Les programmes malveillants sont monnaie courante sur Internet, et ils s'inventent de nouvelles "qualités" pour mieux nous surprendre. Témoin, ce nouveau cheval de Troie, découvert par Websense.


Que de chemin parcouru depuis l'Enéide...
L'une des caractéristiques des chevaux de Troie, depuis l'Antiquité, a été de se faire passer pour ce qu'ils ne sont pas, afin de mieux s'introduire dans les endroits où ils ne devraient pas aller, et y semer la panique. Les éditeurs de solutions de sécurité informatique ont de longue date développé des défenses contre ces menaces, en se basant notamment sur leurs habitudes en matière de communication avec le monde extérieur. Les chevaux de Troie informatiques (en anglais, "trojans") ont en effet pour coutume d'expédier les données qu'ils piratent sur nos PC par le biais d'un e-mail en apparence innocent, ou ont recours à une commande de type "HTTP POST". Une variante vient d'apparaître, cependant, qui fonctionne différemment, et suscite déjà quelques craintes.


Ping-pong à haut risque
C'est le spécialiste californien Websense, basé dans la belle ville de San Diego, qui vient de faire cette découverte. Il n'a pas encore donné de nom à ce logiciel malveillant, mais les "qualités" de ce dernier ne peuvent être mises en doute. En effet, au lieu d'employer les méthodes de connexion mentionnées plus haut, il prend contact avec sa base en expédiant un "ping" sous forme de paquets ICMP (Internet Control Message Protocol), le tout chiffré au moyen d'un algorithme XOR, simple mais efficace. La nature du "ping" n'éveillera en général pas les soupçons des administrateurs réseau ou des logiciels de filtrage, puisque ce genre d'activité est normal. Du coup, il sera possible de soustraire des données sensibles, au nez et à la barbe de ceux qui sont chargés de les protéger.

Websense s'est livré à une petite expérience, et est parvenu à infecter un PC au moyen de ce code malicieux. Le résultat ' L'obtention, à propos d'un compte bancaire, de tous les renseignements confidentiels que seul le titulaire est sensé connaître. Et comme attendu, le cheval de Troie a capturé les données en question, les a encodé, puis les a expédié par le biais d'un "ping" ICMP vers un serveur distant. Le plus gênant est que ce logiciel se fait passer pour un assistant d'Internet Explorer (un BHO, pour Browser Helper Object), et peut donc être installé en toute bonne foi par l'internaute.

Méfiance, méfiance...