{"id":1821,"date":"2013-10-21T15:54:09","date_gmt":"2013-10-21T15:54:09","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=1821"},"modified":"2020-02-26T15:44:49","modified_gmt":"2020-02-26T15:44:49","slug":"les-chevaux-de-troie-bancaires","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/les-chevaux-de-troie-bancaires\/1821\/","title":{"rendered":"Les chevaux de Troie bancaires les plus importants"},"content":{"rendered":"

Les chevaux de Troie bancaires sont comme les rats : si vous mettez un coup de pied dans une poubelle, six en sortiront et se faufileront partout. Vous entendrez parler de la plupart d\u2019entre eux une fois puis ils dispara\u00eetront. Mais il existe quatre chevaux de Troie qui semblent ne jamais dispara\u00eetre : Carberp, Citadel, SpyEye et surtout ZeuS. Le probl\u00e8me logistique avec ces chevaux de Troie est que nous pouvons parfois les trouver en train de r\u00e9aliser d\u2019autres actes malveillants. Tout est compliqu\u00e9 dans les bas fonds pitoyables de la cybercriminalit\u00e9 mais, mise \u00e0 part la logistique, chacun de ces logiciels malveillants repr\u00e9sente un r\u00e9el probl\u00e8me : ils sont tr\u00e8s dou\u00e9s pour voler nos informations bancaires en ligne.<\/p>\n

\"trojans_title<\/a><\/p>\n

Il est difficile d\u2019\u00e9crire un article captivant sur ces diff\u00e9rents chevaux de Troie car ils font pratiquement tous la m\u00eame chose. Mais voici n\u00e9anmoins une pr\u00e9sentation des quatre chevaux de Troie les plus prolifiques, du moins c\u00e9l\u00e8bre au plus c\u00e9l\u00e8bre :<\/p>\n

Carberp<\/b><\/p>\n

La version originale de Carberp ressemblait \u00e0 un cheval de Troie typique. Elle \u00e9tait con\u00e7ue pour voler les donn\u00e9es sensibles des utilisateurs telles que les identifiants bancaires en ligne et autres identifiants li\u00e9s \u00e0 des sites de valeur. Carberp renvoyait les informations vol\u00e9es \u00e0 un serveur de commande et contr\u00f4le (C&C). Simple et directe. Le seul composant d\u00e9licat \u00e9tait la fonctionnalit\u00e9 rootkit<\/a>, permettant au cheval de Troie de passer inaper\u00e7u dans le syst\u00e8me de la victime. La nouvelle g\u00e9n\u00e9ration de Carberp a ajout\u00e9 des plug-ins<\/a>\u00a0 : un qui supprimait les logiciels anti-virus des ordinateurs infect\u00e9s et un autre qui essayait de tuer les autres virus (s\u2019il y en avait).<\/p>\n

Les choses sont devenues plus int\u00e9ressantes quand ses cr\u00e9ateurs ont donn\u00e9 au cheval de Troie la capacit\u00e9 de chiffrer les donn\u00e9es vol\u00e9es alors qu\u2019elles \u00e9taient transmises des ordinateurs infect\u00e9s vers les serveurs C&C. Selon les chercheurs, Carberp est le premier malware \u00e0 avoir utilis\u00e9 un syst\u00e8me de chiffrement g\u00e9n\u00e9r\u00e9 au hasard plut\u00f4t qu\u2019une cl\u00e9 statique.<\/p>\n

Carberp a ensuite commenc\u00e9 \u00e0 travailler en association avec le kit d\u2019exploitation des \u00ab\u00a0blackhole\u00a0\u00bb le plus c\u00e9l\u00e8bre<\/a>, g\u00e9n\u00e9rant ainsi une importante augmentation du nombre d\u2019infections. Tout allait bien pour Carberp et ses cr\u00e9ateurs. Ils avaient m\u00eame r\u00e9ussi \u00e0 d\u00e9velopper un module Carberp sur Facebook<\/a> qui essayait de pi\u00e9ger les utilisateurs avec des bons d\u2019argent virtuels par une attaque utilisant un ransomware.<\/p>\n

\u00c0 partir de l\u00e0, les choses ont commenc\u00e9 \u00e0 se d\u00e9grader. Les autorit\u00e9s russes ont pinc\u00e9 huit individus<\/a> soup\u00e7onn\u00e9s de contr\u00f4ler le malware, mais Carberp n\u2019est pas mort<\/a>\u00a0pour autant : nous n\u2019avons pas observ\u00e9 de diminution des tentatives d\u2019attaques de Carberp ni de diminution du nombre d\u2018arrestations<\/a>. Les criminels cherchant \u00e0 d\u00e9ployer l\u2019outil devait payer 40 000 $ pour y acc\u00e9der<\/a> jusqu\u2019\u00e0 ce que son code source soit publi\u00e9<\/a> l\u2019ann\u00e9e derni\u00e8re, permettant \u00e0 presque n\u2019importe qui dot\u00e9 du savoir-faire n\u00e9cessaire d\u2019acc\u00e9der au cheval de Troie.<\/p>\n

Citadel<\/b><\/p>\n

Le cheval de Troie Citadel est une variation du roi des malwares financiers : Zeus. Il est apparu, accompagn\u00e9 de bien d\u2019autres chevaux de Troie, apr\u00e8s que le code source de Zeus soit diffus\u00e9 en 2011<\/a>. L\u2019importance de Citadel vient des ses cr\u00e9ateurs et de leur choix original d\u2019adopter un mod\u00e8le de d\u00e9veloppement \u00e0 sources ouvertes qui permettait \u00e0 tout le monde de r\u00e9viser son code et de l\u2019am\u00e9liorer (le rendant encore plus dangereux).<\/p>\n

Le groupe ou les groupes de criminels responsables de Citadel ont d\u00e9velopp\u00e9 une communaut\u00e9 de consommateurs<\/a> et de collaborateurs partout dans le monde, qui sugg\u00e8rent de nouvelles fonctionnalit\u00e9s pour le malware, d\u2019autres codes et des modules, formant une sorte de r\u00e9seau social criminel. Certaines de ses capacit\u00e9s les plus fascinantes incluent le chiffrement AES des fichiers de configuration et la communication avec un serveur C&C, la capacit\u00e9 d\u2019\u00e9chapper aux sites de pistage ou \u00e0 bloquer l\u2019acc\u00e8s aux sites de s\u00e9curit\u00e9 aux ordinateurs de la victime et une fonctionnalit\u00e9 permettant d\u2019enregistrer des vid\u00e9os des activit\u00e9s des victimes.<\/p>\n

Le r\u00e9seau de collaborateurs de Citadel a continu\u00e9 d\u2019ajouter de nouvelles fonctionnalit\u00e9s dynamiques au cheval de Troie<\/a>, le rendant plus flexible et rapide, jusqu\u2019\u00e0 ce que les cybercriminels commencent \u00e0 l\u2019utiliser pour toutes sortes de vol d\u2019identifiants<\/a>.<\/p>\n

Citadel a connu beaucoup de succ\u00e8s jusqu\u2019\u00e0 ce que Microsoft,\u00a0et une coalition d\u2019autres compagnies, lancent une op\u00e9ration<\/a> qui a permis de d\u00e9sactiver 88% de ses infections<\/a>.<\/p>\n

SpyEye<\/b><\/p>\n

Celui-ci \u00e9tait suppos\u00e9 \u00eatre le cheval de Troie bancaire concurrent de Zeus. En fin de compte, SpyEye a \u00e9t\u00e9 comme tous ceux qu\u2019on croyait h\u00e9ritiers du talent de Zin\u00e9dine Zidane : ils avaient du style, ils avaient du potentiel, mais ils n\u2019ont pas r\u00e9ussi \u00e0 d\u00e9tr\u00f4ner le roi. Zeus est le roi, c\u2019est incontestable, et SpyEye a vite disparu de la circulation.<\/p>\n

Certaines parties de l\u2019op\u00e9ration botnet de SPyEye ont fusionn\u00e9 avec celles de Zeus afin de cr\u00e9er un botnet bancaire g\u00e9ant<\/a>, mais il a finalement finit par dispara\u00eetre, n\u2019\u00e9tant pas \u00e0 la hauteur de sa r\u00e9putation. Il a n\u00e9anmoins connu quelques succ\u00e8s. Les pirates ont d\u00e9ploy\u00e9 SpyEye dans une attaque ciblant le site de facture en ligne de Verizon<\/a> afin de d\u00e9rober les informations personnelles et financi\u00e8res des utilisateurs et ce pendant plus d\u2019une semaine avant d\u2019\u00eatre remarqu\u00e9. Il est apparu sur le service Amazon S3<\/a> en utilisant le fournisseur cloud comme une plateforme d\u2019attaque et il est apparu sur les appareils Android<\/a>.\u00a0Une s\u00e9rie d\u2019arrestations et peut-\u00eatre un manque d\u2019efficacit\u00e9 ont mis fin \u00e0 la course de SpyEye.<\/p>\n

Au cour de l\u2019\u00e9t\u00e9 2012, trois hommes des pays baltiques ont \u00e9t\u00e9 arr\u00eat\u00e9s en Tha\u00eflande et extrad\u00e9s vers les \u00c9tats-Unis pour avoir utilis\u00e9 SpyEye afin de mener une op\u00e9ration de vol d\u2019informations bancaires extr\u00eamement organis\u00e9e. En mai de cette ann\u00e9e, un d\u00e9veloppeur de SpyEye a \u00e9t\u00e9 arr\u00eat\u00e9 en Tha\u00eflande et extrad\u00e9 vers les \u00c9tats-Unis, o\u00f9 il fait face \u00e0 plus de 30 chefs d\u2019accusation pour l\u2019utilisation de botnet et fraude bancaire.<\/p>\n

Depuis, nous n\u2019entendons plus vraiment parler de SpyEye.<\/p>\n

ZeuS<\/b><\/p>\n

Et ensuite, il y a ZeuS<\/a> dont le nom vient du roi des dieux de la mythologie grecque. Il est incomparable aussi bien en mati\u00e8re de port\u00e9e qu\u2019au niveau de son utilisation et de son efficacit\u00e9. Depuis que son code source a \u00e9t\u00e9 diffus\u00e9 en 2011, il semble que presque tous les chevaux de Troie bancaires comportent un petit quelque chose de Zeus. Parmi eux, seul ZeuS est assez c\u00e9l\u00e8bre pour disposer de sa propre page Wikipedia. Sur Threatpost, on trouve en tout 22 pages<\/a> contenant chacune dix articles faisant r\u00e9f\u00e9rence au cheval de Troie ZeuS. On pourrait \u00e9crire un roman aussi long que ceux de Tolsto\u00ef ou Proust sur ses manigances, il est donc presque impossible de r\u00e9sumer bri\u00e8vement cette menace, mais nous vous donnerons quand m\u00eame quelques points-cl\u00e9.<\/p>\n

Il est apparu en 2007, apr\u00e8s avoir \u00e9t\u00e9 utilis\u00e9 dans un attaque de vol d\u2019identifiants ciblant le D\u00e9partement des transports am\u00e9ricains. Depuis, ZeuS a infect\u00e9 des dizaines de millions de machines et a particip\u00e9 au vol de centaines de millions de dollars jusqu\u2019\u00e0 ce que son cr\u00e9ateur abandonne, en 2011, en publiant le code source du malware en ligne. Des centaines d\u2019individus ont purg\u00e9 ou purge actuellement des peines de prison pour leur implication dans des arnaques utilisant ZeuS.<\/p>\n

Ce fut l\u2019un des premiers malwares vendu via une licence. Avant que son code source ne soit rendu public, ZeuS \u00e9tait le fl\u00e9au des banques et des grandes entreprises. La liste de ses victimes est bien trop longue \u00e0 \u00e9num\u00e9rer, mais on y trouve des banques pro\u00e9minentes, des grandes entreprises et des agences gouvernementales. ZeuS est \u00e9galement connu pour son utilisation innovatrice d\u2019un \u00ab\u00a0petit fr\u00e8re\u00a0\u00bb mobile appel\u00e9 ZitMo afin de contourner les syst\u00e8mes d\u2019authentification \u00e0 deux facteurs utilisant des codes de s\u00e9curit\u00e9 fournis via SMS. SpyEye et Carberp ont \u00e9galement d\u00e9velopp\u00e9 leurs versions mobiles respectives.<\/p>\n

En plus d\u2019\u00eatre un malware bancaire, Zeus est l\u2019un des malwares les plus populaires, en deuxi\u00e8me place derri\u00e8re Stuxnet.<\/p>\n

La protection<\/b><\/p>\n

Ces quatre malwares partagent les m\u00eames propri\u00e9t\u00e9s essentielles : ils essaient d\u2019\u00e9viter d\u2019\u00eatre d\u00e9tect\u00e9s par votre antivirus, ils interceptent les frappes de clavier, les donn\u00e9es de navigateur, les fichiers stock\u00e9s et tout ce qui pourrait les aider \u00e0 s\u2019introduire dans vos comptes bancaires et \u00e0 effectuer des transferts d\u2019argent ill\u00e9gaux. Ils essaient m\u00eame d\u2019installer des malwares sur votre smarthpone afin de permettre aux cybercriminels de voler les codes de s\u00e9curit\u00e9 \u00e0 usage unique qui sont souvent utilis\u00e9s par les banques pour autoriser des transactions. Si l\u2019on consid\u00e8re les autres types de malwares, les chevaux de Troie bancaires sont ceux qui, potentiellement, infligent le plus de d\u00e9g\u00e2ts financiers directs \u00e0 leurs victimes. C\u2019est pourquoi un logiciel de protection moderne doit inclure des contre-mesures pr\u00e9cises contre chaque fonctionnalit\u00e9 des chevaux de Troie bancaires. Kaspersky Lab a rassembl\u00e9 ces mesures de protection dans sa technologie Safe Money, qui est int\u00e9gr\u00e9e dans la derni\u00e8re version de Kaspersky Pure<\/a>. Vous pouvez d\u00e9couvrir comment activer Safe Money dans notre section de conseils<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Les chevaux de Troie bancaires sont comme les rats : si vous mettez un coup de pied dans une poubelle, six en sortiront et se faufileront partout. Vous entendrez parler<\/p>\n","protected":false},"author":42,"featured_media":1822,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,686],"tags":[161,155,382],"class_list":{"0":"post-1821","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-threats","9":"tag-cheval-de-troie","10":"tag-malware-2","11":"tag-protection-bancaire"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/les-chevaux-de-troie-bancaires\/1821\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/cheval-de-troie\/","name":"cheval de troie"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/1821","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=1821"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/1821\/revisions"}],"predecessor-version":[{"id":14024,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/1821\/revisions\/14024"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/1822"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=1821"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=1821"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=1821"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}