Le plus célèbre de ces Trojans est une application client/serveur développée en 1998 par le CdC (The Cult of the dead Cow), un groupe de hackers très actif. Baptisée "Back Orifice" (terme imagé vulgaire, signifiant littéralement orifice de derrière…) en référence à la suite logicielle de Microsoft "Back Office", cette application a été développée pour mettre en évidence les failles de sécurité de Windows.

En effet, Windows est « un système ouvert », par la volonté même de ses concepteurs et utilisateurs. On parle même de trou de sécurité ! Le backdoor se sert donc de l’un de ces innombrables « trous de sécurité » qui constitue en fait une véritable faille de sécurité ; en l’occurrence un port de communication laissé ouvert par Windows et qui n’a pas été fermé (protégé) par un firewall.

Utilisé à bon escient, "Back Orifice" est un puissant outil d'administration à distance mais il peut également être utilisé par les pirates en étant intégré dans un autre logiciel ou en étant renommé pour laisser croire que c'est un programme inoffensif.

En effet, le but de ce type de Cheval de Troie est, une fois installé, de permettre à l’expéditeur d’y pénétrer, voire même parfois accompagné de tous ses petits copains. Des commandes lui permettent soit de voir vos actions lorsque vous êtes connecté à Internet, y compris ce que vous tapez à l’écran, comme un keylogger (mot de passe, transmission de détail de votre carte de crédit…), soit de prendre le contrôle total de votre machine depuis son clavier, son écran et sa souris : il peut tout faire, comme accéder à tous les fichiers de votre ordinateur, copier vos données sensibles, détruire ou installer des fichiers ou programmes à votre insu (virus…), etc.
De plus, les backdoors sont de plus en plus simplifiés. Une jolie interface graphique avec tout plein d'icônes. N'importe qui peut les utiliser. Voyons l'exemple de SubSeven, l'un des backdoors après Back Orifice:
 

Certains backdoors sont tellement évolués qu’ils sont de véritables outils de prise en main et d’administration à distance d’un ordinateur ou d’un réseau à l’égal de produits commerciaux de télé-maintenance et de télé-diagnostique d’un ordinateur tels que le très bon « PC-Anywhere ». Ces derniers permettent au service après vente de votre fournisseur ou de votre service informatique, d’intervenir à distance pour un dépannage immédiat, sans déplacement, et non pas dans 3 heures ou 3 jours. Les fonctions sont les mêmes que notre backdoor ; seul le nom diffère, ainsi que la méthode d’installation : c’est vous-même qui avez volontairement acheté et installé le produit commercial !

Installation du client sur votre ordinateur

Aussi méchants soient-ils aussi leur fonctionnement est assez simple à comprendre. En effet, le backdoor, exécuté sur votre machine, va aller s’installer bien au chaud dans les fichiers systèmes (là où seul l’utilisateur confirmé pointe parfois le bout de son nez). Là, il a peu de chance de se faire repérer, et même avec un ctrl-alt-sup, il se peut qu’il n’apparaisse pas. Si c’est le cas, c’est sous un nom qui ne retiendra pas l’attention. Son activité est donc totalement transparente.

Une fois installé, il va commencer par implanter un dispositif en jouant dans la base de registres de Windows et/ou les listes de démarrage. Dispositif qui lui permettra de se lancer automatiquement à chaque démarrage.

Maintenant qu’il est actif, il va devoir s’occuper de trouver un port parmi les 65 536 présents. Ainsi, dès qu’il en a trouvé un, il se chargera de le laisser ouvert à chaque fois que vous vous connecterez… Contrairement à tout ce que l’on entend, c’est le pirate qui appelle son backdoor, et non le contraire. Le troyen n’a donc plus qu’à rester à l’écoute de son maître.

Liaison client/serveur

Dès cet instant commencent les choses sérieuses pour le hacker (ou lamer), avec votre port laissé ouvert. Pour communiquer avec son backdoor, et donc s’infiltrer dans votre machine, il doit connaître votre code d’identité sur Internet. Ce code, c’est votre adresse IP. Deux possibilités s’offrent à lui, selon cette adresse :

-Premier cas : vous avez une adresse IP fixe

Vous êtes possesseur d'une ligne ADSL / Câble ou êtes dans un réseaux d’entreprise, votre adresse ne change que tout les 24 H (elle ne change pas du tout pour les réseaux d'entreprise).
La tâche est donc facile pour le pirate. Régulièrement, il lui suffira de scanner directement votre adresse pour voir si vous êtes en ligne et si le port sur lequel écoute son backdoor est ouvert. On remarque que dans ce cas là, le pirate s’attaque à une cible choisie et les cibles choisies ne sont pas les ordinateurs de monsieur tout le monde. Donc, tant que vous ne sortez pas la tête de l’eau, vous êtes noyés dans les millions d’adresses IP, et c’est une assez bonne planque.

-Second cas : vous avez une adresse IP dynamique

Là, c’est le cas de monsieur tout le monde, possesseur d’une ligne RTC / Numéris, avec une adresse affectée à chaque connexion.
Le pirate va donc scanner les adresses IP afin de trouver, adresse par adresse, si son backdoor est à l’écoute. Ne vous inquiétez pas pour lui, il ne va pas se casser la tête pour cette tâche : de petits programmes sympas sont là rien que pour ça.
On remarque que dans ce second cas, c’est le hasard qui choisira la cible. De plus, il se peut qu’en plus d’être la cible choisie par le hasard pour ce pirate, vous le soyez aussi pour d’autres pirates recherchant le même backdoor ! (le pirate a la possibilité de protéger son backdoor par un mot de passe, s’il vous veut pour lui seul).

A partir de là, tout est possible. Le plus dur a été fait. Le maître et l’esclave étant de nouveau réunis, ce ne peut annoncer rien de bon pour vous et votre ordinateur. Comme nous l’avons vu dans le chapitre précédent, un backdoor n’est rien d’autre que le client d’un serveur que possède le pirate et il peut être un véritable outil d’administration à distance, au même titre que les produits commerciaux. Tout dépend donc des commandes de prise de contrôle à distance qu’il possède.
 

Voyons l'exemple, dans Back Orifice, de la commande "system dialogbox".

Elle permet d'afficher sur le serveur une boîte de dialogue, avec le titre et le message que l'on veut.

Bon, ce n'est pas bien méchant, me direz-vous. Voyons mainetenant une autre commande

Vous l'avez deviné, "system password" permet à votre hacker de vous voler vos mots de passe réseau enregistré sur le système, et ce, sans aucun problème. Une petite commande, et tout est là, en clair !

Pas si compliqué, comme je le disais. Mais assez effrayant, non ? Maintenant, vous doutez. Quelqu’un aurait-il le libre accès à votre ordinateur ?
Reprenez vos esprits, et voyons calmement comment vérifier s’il y a, ou non, présence d’un troyen sur votre ordinateur