Voir aussi
Dossier: Virus, l'actualité de la menace
Le fin mot de l'histoire: Catastrophisme, "hoax" et sécurité ne font pas bon ménage

A propos des chevaux de Troie, quelques idées reçues ont besoin d'être dépoussiérées sans vergogne. Si vous n'avez pas lu notre questions/réponses sur les virus, les vers et les trojans, c'est le moment. En attendant, il convient d'insister sur un point : les chevaux de Troie ne se répliquent pas, et ont pour objectif principal de se faire les plus discrets possible. Un aspect important de la question, en particulier pour ce qui va suivre. Forts de cette invisibilité, ils en profitent pour expédier vers l'extérieur des données confidentielles, voire parfois pour se réveiller à l'heure programmée en vue de massacrer le système.

Jeudi 24 janvier dernier, nous recevons un e-mail d'un éditeur d'antivirus français plus connu sous le nom de Tegam International, faisant mention d'un document "adressé [...] aux autorités nationales et internationales, dans un but préventif". Pour continuer de citer le contenu de ce message, il s'agit de "la faisabilité des chevaux de Troie de nouvelle génération, qui peuvent passer totalement inaperçus. Le document est confidentiel..." Evidemment, puisqu'il "décrit dans le détail les techniques de ces formes d'attaques." Et l'éditeur d'indiquer qu'il a transféré ce rapport à "plusieurs ministères concernés en France, ainsi qu'à Interpol." Les grands comptes doivent en être les prochains bénéficiaires.

Des chevaux de Troie très, très confidentiels
Nous n'avons pas pu répondre à l'invitation de nous déplacer pour jeter un coup d'oeil sur ledit rapport. Ceci dit, nous avons pu nous entretenir avec le P-D.G. de Tegam, Marc Dotan, pour qui "il vaut mieux ne pas en parler par téléphone. Personne ne doit donner des détails. Les autres éditeurs s'y intéressent, mais ne peuvent pas fabriquer un antidote. Il est possible de prendre des mesures préventives mais c'est trop tard une fois qu'il a été activé. C'est la fin du système, à moins de tout réinstaller et encore. Notre document explique les mesures face à ce genre d'attaques. Et notre produit a une solution contre cela."

A la différence de la plupart des antivirus, Viguard de Tegam possède la particularité de ne pas avoir besoin d'un fichier de signatures. Sa force réside dans un moteur d'analyse approfondie qui observe le comportement du système en temps réel, et donne la possibilité à l'utilisateur de réagir si un fichier d'attitude suspecte a été découvert. Tous les répertoires du disque dur sont signés, et tout modification non volontaire d'un fichier est signalée. Testé par nos soins, l'outil prévient en effet de l'arrivée de scripts jugés non sûrs, et propose de les bloquer sans donner plus d'indications sur le pourquoi du comment. "Nous n'allons pas livrer nos secrets de fabrication" rétorque Marc Dotan. Gage de sûreté, "Viguard est certifié par la DGA" (Direction générale de l'armement). Il aurait même permis à ses utilisateurs de se protéger du virus I Love You avant même que les mises à jour d'autres antivirus ne soient disponibles.

D'hypothèses en hypothèses...
Ceci dit, ne nous égarons pas... Quelle peut donc être cette nouvelle génération de chevaux de Troie dont nous parle si généreusement le P-D.G. ? Serait-ce un genre de Magistr, le sombre ver qui flashe le Bios et rend inutilisable le PC de façon quasi-matérielle ? D'après Marc Dotan, celui-ci "est un autre problème dont il est difficile de se débarrasser au niveau du parc mondial. Magistr est polymorphe ; il n'est pas effacé même après avoir assaini le disque dur ; tous les systèmes qui ont essayé de s'en débarrasser l'on retrouvé ; et il se rééxécute aléatoirement". Bref, Magistr est une vraie teigne, mais ce n'est pas le fameux Trojan.

Celui-ci se situe-t-il dans un logiciel du commerce ? "Ceux qui mettent en place une backdoor (porte de derrière) ont toujours été découverts" répond-il. Une vulnérabilité comme celles de JavaScript, alors ? "Il est possible d'exploiter une faille, mais que l'on ne peut pas corriger. Car une ouverture est une faille. Et JavaScript en est un exemple." Nous ne réussirons pas à lui soutirer davantage de détails.

"C'est une chose très simple", explique-t-il. "Si vous faites un cheval de Troie très spécifique, et que vous l'introduisez sur un ordinateur avec une disquette dans une entreprise, il n'est pas possible de le découvrir. Et ceci, s'il est conçu de la façon spécifique que nous avons décrit dans le rapport."

L'electronic warfare s'appuie sur l'information warfare
Malgré l'absence de données techniques, nous pouvons déjà tirer quelques enseignements utiles sur ce cheval de Troie. S'il ne passe pas par Internet, difficile de l'intercepter au niveau du firewall. S'il est spécifique et ne ressemble pas à un de ses confrères, un antivirus classique ne saura le reconnaître avec sa base de signatures. Qui plus est, LockDown, un américain sur le modèle de Tegam, souligne les capacités de mutation de certains trojans qui changent de forme, de location ou même de taille afin de se rendre encore plus invisibles. Un exemple est même apporté de mimétisme avec un fichier texte. Pour le repérer de façon ultime, il faut surveiller s'il tente d'établir une connexion vers l'extérieur. Car observer les flux de données envoyées ne suffirait pas. "Si les données sont transmises en même temps que d'autres, cela ne se verra pas", insiste Marc Dotan, pour qui "il faut faire faire des formations à tout le monde." Ce qu'aucun expert en sécurité digne de ce nom ne pourrait contredire par les temps qui courent.

De son côté, le vice-président du Clusif (Club de la sécurité des systèmes d'informations français) et responsable de sa commission "Menaces" Pascal Lointier, indique avoir eu entre ses mains le fameux rapport. Selon lui, "des chevaux de Troie, on peut en concevoir à façon mais il n'y a rien de nouveau à cela. Par exemple, il a fallu un mois pour découvrir le premier back-orifice. Un mois pendant lequel il était possible aux hackers de s'en servir sans être repérés. D'autre part, le problème est le même dans le cas des failles qui n'ont pas été découvertes et rendues publiques, les 'zéro-day flaws' que s'échangent certains hackers."

Trojan ou pas, il livre aussi d'autres éclaircissements sur des tactiques de pirates voire d'espions industriels: "un scénario très performant et l'un des plus courants consiste à banaliser une attaque. Pour s'emparer de données sur un site sensible, il faut encourager un maximum d'autres personnes à l'attaquer. Cela crée un bruit, et dans la confusion il suffit de lancer sa propre attaque au milieu d'une pseudo-normalité." Lors de la dernière conférence du Clusif mardi 15 janvier dernier, "Panorama de la cyber-criminalité, année 2001", un autre thème à rattacher aux méthodes de l'ingénierie sociale se démarquait des procédés techniques : la fouille des poubelles, "et l'envoi de faux analystes financiers" complète Pascal Lointier. Face à cela, une politique de sécurité globale (physique, logique et humaine) apparaît adaptée. "Politique globale, mais aussi dynamique et réactive", conclut-il.

Le fin mot de l'histoire: Catastrophisme, "hoax" et sécurité ne font pas bon ménage