Un cheval de Troie est un programme, importé sur une machine à l’insu de ses utilisateurs qui se substitue à une programme normal, par exemple, au client FTP.
Quand l’utilisateur lancer la commande FTP, au lieu d’utiliser son programme habituel, il lancera le faux FTP, dont l’interface utilisateur ressemble au vrai programme, à la différence qu’il ouvrira une session parallèle sur un serveur appartenant au pirate.
L’importation de tels programmes s’opère via la messagerie, une connexion directe à un serveur un profitant de ses failles de sécurité (mot de passe ou bogue), via la technique du tunnel ou, plus simplement en installant le logiciel avec les droits d’accès de l’administrateur.
La première parade consiste à réaliser un contrôle d’intégrité sur les programmes binaires et les scripts, puis à vérifier qu’il n’y a pas eu de changement dans leur taille, leur date, etc.
La seconde parade consiste à repérer en temps réel l’introduction d’un tel cheval de Troie en l’identifiant par sa signature (une série de codes binaires caractérisant les instructions qui le composent).
Encore, faut-il que cette signature soit connue et qu’elle ait été intégrée dans l’anti-virus chargé de cette détection, d’où l’importance des mises à jour fréquentes (hebdomadaires, voire journalières).
RSS 2.0