
25Ajan, Antigen, Email Password Sender, Happy99, Kuang 2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
31Agent 31, Hackers Paradise, Masters Paradise
41Deep Throat
59DMSetup
79FireHotcker
80Executor, RingZero
99Hidden port
110ProMail trojan
113Kazimas
119Happy 99
121JammerKillah
421TCP Wrappers
456Hackers Paradise
531Rasmin
555Ini-Killer, NetAdmin, Phase Zero, Stealth Spy
666Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre
911Dark Shadow
999Deep Throat, WinSatan
1002Silencer, WebEx
1010 à 1015Doly trojan
1024NetSpy
1042Bla
1045Rasmin
1090Xtreme
1170Psyber Stream Server, Streaming Audio Trojan, voice
1234Ultor trojan
port 1234Ultors Trojan
port 1243BackDoor-G, SubSeven, SubSeven Apocalypse
port 1245VooDoo Doll
port 1269Mavericks Matrix
port 1349 (UDP)BO DLL
port 1492FTP99CMP
port 1509Psyber Streaming Server
port 1600Shivka-Burka
port 1807SpySender
port 1981Shockrave
port 1999BackDoor
port 1999TransScout
port 2000TransScout
port 2001TransScout
port 2001Trojan Cow
port 2002TransScout
port 2003TransScout
port 2004TransScout
port 2005TransScout
port 2023Ripper
port 2115Bugs
port 2140Deep Throat, The Invasor
port 2155Illusion Mailer
port 2283HVL Rat5
port 2565Striker
port 2583WinCrash
port 2600Digital RootBeer
port 2801Phineas Phucker
port 2989 (UDP)RAT
port 3024WinCrash
port 3128RingZero
port 3129Masters Paradise
port 3150Deep Throat, The Invasor
port 3459Eclipse 2000
port 3700portal of Doom
port 3791Eclypse
port 3801 (UDP)Eclypse
port 4092WinCrash
port 4321BoBo
port 4567File Nail
port 4590ICQTrojan
port 5000Bubbel, Back Door Setup, Sockets de Troie
port 5001Back Door Setup, Sockets de Troie
port 5011One of the Last Trojans (OOTLT)
port 5031NetMetro
port 5321Firehotcker
port 5400Blade Runner, Back Construction
port 5401Blade Runner, Back Construction
port 5402Blade Runner, Back Construction
port 5550Xtcp
port 5512Illusion Mailer
port 5555ServeMe
port 5556BO Facil
port 5557BO Facil
port 5569Robo-Hack
port 5742WinCrash
port 6400The Thing
port 6669Vampyre
port 6670DeepThroat
port 6771DeepThroat
port 6776BackDoor-G, SubSeven
port 6912Shit Heep (not port 69123!)
port 6939Indoctrination
port 6969GateCrasher, Priority, IRC 3
port 6970GateCrasher
port 7000Remote Grab, Kazimas
port 7300NetMonitor
port 7301NetMonitor
port 7306NetMonitor
port 7307NetMonitor
port 7308NetMonitor
port 7789Back Door Setup, ICKiller
port 8080RingZero
port 9400InCommand
port 9872portal of Doom
port 9873portal of Doom
port 9874portal of Doom
port 9875portal of Doom
port 9876Cyber Attacker
port 9878TransScout
port 9989iNi-Killer
port 10067 (UDP)portal of Doom
port 10101BrainSpy
port 10167 (UDP)portal of Doom
port 10520Acid Shivers
port 10607Coma
port 11000Senna Spy
port 11223Progenic trojan
port 12076Gjamer
port 12223Hack'99 KeyLogger
port 12345GabanBus, NetBus, Pie Bill Gates, X-bill
port 12346GabanBus, NetBus, X-bill
port 12361Whack-a-mole
port 12362Whack-a-mole
port 12631WhackJob
port 13000Senna Spy
port 16969Priority
port 17300Kuang2 The Virus
port 20000Millennium
port 20001Millennium
port 20034NetBus 2 Pro
port 20203Logged
port 21544GirlFriend
port 22222Prosiak
port 23456Evil FTP, Ugly FTP, Whack Job
port 23476Donald Dick
port 23477Donald Dick
port 26274 (UDP)Delta Source
port 27374SubSeven 2.0
port 29891 (UDP)The Unexplained
port 30029AOL Trojan
port 30100NetSphere
port 30101NetSphere
port 30102NetSphere
port 30303Sockets de Troie
port 30999Kuang2
port 31336Bo Whack
port 31337Baron Night, BO client, BO2, Bo Facil
port 31337 (UDP)BackFire, Back Orifice, DeepBO
port 31338NetSpy DK
port 31338 (UDP)Back Orifice, DeepBO
port 31339NetSpy DK
port 31666BOWhack
port 31785Hack'a'Tack
port 31787Hack'a'Tack
port 31788Hack'a'Tack
port 31789 (UDP)Hack'a'Tack
port 31791 (UDP)Hack'a'Tack
port 31792Hack'a'Tack
port 33333Prosiak
port 33911Spirit 2001a
port 34324BigGluck, TN
port 40412The Spy
port 40421Agent 40421, Masters Paradise
port 40422Masters Paradise
port 40423Masters Paradise
port 40426Masters Paradise
port 47262 (UDP)Delta Source
port 50505Sockets de Troie
port 50766Fore, Schwindler
port 53001Remote Windows Shutdown
port 54320Back Orifice 2000
port 54321School Bus
port 54321 (UDP)Back Orifice 2000
port 60000Deep Throat
port 61466Telecommando
port 65000Devil

Supprimer

Pour une lecture illimitée hors ligne, vous avez la possibilité de télécharger gratuitement cet article au format PDF :
Chevaux-de-troie-informatique .pdf

Réalisé sous la direction de , fondateur de CommentCaMarche.net.

A voir également


Introduction to Trojan horses
Introduction to Trojan horses
Introducción a los Troyanos
Introducción a los Troyanos
Einführung von den Pferden von Troja
Einführung von den Pferden von Troja
Introduzione ai cavalli di Troia
Introduzione ai cavalli di Troia
Introdução aos cavalos de Troia
Introdução aos cavalos de Troia
Ce document intitulé «  Chevaux de Troie - Informatique  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.