Un Trojan (ou Cheval de Troie) est un type de malware qui se dissimule comme un programme ou …
un fichier légitime pour tromper l’utilisateur et obtenir un accès non autorisé à un système ou exécuter des actions malveillantes.
Se fait passer pour un logiciel inoffensif ou utile.
Nécessite que l’utilisateur l’installe ou l’exécute.
Espionnage, vol de données, contrôle du système, ou déploiement d’autres malwares.
Télécharge d’autres logiciels malveillants sur le système infecté.
Exemple : Zlob Downloader.
Installe et exécute d’autres malwares sans être détecté.
Exemple : Emotet.
Espionne les activités de l’utilisateur (ex. : enregistreurs de frappes, capture d’écran).
Exemple : FinSpy.
Permet un contrôle à distance du système infecté. Exemple : DarkComet, NjRAT.
Conçu pour voler des informations financières (ex. : identifiants bancaires).
Exemple : Zeus.
Utilise l’ordinateur infecté comme proxy pour cacher l’identité de l’attaquant.
Exemple : Proxy.Backdoor.
Bloque l’accès aux données de l’utilisateur et exige une rançon (type ransomware).
Exemple : CryptoLocker.
Cible les joueurs pour voler des informations de comptes de jeux. Exemple : Trojans liés à Steam ou Blizzard.
Masque la présence de malwares ou d’activités malveillantes sur un système. Exemple : Alureon.
Récupère des adresses email pour les campagnes de phishing ou de spam.
| Caractéristique | Trojan | Virus | Ver |
|---|---|---|---|
Propagation | Pas autonome, dépend d’un utilisateur. | Infecte d’autres fichiers. | Se réplique via un réseau. |
Objectif principal | Vol ou contrôle du système. | Perturbation et réplication. | Saturation du réseau. |
Camouflage | Déguisé en logiciel légitime. | Parfois détectable. | Facilement détectable. |
Pièces jointes malveillantes déguisées en factures, rapports, ou notifications.
Logiciels piratés ou téléchargements gratuits contenant un Trojan.
Téléchargements automatiques (drive-by download) lors de la visite.
Clés USB ou disques externes contaminés.
Apps malveillantes sur des magasins non officiels.
Liens raccourcis menant à des téléchargements malveillants.
Ralentissement des performances du système.
Apparition de processus inconnus dans le gestionnaire des tâches.
Modifications des paramètres système sans autorisation.
Ouverture de fenêtres pop-up intempestives.
Activité réseau inhabituelle.
Données volées ou comptes compromis.
Informations bancaires, mots de passe, fichiers personnels.
Enregistrement des frappes (keylogging), capture d’écran, webcam.
Prise de contrôle du système infecté (via RATs).
Exploitation de la puissance CPU pour du minage de cryptomonnaie.
Utilisation comme proxy pour des attaques ou des activités illégales.
Installation de ransomwares, spywares, ou rootkits.
Crée par "Slavik" (Evgeniy Bogachev), russe, 3 millions $ de récompense FBI
Ciblait les comptes bancaires en ligne via injection web
Volait identifiants, intercepte les codes 2FA SMS
Plus de 3,6 millions d’ordinateurs infectés (US seul)
Code source fuité en 2011 → engendra des dizaines de variantes (Citadel, GameOver Zeus)
Bogachev toujours en fuite en Russie
Emotet est devenu une plateforme de distribution — l’infrastructure préférée pour livrer TrickBot, Ryuk, et autres malwares lourds. |
À l’origine : trojan bancaire allemand
Évolué en MaaS (Malware as a Service)
Hôpitaux US, ville de Frankfurt-am-Main fermée 1 semaine
Démantelé en janvier 2021 par opération internationale (Europol, FBI)
Réactivé fin 2021, encore actif aujourd’hui
Outil français créé par Jean-Pierre Lesueur ("DarkCoderSc"), à l’origine légitime
Détourné pendant la guerre civile syrienne (2012)
Le régime Assad l’utilisa pour espionner les activistes
Lesueur arrêta le projet par éthique
Trojan bancaire concurrent de Zeus
Auteur : Aleksandr Panin (russe), arrêté en République dominicaine en 2013
Volé environ 1 milliard $ mondialement
Condamné à 9,5 ans de prison aux US
Fonctionnalité unique : "Kill Zeus" — désinstallait Zeus avant de s’installer
Évolution de Dyre (autre trojan bancaire)
Modulaire : volait identifiants, déployait ransomware Ryuk
Estimation : 140 millions $ extorqués via Ryuk
Microsoft, US Cyber Command, Europol démantelèrent l’infrastructure en octobre 2020
Auteur principal Vladimir Dunaev arrêté en Corée du Sud en 2021
Développé par Gamma Group (UK/Allemagne)
Vendu officiellement aux gouvernements pour "surveillance légale"
Documenté dans Bahreïn, Éthiopie, Égypte contre des opposants politiques
Capable d’enregistrer Skype, microphone, webcam, frappes clavier
Citizen Lab a documenté son utilisation contre les droits humains
BlackEnergy a coupé l’électricité à 230 000 Ukrainiens en décembre 2015 — première cyberattaque réussie contre un réseau électrique national. |
Trojan modulaire d’origine russe
Composant KillDisk effaçait les données après l’attaque
Attribué à Sandworm (GRU russe)
Marqua le début des attaques sur les infrastructures critiques
RAT léger, interface graphique simple en arabe
Démocratisa les RATs auprès des cybercriminels amateurs
Largement utilisé pour des arnaques romantiques, espionnage de partenaires
Code source disponible publiquement
Trojan bancaire devenu vecteur de ransomware
Plus de 700 000 ordinateurs infectés
Démantelé en août 2023 par opération "Duck Hunt"
FBI a saisi 8,6 millions $ en cryptomonnaies
Une des plus grosses opérations contre le cybercrime
SUNBURST a infecté 18 000 organisations dont le Pentagone, le Trésor US, Microsoft — via une mise à jour vérolée de SolarWinds Orion. |
Trojan injecté dans le pipeline de build de SolarWinds
Supply chain attack d’envergure historique
Attribué au SVR russe (APT29 / Cozy Bear)
Resté indétecté pendant 9 mois
A redéfini les standards de sécurité de la chaîne d’approvisionnement
| Année | Trojan | Impact |
|---|---|---|
2007 | Zeus | 3,6 M PC, 3 M $ de récompense FBI |
2010 | FinSpy | Surveillance d’opposants politiques |
2014 | Emotet | MaaS, démantelé en 2021 |
2015 | BlackEnergy | Coupe électricité de 230 k Ukrainiens |
2016 | TrickBot | Distribue Ryuk, 140 M $ |
2020 | SUNBURST | 18 000 orgs (Pentagone, Microsoft) |
2023 | Qakbot | Démantelé, 8,6 M $ saisis |
Ne pas ouvrir de fichiers provenant de sources inconnues.
Éviter de télécharger des logiciels piratés ou non vérifiés.
Maintenir à jour le système d’exploitation et les logiciels pour corriger les vulnérabilités.
Installer des solutions de sécurité reconnues (Kaspersky, Bitdefender, etc.).
Vérifier les adresses expéditrices et éviter les liens suspects.
Tester les fichiers douteux dans un environnement isolé.
Sensibiliser aux risques et aux bonnes pratiques.
Logiciels antivirus modernes capables de détecter les Trojans.
Outils spécialisés comme Malwarebytes ou ESET.
Isoler le système infecté.
Scanner et supprimer les fichiers malveillants.
Restaurer les données à partir d’une sauvegarde saine.
Identifier les processus suspects dans le gestionnaire des tâches.
Vérifier les fichiers de démarrage (msconfig ou autoruns).
Vol de fonds, perte de productivité, coûts de récupération.
Perte de confiance des clients après une compromission.
Exposition de données sensibles ou stratégiques.
Utilisation de chiffrement pour éviter les détections.
Propagation via les IoT (Internet des Objets).
Intégration de fonctionnalités polymorphiques.
Observer son comportement dans un environnement isolé.
Scanner un système infecté pour identifier un Trojan.
Étudier comment un Trojan peut se propager dans un réseau simulé.
Scénario où les utilisateurs doivent détecter un fichier malveillant.
"Malware Analyst’s Cookbook and DVD" – Michael Ligh.
"Practical Malware Analysis" – Andrew Honig.
Analyse du trafic réseau.
Environnement d’analyse des malwares.
Malwarebytes Blog
Kaspersky Threat Intelligence
Les Trojans exploitent surtout l’humain : un fichier "facture.pdf.exe", une fausse mise à jour, un crack de logiciel… la vigilance reste la première défense. |
Détection comportementale (EDR), sandboxing et formation des utilisateurs sont les piliers de la lutte contre les Trojans.
À combiner avec : Virus · Ransomware · EDR · Moindre privilège |