Backdoors, trojans et acces persistants — Sensibilisation Essentielle

Objectifs d'apprentissage

Distinguer backdoor, trojan et RAT et leurs mecanismes de persistence
Identifier les techniques de persistence courantes utilisees par les attaquants
Mettre en place les controles pour detecter et eliminer les acces persistants

Trojans et backdoors : entrer et rester

Un cheval de Troie (trojan) se presente comme un logiciel legitime mais contient du code malveillant cache. Une backdoor est une porte d'entree secrete laissee deliberement ou installee par un attaquant pour acceder au systeme sans authentification normale. Un RAT (Remote Access Trojan) combine les deux : il est introduit comme un trojan et offre un acces distant complet (terminal, webcam, fichiers, frappes clavier). Ces outils sont souvent utilises comme premiere etape d'une attaque plus elaboree.

🔔 À retenir : Certaines backdoors sont introduites dans la chaine d'approvisionnement logiciel : le code malveillant est insere dans un logiciel legitime avant sa distribution (SolarWinds Orion 2020 : 18 000 organisations infectees via une mise a jour signee).

Techniques de persistence

Pour maintenir l'acces apres un redemarrage, les attaquants utilisent plusieurs techniques : cles de registre Windows (Run/RunOnce), taches planifiees (scheduled tasks), services systeme malveillants, scripts de demarrage, DLL hijacking (remplacer une DLL legitime), et WMI event subscriptions. Sur Linux : cron jobs malveillants, modifications de ~/.bashrc, ou SSH authorized_keys. La detection necessite une surveillance continue des changements systeme.

⚠ Attention : Un attaquant qui maintient une persistence peut rester dormant pendant des mois, observant les activites, collectant des credentials, et attendant le moment optimal pour frapper. La detection tardive augmente exponentiellement les dommages.

Detection et eradication

Les controles de detection : surveillance de l'integrite des fichiers (FIM), journalisation des processus et des connexions reseau, analyse des taches planifiees et cles de registre, et alertes sur les nouvelles connexions administrateur. Pour l'eradication : inventorier tous les points de persistence connus, eliminer en sequence (sinon la backdoor se reinstalle), changer tous les credentials potentiellement exposes, et valider l'eradication avec une analyse forensique avant de remettre les systemes en production.

Checklist pratique

Un FIM (File Integrity Monitoring) surveille les modifications des fichiers systeme critiques

Les taches planifiees et services Windows sont audites regulierement

Tout nouveau compte administrateur cree declenche une alerte immediat

Votre progression est sauvegardée localement dans votre navigateur.

Points clés à retenir

Les backdoors visent la persistence : l'attaquant veut rester invisible le plus longtemps possible
SolarWinds 2020 : backdoor dans une mise a jour signee — 18 000 organisations infectees sans le savoir
FIM + journalisation des processus = detection des mecanismes de persistence
Eradiquer sans inventorier tous les points de persistence = risque de reinstallation automatique