Remote Access Trojan : c’est quoi ? Comment s’en protéger (avec TS2log Security) ?

Parmi la multitude de virus et malwares qui pullulent sur Internet, les Remote Access Trojan font partie des plus dangereux. Ce type de programme malveillant pose, en effet, une sévère menace grâce à sa furtivité et sa capacité à accorder aux pirates un contrôle total des machines infectés. Voici tout ce que vous devez savoir sur les RATs et comment protéger votre entreprise face à ce genre de cheval de Troie particulièrement agressif.

Que signifie Remote Access Trojan ?

Abrégé en RAT, Remote Access Trojan est un terme anglais qui signifie : « Cheval de Troie d’accès à distance ». Il fait donc partie de la famille des logiciels malveillants de type Trojan horse, ou chevaux de Troie en français. Ceux-ci sont conçus pour contourner la sécurité de l’ordinateur cible en toute discrétion et agir à l’insu de l’utilisateur.

Comment fonctionne un RAT ?

Ce type de programme n’est pas malveillant en lui-même. Il sert néanmoins de vecteur d’entrée à d’autres logiciels plus dangereux : virus, keylogger, etc. Comme la célèbre histoire de la mythologie grecque, le cheval de Troie n’est qu’un « emballage » qui dissimule le vrai danger.
Un Remote Access Trojan va donc prendre la forme d’un logiciel classique. Une fois installé sur la machine cible, il va ouvrir une porte dérobée (appelée backdoor en anglais) qui laissera le champ libre au pirate informatique. 
Celui-ci obtient alors l’accès à distance complet de l’ordinateur infecté. Une fois la connexion établie, l’intrus peut accéder à n’importe quel fichier de la machine, enregistrer les frappes au clavier, voir à travers la webcam, installer de nouveaux logiciels, etc.

PiXie, Quasar, FlawedAmmyy : quelques exemples de RAT

Les hackers ne manquent pas d’imagination quand il s’agit de créer un malware. Les Remote Access Trojan sévissent ainsi sur le web depuis des années.
Leur méthode de diffusion est aussi variée que leurs effets. Par exemple, le RAT PiXie fut caché dans le code open-source d’un jeu style Tetris. Programmé en Python, ce Remote Access Trojan sévirait sur la Toile depuis 2018 (source : logpoint.com),
Autre exemple de RAT, utilisé cette fois-ci à des fins d’espionnage : Quasar. Détecté en 2017 par les spécialistes en cybersécurité d’ESET, ce malware aurait servi à espionner les machines des institutions gouvernementales ukrainiennes, en conjonction avec le backdoor Vermin (source : ESET).
De son côté, FlawedAmmyy aurait été utilisé dans des attaques bancaires par le groupe cybercriminel TA505, ainsi que dans des opérations d’hameçonnage (phishing). En 2019, Microsoft avait d’ailleurs averti ses utilisateurs que ce RAT se dissimulait dans des macros Excel infectées et envoyées lors de campagnes de mailing (source : silicon.fr).
Ce ne sont là que quelques exemples d’usage des Remote Access Trojan

Comment savoir si je suis infecté par un RAT ?

Les Remote Access Trojan sont des programmes très discrets, conçus pour la furtivité. Leur but est de s’installer durablement sur une machine, afin de laisser le temps à l’attaquant d’en prendre le contrôle à distance selon son bon vouloir.
Il est donc ardu de les détecter, mais certains signes peuvent vous mettre sur la piste d’une infection par un RAT :

  • Curseur de la souris qui se déplace tout seul ;
  • Ralentissement de votre ordinateur ;
  • Processus suspects dans le gestionnaire de tâches Windows ;
  • Apparition de nouveaux logiciels que vous n’avez jamais téléchargés ;
  • Comportement erratique du navigateur Web (ouverture de pages non demandées, modification du moteur de recherche préféré, etc.) ;
  • Redémarrage intempestif de l’ordinateur.

Une fois infecté par un outil RAT, votre ordinateur peut subir des vols de données bancaires ou confidentielles. Vous pouvez aussi être à la merci d’un rançongiciel (ou ransomware en anglais).
S’il est difficile d’y faire face, de bonnes pratiques limiteront le risque d’être victime d’une attaque par un tel programme malicieux.

Comment se protéger d'une attaque par RAT ?

Le cheval de Troie se présente souvent sous la forme d’un logiciel pour PC, d’une application mobile ou d’un programme informatique (une macro par exemple). En somme, un élément de code provenant d’une source externe.
Pour éviter toute attaque par un Remote Access Trojan, il convient donc de former les équipes aux bons réflexes :

  • Ne jamais télécharger de logiciel inconnu sur un ordinateur de l’entreprise ;
  • Ne jamais cliquer sur une pièce jointe ou un lien dans un mail suspect ;
  • Ne pas naviguer sur des sites externes à ceux de l’entreprise, par exemple les réseaux sociaux ;
  • Maintenir à jour les logiciels de sécurité ;
  • Utiliser un antivirus ou un anti-malware ;
  • Protéger les connexions distantes avec un système d’authentification à deux facteurs (2FA) ;
  • Changer régulièrement de mots de passe, en privilégiant des passkeys longues ;
  • Effectuer des sauvegardes régulières et hors-ligne des fichiers importants.

Le bon sens est certainement la meilleure protection contre une intrusion informatique.
Toutefois, cela ne saurait éviter le risque zéro. Les campagnes de phishing actuelles deviennent de plus en plus efficaces, imitant à la perfection les messages d’institutions officielles. De plus, les pirates peuvent tout à fait exploiter une faille zero day dans le code d’un logiciel professionnel, voire rentrer dans le réseau d’une société via des attaques de type man in the middle.
C’est pourquoi l’usage d’un logiciel antivirus est indispensable, notamment avec un module de détection des malwares. En menant une veille active contre les menaces, un antivirus sera en mesure de circonscrire rapidement toute tentative de piratage. La mise en place d’un pare-feu (ou firewall) est aussi une étape essentielle à la bonne protection du réseau de toute société. C’est particulièrement vrai pour les Remote Access Trojan qui requièrent que le pirate utilise une connexion internet active pour prendre le contrôle de la machine cible.

Vous voulez en savoir plus ? Vous avez besoin d’aide pour configurer nos solutions ou résoudre un problème ? Nos équipes sont joignables via notre formulaire de contact.

TS2log Security et TS2log 2FA : une protection supplémentaire face aux Remote Access Trojan

Dans le cadre de la sécurisation de vos serveurs applicatifs, nous proposons deux solutions complémentaires : TS2log Security Ultimate et TS2log 2FA.
Notre produit Security intègre une base de données d’adresses IP malveillantes mise à jour quotidiennement. Le logiciel est ainsi en mesure de bloquer une IP suspecte qui tenterait d’accéder à votre serveur d’applications.
Cette base de données se voit couplée à une analyse comportementale et statique en temps réel. TS2log Security Ultimate Edition peut par conséquent repérer tout logiciel suspect installé sur l’ordinateur protégé et le bloquer immédiatement.
C’est un moyen particulièrement efficace de lutter contre les malwares de type ransomware qui seraient véhiculés par un RAT.
De son côté, le module TS2log 2FA vient en renfort sur les serveurs Remote Access afin d’accroître la sécurité des connexions à distance.
Tout utilisateur qui utilise ce module de double authentification doit fournir son identifiant et son mot de passe, mais également valider la connexion via une méthode sécurisée, par exemple un code unique fourni sur son smartphone.
Très abordables, nos solutions vous apporteront un niveau de sûreté supplémentaire pour lutter face aux attaques via Remote Access Trojan.

Retour en haut
En-tête salon ITPartners

Retrouvez-nous au Salon ITPartners à Disneyland Paris sur le Stand K04
les 13 et 14 mars 2024.