22/12/2011

Sensibilisation sur les chevaux de Troie

Presque chaque famille française dispose d’un ordinateur (quand ce n’est pas plusieurs ordinateurs) connecté à Internet, parfois même 24 heures par jour. Cette situation ne manque pas d’attirer l’œil et la convoitise d’une certaine catégorie d’internautes : les cybercriminels, qui écument Internet depuis des dizaines d’années.

Internet est devenu un média très en vogue pour ces fraudeurs. Certains de ces derniers se sont fortement professionnalisés et cherchent les façons les plus rapides et rentables pour obtenir de l’argent. Ils ne travaillent plus seuls mais en équipes. Une des meilleures méthodes pour eux consiste à infecter les ordinateurs des particuliers avec des genres de virus informatiques. Ces « virus » dérobent les informations personnelles présentes sur les ordinateurs, notamment les numéros de cartes et identifiants bancaires.

Qu’est-ce qu’un virus informatique ? Qu’est-ce qu’un cheval de Troie ?

Un virus informatique est un programme ou logiciel informatique qui se propage sur les ordinateurs et qui a un comportement généralement néfaste. Il existe différentes catégories de virus informatiques. Certains de ces virus se propagent juste d’ordinateurs en ordinateurs sans rien faire, d’autres affichent un message à l’écran ou plantent votre ordinateur… Mais il existe une catégorie beaucoup plus dangereuse pour les utilisateurs: les chevaux de Troie. Ces derniers sont des « virus » dont le but principal est de dérober vos informations personnelles.

Comment un ordinateur se fait-il infecter par un cheval de Troie ?


Il existe malheureusement de nombreuses méthodes pour infecter un ordinateur. Par « infecter », nous voulons dire « exécuter le programme malveillant », c'est-à-dire le cheval de Troie (également appelé « troyen »).

-    Infections par e-mail : L’utilisateur reçoit un spam (message non sollicité) contenant un fichier. Cela peut être un fichier ZIP, un PDF, un fichier Microsoft Office, etc. Ce fichier, s’il est ouvert, démarrera l’infection de l’ordinateur. Attention, le fichier peut aussi vous être envoyé par un ami, soit parce qu’il ne sait pas qu’il contient un virus, soit parce qu’il est lui-même infecté par un virus qui vient d’envoyer un e-mail malveillant à tout son carnet d’adresses… Le mail peut également contenir un lien de navigation, ce qui nous amène au point suivant.
-    Infections par le web : Un utilisateur peut se faire infecter par une simple navigation sur Internet. Une rumeur persistante veut que les virus ne se propagent que sur les sites pornographiques. C’était peut-être vrai il y a une dizaine d’années, mais ce n’est plus le cas aujourd’hui. Les cybercriminels procèdent dorénavant en piratant des sites Internet, disposant parfois d’une forte visibilité (sites de chaines de télévision, sites d’informations, etc.) et en mettant en place, de façon totalement automatisée, des infections. Ainsi, un utilisateur, au moment où il arrive sur le site dangereux, se fait infecter et n’y voit que du feu.
-    Infections par les réseaux « peer to peer » comme eMule/BitTorrent : De nombreux programmes piratés (un bon exemple : Photoshop) circulent sur Internet et sont téléchargés par certains utilisateurs. Ils fonctionnent, mais avec un petit cadeau dissimulé lors de leur installation : un cheval de Troie… C’est une méthode très pratique pour infecter sans efforts plein d’ordinateurs…

Les virus peuvent également se propager par d’autres moyens, notamment par clef USB ou par réseaux locaux. Les chevaux de Troie privilégient cependant largement les infections par e-mail ou par le web.

Comment fonctionne un cheval de Troie ?

Décrire en détail le fonctionnement d’un cheval de Troie serait bien trop compliqué et rendrait la lecture de ce billet totalement indigeste, d’autant que de nombreux modes de fonctionnement différents existent.  Essayons néanmoins d’en décrire le concept et le processus.

1. Tout d’abord, le cheval de Troie (ou un programme chargé d’installer le cheval de Troie) s’exécute sur l’ordinateur de l’utilisateur.

2. Le cheval de Troie dissimule sa présence sur le système. Il se rend moins détectable par les anti-virus, « se cache » en quelque sorte. A ce stade, certains chevaux de Troie rendent même l’anti-virus inefficace ou le désactivent.

3. Le cheval de Troie vérifie que l’ordinateur est bien connecté à Internet, et éventuellement se met à jour, comme tout logiciel pourrait le faire. Cette opération est invisible pour l’utilisateur. Il télécharge sa dernière version afin d’être le plus efficace et le moins détectable possible.

4. Le cheval de Troie se « greffe » sur le navigateur Internet : à partir de ce moment, c’est comme s’il était « dans » le navigateur : il peut espionner tout ce qui est fait dedans. De ce fait, même si vous vous connectez à un site sécurisé (avec le cadenas, en HTTPS), le cheval de Troie disposera des informations transmises. Ainsi, il interceptera vos mots de passe de webmails si vous y accédez par le navigateur, vos coordonnées bancaires, votre numéro de carte bancaire si vous le tapez quelque part, etc. Il faut considérer que tout ce qui est fait à partir de ce moment dans le navigateur est envoyé aux fraudeurs.
Pire encore, les chevaux de Troie les plus avancés greffés dans le navigateur pourront vous afficher du faux contenu ne provenant pas du site sur lequel vous êtes connecté. Ces programmes avancés sont exclusivement dédiés aux fraudes bancaire.
Le cheval de Troie peut également surveiller d’autres programmes que le navigateur : le bloc-note, Outlook, etc.

5. Le cheval de Troie est totalement fonctionnel, il n’a plus qu’à intercepter tout ce que vous ferez dans le navigateur (ou les autres programmes surveillés) et transmettre par Internet au fraudeur qui le contrôle les informations considérées comme intéressantes.

Que cherchent les cybercriminels qui contrôlent ces chevaux de Troie ?

En général, peu leur importent les messages privés que vous pourriez envoyer sur Facebook à votre grand-mère, ou les courriels que vous envoyez à vos amis sur hotmail. Ce qui intéresse les cybercriminels, c’est l’information qui a pour eux un potentiel monétisable. Ainsi, les données qui vont les intéresser sont en priorité votre numéro de carte bancaire (avec le code CVV2 et la date d’expiration, et si possible votre nom/prénom) et vos identifiants bancaires (identifiant et mot de passe) ou vos identifiants de sites manipulant de l’argent, tels que Paypal par exemple.

Ils peuvent également faire de l’argent avec vos accès à vos comptes mails ou vos accès Facebook par exemple : ils les revendent sur le marché noir à des prix dérisoires. Dans cette économie souterraine, vous pouvez acheter des milliers d’adresses e-mail piratées, ou de comptes Facebook, avec leurs mots de passe, pour quelques dizaines d’Euros. Les acheteurs s’en servent ensuite pour propager du spam et envoyer des milliers de mails avec ces adresses mails piratées.

Que fait Société Générale pour protéger ses clients face à cette menace ?
Société Générale a déployé au cours des années un certain nombre de mesures pour contrecarrer ces logiciels malveillants :

•    Le clavier numérique sur lequel vous saisissez votre code secret est très difficilement interceptable : le code secret n’est pas tapé au clavier, et les chiffres n’apparaissent jamais au même endroit, ils sont affichés de façon totalement aléatoire. Couplé à d’autres mécanismes cryptographiques, cela rend l’interception des données particulièrement difficile et décourage la plupart des auteurs de chevaux de Troie.

•    Les opérations sensibles effectuées en ligne sur le site Société Générale utilisent ce qu’on appelle un double canal d’authentification : il faut non seulement avoir accès au compte en ligne, mais aussi confirmer les opérations en renvoyant un code reçu par SMS sur votre téléphone portable. Ainsi, même si un fraudeur se connecte à votre place sur votre compte, il ne peut pas faire certaines opérations telles qu’un ajout de destinataire.

•    Le CERT Société Générale dispose d’une veille active sur les chevaux de Troie : dès qu’un cheval de Troie qui impacte Société Générale est détecté, une analyse est faite pour évaluer les risques et enclencher les actions nécessaires.

Que peut-on faire pour ne pas être une victime de ces cybercriminels et des chevaux de Troie qu’ils contrôlent ?


•    Toujours être à jour sur les correctifs de sécurité de votre système d’exploitation.
•    Installer un anti-virus et le maintenir à jour.

Ces deux recommandations sont fortement liées : les chevaux de Troie, et plus généralement tous les virus, infectent un ordinateur en exploitant des « problèmes », ou vulnérabilités. Ces vulnérabilités sont présentes dans tous les logiciels (y compris votre anti-virus) et systèmes d’exploitation (que ce soit Windows, Mac, Linux ou autre).
Les éditeurs d’anti-virus, de logiciels, et de systèmes d’exploitation mettent fréquemment à jour leurs produits afin de corriger ces vulnérabilités et rendre leurs logiciels plus sûrs. Ne pas appliquer les correctifs revient à laisser plusieurs fenêtres grandes ouvertes sur votre ordinateur, le rendre accessible à tout pirate et virus, et multiplier les risques d’infection. Nous ne le répèterons jamais assez : plus un ordinateur est à jour sur les correctifs de sécurité et sur son anti-virus, moins il a de chance de se faire infecter.

D’autres recommandations de prudence sont à prendre en considération : ne jamais ouvrir de fichier reçu par e-mail et dont la source est inconnue, ne pas répondre « oui » à une fenêtre qui s’ouvre et dont on ne comprend pas le contenu, rester vigilant à tout comportement inhabituel de l’ordinateur…

Finalement, si je respecte tous ces conseils, mon ordinateur sera-t-il protégé à 100% ?


Hélas non… Les auteurs de virus déploient plusieurs milliers de virus différents chaque jour sur Internet. Cela semble incroyable mais ils ont des « trucs » bien à eux : ils modifient très légèrement leurs programmes, de façon à envoyer des milliers de « variantes » tous les jours, qui seront moins détectées par les anti-virus. Tout cela est fait de manière complètement automatisée. Le même virus peut ainsi se décliner en centaines de variantes qui feront la même chose, mais seront détectées différemment par les anti-virus. Il existe donc un fossé de quelques heures ou de quelques jours entre le moment où une variante est publiée sur Internet, et le moment où elle est détectée par les anti-virus.

Il ne faudrait cependant pas sombrer dans la paranoïa. Un ordinateur disposant de toutes ses mises à jour, et géré par un utilisateur prudent et conscient des risques (comme vous l’êtes maintenant) se fait rarement infecter.
Finalement, Internet n’est qu’un « lieu » comme un autre, avec ses risques et dangers. Vous n’imagineriez pas rester enfermés chez vous parce qu’il y a des délits commis dans les rues ? Nous n’imaginons pas nous couper d’Internet parce qu’il y existe une minorité de cybercriminels.