Cheval de Troie

01 — DéfinitionQu'est-ce qu'un cheval de Troie ?

Un cheval de Troie (trojan horse, souvent abrégé trojan) est un type de malware qui se fait passer pour un logiciel légitime ou utile pour inciter l'utilisateur à l'exécuter volontairement.

Le nom vient de la légende grecque du cheval de Troie relatée dans l'Iliade d'Homère : les Grecs, incapables de conquérir la ville de Troie, offrirent un immense cheval de bois aux Troyens qui l'introduisirent dans leur cité. Des soldats grecs cachés à l'intérieur sortirent la nuit et ouvrirent les portes de la ville. La métaphore a été appliquée à l'informatique dès les années 1970 : un programme d'apparence bénigne qui cache une charge malveillante.

La différence fondamentale avec les virus et vers

• Virus : s'insère dans un fichier exécutable légitime et se réplique quand ce fichier est exécuté. Nécessite un hôte.
• Ver (worm) : programme autonome qui se propage activement de machine à machine via le réseau, sans action utilisateur.
• Cheval de Troie : ne se réplique pas, ne se propage pas seul — il repose entièrement sur la tromperie de l'utilisateur pour s'installer.

Dans la pratique moderne, les frontières se brouillent — un malware moderne combine souvent plusieurs techniques (un trojan qui se propage ensuite via le réseau comme un ver, un ver qui vole des données comme un spyware). Le terme « virus » dans le langage courant désigne d'ailleurs souvent n'importe quel malware.

Ce que fait un cheval de Troie une fois exécuté

Le contenu dépend du type :

• Vol de données : identifiants, mots de passe, données bancaires, cookies, clés cryptographiques.
• Backdoor : ouvre une porte dérobée permanente pour l'attaquant.
• Dropper : télécharge et installe d'autres malwares (le trojan n'est que la première étape).
• Déploiement de ransomware : chiffrement des fichiers et demande de rançon.
• Contrôle à distance : serveur de commande joint, la machine devient zombie.
• Minage de cryptomonnaie : utilise les ressources CPU/GPU de la machine.
• Espionnage : capture d'écran, microphone, webcam, frappes clavier.
• Participation à un botnet : la machine rejoint un réseau contrôlé pour attaques DDoS, spam, etc.

Part dans le paysage malware

Les chevaux de Troie dominent largement le paysage malware actuel :

• ~70% des malwares identifiés en 2024 sont des chevaux de Troie ou variantes (rapports AV-TEST, AV-Comparatives).
• Verizon DBIR 2024 : 83% des incidents malware commencent par un trojan.
• Le trojan est la première étape typique des chaînes d'attaque modernes — infiltration initiale avant ransomware, espionnage, vol de données.

Le cheval de Troie moderne n'est plus un simple programme unique : c'est souvent une plateforme (Emotet, Qbot, IcedID) utilisée comme service par différents groupes criminels. Le trojan initial est vendu comme « accès initial » à un opérateur de ransomware qui prend le relais.

02 — FonctionnementDe l'appât à l'exécution

Les 4 phases d'une infection type

Phase 1 — Appât (lure)

Le cheval de Troie est packagé sous une apparence trompeuse :

• Fausse facture PDF.
• Document Word piégé avec macro.
• Installeur d'un logiciel populaire (VLC, Adobe Reader, navigateur).
• Crack ou keygen d'un logiciel payant.
• Pièce jointe email imitant un expéditeur légitime.
• Lien vers un site avec fausse mise à jour.

Phase 2 — Livraison (delivery)

Le trojan atteint la machine cible :

• Phishing par email avec pièce jointe ou lien.
• Téléchargement sur un site web trompeur.
• Drive-by download via une vulnérabilité navigateur.
• Malvertising — publicité compromise sur un site légitime.
• Supply chain — logiciel légitime compromis à la source.
• Clé USB laissée ou donnée.

Phase 3 — Exécution (execution)

L'utilisateur exécute volontairement le fichier, pensant installer quelque chose d'utile. C'est la phase cruciale qui distingue le trojan d'autres types de malwares. Souvent, le programme fait effectivement ce qu'il prétend (installer le logiciel, afficher la facture) tout en exécutant discrètement sa charge malveillante en parallèle.

Techniques pour faciliter l'exécution :

• Icônes trompeuses : extension .pdf.exe avec icône PDF.
• Noms crédibles : « Facture-2026-12-15.pdf.exe ».
• Signatures valides : certificats de signature volés ou frauduleusement obtenus.
• Demande de permissions justifiées : « nécessaire pour l'installation ».
• Masquage de l'extension : Windows cache par défaut les extensions des fichiers connus.

Phase 4 — Charge (payload)

La charge malveillante s'exécute. Souvent, le trojan est juste un dropper qui télécharge la vraie charge depuis un serveur C2 :

• Établir la persistance (démarrage automatique, tâche planifiée, service système).
• Communiquer avec le C2 pour recevoir des instructions.
• Exécuter la mission (voler, chiffrer, espionner, propager).
• Tenter de se cacher (rootkit, polymorphisme).
• Désactiver les protections (antivirus, logs).

Techniques d'évasion courantes

• Polymorphisme : le code se modifie à chaque infection pour échapper aux signatures.
• Packing et chiffrement : le code est compressé/chiffré et ne se déchiffre qu'en mémoire.
• Anti-sandbox : détecte les environnements d'analyse (VM, outils de debug) et reste dormant.
• Living off the Land : utilise uniquement des outils système légitimes (PowerShell, WMI, certutil) pour éviter la détection.
• Fileless : s'exécute entièrement en mémoire sans écrire de fichier sur disque.
• DLL sideloading : un exécutable légitime charge une DLL malveillante au nom identique.
• Process hollowing : injecte du code malveillant dans un processus légitime en cours.

Le modèle MaaS (Malware-as-a-Service)

Les chevaux de Troie modernes sont souvent vendus comme services :

• Un développeur crée et maintient le trojan.
• Des affiliés achètent un abonnement mensuel (quelques centaines à milliers de dollars).
• Les affiliés distribuent via leurs propres campagnes phishing.
• Le développeur fournit le panel de contrôle, les mises à jour anti-détection.

Exemples connus : Emotet, Qbot, IcedID, RedLine Stealer, Vidar, Raccoon. Ce modèle industrialise l'écosystème malware et abaisse la barrière d'entrée pour les cybercriminels.

03 — TypesLes grandes familles de chevaux de Troie

1. Banking trojan (trojan bancaire)

Spécialisé dans le vol d'identifiants bancaires et la fraude financière. Techniques : webinject (modifier à la volée les pages des sites bancaires pour voler les identifiants), bypass MFA par interception de SMS, ATS (Automated Transaction System) pour détourner des virements en temps réel.

Exemples : Zeus / Zbot (historique, 2007+), Dridex (toujours actif), Emotet (initialement banking trojan, devenu plateforme multi-usage), TrickBot (offshoot de Zeus), QakBot / Qbot, IcedID.

2. RAT (Remote Access Trojan)

Donne un accès distant complet à la machine victime pour l'attaquant : capture d'écran, webcam, microphone, fichiers, clavier, exécution de commandes.

Exemples : NjRAT, DarkComet, Remcos, AgentTesla, AsyncRAT, NetWire (démantelé en 2023). Les RAT sont souvent utilisés pour l'espionnage ciblé et le harcèlement.

3. Infostealer (voleur d'informations)

Dédié au vol de données sensibles : mots de passe stockés dans les navigateurs, cookies de session, portefeuilles crypto, configurations VPN, Discord tokens, historique, certificats.

Catégorie en forte croissance en 2022-2026 : RedLine Stealer, Vidar, Raccoon Stealer, Lumma Stealer, StealC, Meta Stealer, Atomic macOS Stealer. Les données volées sont revendues sur des marchés cybercriminels (Genesis Market démantelé en 2023, Russian Market actif).

4. Dropper / Downloader

Petit trojan dont l'unique mission est de télécharger et exécuter un autre malware. Permet au trojan initial d'être léger, peu détecté, flexible. La charge finale est adaptée selon la cible et les objectifs.

Exemples : SmokeLoader, PrivateLoader, GuLoader, DBatLoader. Les droppers sont souvent vendus comme services.

5. Rootkit trojan

Trojan qui installe un rootkit — composant profondément enfoui dans le système (noyau, firmware, hyperviseur) pour se cacher et se persister. Très difficile à détecter et à nettoyer sans réinstallation complète.

6. Backdoor trojan

Installe une porte dérobée permanente sur le système : l'attaquant peut revenir à tout moment. Souvent combiné avec d'autres fonctions (infostealer, RAT).

7. Keylogger trojan

Enregistre toutes les frappes clavier et les envoie à l'attaquant. Capture mots de passe, messages, numéros de carte bancaire.

8. Ransomware trojan

Déguisement courant pour les ransomwares : faux installeur, faux document qui chiffre les fichiers dès son exécution et affiche une demande de rançon. Les ransomwares modernes sont fréquemment déployés via un trojan d'accès initial.

9. Mobile trojan

Sur Android principalement. Déguisés en apps légitimes (jeux, utilitaires, copies de vraies apps) : volent SMS, contacts, photos, interceptent codes MFA, affichent de la publicité forcée, souscrivent à des services premium. Exemples : Anubis, Cerberus, FluBot, BRATA, Xenomorph, GoldPickaxe (vole les données de reconnaissance faciale pour fraude bancaire).

10. Cryptomineur trojan

Exploite les ressources CPU/GPU de la machine pour miner de la cryptomonnaie au profit de l'attaquant. Moins destructeur que d'autres malwares mais ralentit fortement la machine et usure le matériel. Exemples : XMRig (utilisé de façon légitime mais massivement abusé), plusieurs droppers spécialisés.

04 — ExemplesChevaux de Troie qui ont marqué

Zeus / Zbot (2007-2011+)

L'un des trojans bancaires les plus influents de l'histoire. Développé par le cybercriminel Evgeniy Bogachev (FBI Most Wanted, récompense 3 M USD). Responsable de plusieurs centaines de millions de dollars de fraudes bancaires. Code source fuité en 2011, donnant naissance à de nombreuses variantes (Citadel, GameOver Zeus, Atmos).

Emotet (2014-2021, 2022-2023)

D'abord trojan bancaire, Emotet est devenu la plateforme malware la plus sophistiquée de la décennie 2010. Distribué via campagnes phishing massives, utilisé comme vecteur d'accès initial pour des ransomwares (Ryuk, Conti). Démantelé par une opération internationale en janvier 2021 (Opération LadyBird, Europol + FBI). Reapparu en novembre 2021 et à nouveau actif en 2022-2023 avant un nouveau déclin. Campagne de décontamination organisée par les autorités allemandes en 2021.

TrickBot (2016-2022)

Descendant de Zeus, devenu plateforme malware majeure utilisée par le groupe Ryuk/Conti. Cible particulière sur le milieu bancaire et les entreprises. Affaibli par des opérations Microsoft et US Cyber Command en 2020. Code source fuité en 2022, les opérateurs Conti ont basculé vers d'autres outils.

QakBot / Qbot (2007-2023)

Trojan bancaire devenu plateforme d'accès initial, très utilisé pour déployer les ransomwares Conti, REvil, LockBit, BlackBasta, Black Cat. Démantelé en août 2023 par une opération internationale « Duck Hunt » (FBI, Europol, ANSSI française impliquée) — infrastructure saisie, 700 000 machines victimes nettoyées à distance avec leur consentement implicite légal.

IcedID / BokBot (2017+)

Trojan bancaire puis plateforme multi-usage, successeur de Emotet et TrickBot dans l'écosystème. Utilisé pour déployer ransomware (Quantum, BlackCat).

Agent Tesla (2014+)

Infostealer/RAT très répandu, simple mais efficace. Extraction de mots de passe de navigateurs, clients email, VPN, FTP. Vendu comme service à bas prix, utilisé massivement dans les campagnes opportunistes.

FluBot (2020-2022)

Trojan bancaire mobile Android, distribué par SMS frauduleux (« Votre colis est en attente »). Vole identifiants bancaires et se propage via le carnet d'adresses. Démantelé en juin 2022 par une opération Europol multi-pays.

Pegasus (2011+)

Cas à part — spyware mobile développé par NSO Group (israélien) vendu aux États pour surveillance « lawful interception ». Techniquement un trojan sophistiqué iOS et Android avec capacités d'exploitation zero-click (pas besoin d'action utilisateur). Scandale médiatique en 2021 (Pegasus Project). Utilisé contre journalistes, militants, opposants politiques. Controversé éthiquement et politiquement.

3CX Desktop App compromise (2023)

Supply chain attack emblématique. Le logiciel de téléphonie d'entreprise 3CX a été compromis à la source, distribuant un trojan à tous ses clients via les mises à jour légitimes signées. Attribution Lazarus (Corée du Nord). Illustre la faiblesse fondamentale du modèle de confiance aux signatures quand la source est compromise.

SolarWinds / SUNBURST (2020)

Autre supply chain majeure. Le logiciel de supervision Orion de SolarWinds compromis, distribuant un trojan (SUNBURST) à ~18 000 organisations dont plusieurs agences gouvernementales US et de grandes entreprises. Attribution APT29 / Cozy Bear (Russie, SVR). Un des plus gros incidents de cybersécurité de la décennie.

Atomic macOS Stealer (2023+)

Illustre la montée des trojans macOS. Infostealer vendu $1 000/mois ciblant portefeuilles crypto, mots de passe Keychain, cookies, documents. Distribué via faux installeurs de logiciels populaires, malvertising Google Ads.

05 — VecteursComment ils arrivent sur votre machine

Phishing par email (vecteur #1)

Plus de 90% des chevaux de Troie modernes arrivent par email selon Proofpoint, Microsoft, Mimecast. Techniques :

• Pièces jointes piégées : documents Office avec macros malveillantes (historiquement le plus courant), PDF avec exploit, archives ZIP/ISO/IMG contenant un exécutable.
• Liens vers sites malveillants : redirigent vers pages de téléchargement trompeuses.
• Emails légitimes compromis : thread hijacking — l'attaquant insère son message dans une conversation existante pour gagner en crédibilité.
• Cibles spécifiques : spear phishing avec personnalisation, fraude au président.

Microsoft a désactivé les macros par défaut pour les fichiers Office téléchargés d'Internet en 2022, réduisant ce vecteur. Les attaquants sont passés à d'autres formats (ISO, ZIP contenant exécutable, fichiers OneNote, fichiers LNK).

Téléchargements trompeurs

• Faux installeurs de logiciels populaires sur de faux sites officiels (fake Adobe Reader, fake VLC, fake antivirus).
• Cracks et keygens : très majoritairement infectés par chevaux de Troie. « Gratuit » = danger.
• Torrents : films, logiciels, jeux piratés souvent vecteurs de malware.
• Fausses extensions navigateur : Chrome Web Store et Firefox Add-ons sont parfois contournés.
• Malvertising : publicités Google Ads ou autres régies pointant vers faux sites, utilisant typosquatting (adboe.com au lieu d'adobe.com).

Drive-by download

Site web qui exploite une vulnérabilité navigateur pour télécharger et exécuter un trojan sans interaction utilisateur au-delà de la visite. Beaucoup moins courant qu'avant grâce à la sécurité accrue des navigateurs modernes (sandboxing, sites isolation, sandbox V8). Reste possible via des zero-days critiques.

Supply chain compromise

Supply chain : un logiciel légitime est compromis à la source, distribuant le trojan via des mises à jour officielles signées. Exemples : SolarWinds 2020, 3CX 2023, XZ Utils 2024 (backdoor découverte juste à temps). Vecteur rare mais dévastateur car contourne toutes les défenses classiques (signatures, antivirus, réputation).

Ingénierie sociale directe

• Faux supports techniques : appel téléphonique prétendant venir de Microsoft/banque, demande d'installer un logiciel d'accès distant (AnyDesk, TeamViewer utilisés frauduleusement).
• Scareware : fausses alertes virus dans le navigateur incitant à installer un « antivirus » qui est en fait un trojan.
• Jobs fictifs : faux recruteurs sur LinkedIn envoyant des « tests techniques » contenant des trojans (campagnes Lazarus).

Clés USB

Moins courant en 2026 mais persistant dans certains contextes : attaques ciblées physiques, malveillance interne, test de sensibilisation. La clé USB laissée dans un parking ou distribuée lors d'un événement reste un vecteur connu (étude de l'Université de l'Illinois 2016 : 45% des clés USB laissées sont connectées dans les 6 heures). Windows et macOS ont renforcé les protections contre l'auto-exécution mais un utilisateur qui clique reste à risque.

Mobile — apps hors stores officiels

Sur Android, les APK téléchargés hors Play Store sont une source majeure de trojans mobiles. Sur iOS, le sideloading est très limité par Apple. Risques mobiles additionnels : SMS phishing (smishing) avec liens vers apps malveillantes, fausses apps dans les stores (Play Store compromis occasionnellement malgré les contrôles).

06 — ProtectionSe défendre contre les chevaux de Troie

07 — RéactionEn cas d'infection suspectée

Signaux d'alerte

• Ralentissement inhabituel de la machine.
• Fenêtres pop-up inattendues, publicités nouvelles.
• Activité disque ou réseau inexpliquée.
• Changements de la page d'accueil du navigateur, nouvelles extensions.
• Mots de passe ou accès qui ne fonctionnent plus (peut-être modifiés par un attaquant).
• Notifications de connexions inhabituelles sur vos comptes.
• Antivirus désactivé mystérieusement.
• Programmes inconnus dans les processus ou au démarrage.
• Transactions bancaires non autorisées.

Actions immédiates

1. Déconnecter du réseau : Wi-Fi et Ethernet débranchés pour limiter la communication C2 et la propagation.
2. Ne pas paniquer et ne pas éteindre brutalement : certains malwares réagissent différemment, et les logs en mémoire peuvent être utiles à l'investigation.
3. Scanner avec un antivirus à jour : scan complet, éventuellement en mode sans échec ou avec un outil bootable (Kaspersky Rescue Disk, ESET SysRescue).
4. Identifier ce qui a été fait : quel fichier exécuté, quand, comment. Utile pour l'investigation et la prévention future.
5. Changer tous les mots de passe critiques — mais depuis une autre machine saine : banque, email, réseaux sociaux, professionnels.
6. Révoquer les sessions actives : déconnecter toutes les sessions sur Google, Microsoft, Apple, banques depuis leurs interfaces.
7. Vérifier vos comptes bancaires : transactions suspectes, prélèvements inconnus. Contacter la banque en cas de doute.
8. Activer le MFA : si pas déjà fait, sur tous les comptes critiques.
9. Restaurer ou réinstaller : dans les cas sérieux, réinstallation complète de l'OS depuis une image propre est la seule garantie. Les rootkits profonds survivent même à un formatage simple.

En entreprise

• Alerter immédiatement l'équipe sécurité / le SOC : une infection peut être le début d'une compromission plus large.
• Ne pas tenter de « nettoyer soi-même » : les investigations forensic ont besoin de la machine en l'état pour comprendre la portée.
• Isoler la machine : coupure réseau pilotée par l'EDR, ou physiquement.
• Investigation forensic : images mémoire et disque, analyse des logs, identification de la première machine touchée (patient zero), timeline de l'attaque.
• Chasser le malware : threat hunting sur les autres machines pour vérifier la propagation.
• Plan de communication : équipes concernées, direction, éventuellement autorités (NIS2, CNIL si données personnelles).
• Notification : CNIL sous 72h si violation RGPD, CERT-FR / ANSSI selon contexte.
• Dépôt de plainte : police ou gendarmerie, dans les 72h pour cyber-assurance (loi LOPMI 2023).
• Post-mortem : comprendre comment l'infection est entrée, améliorer les défenses.

Ressources officielles

• Cybermalveillance.gouv.fr : portail officiel français, aide et orientation pour particuliers, TPE et collectivités.
• CERT-FR : bulletins et alertes de l'ANSSI.
• No More Ransom : base de décrypteurs gratuits pour certains ransomwares.
• VirusTotal : analyse collaborative de fichiers et URL suspects.

08 — FAQQuestions fréquentes

Un antivirus suffit-il à bloquer les chevaux de Troie ?

Il bloque la grande majorité des chevaux de Troie connus, mais pas tous. Les tests indépendants AV-TEST et AV-Comparatives mesurent des taux de détection de 99,5 à 100% sur les menaces connues et 95-99% sur les zero-day. Il reste toujours un petit pourcentage qui passe — notamment les trojans fraîchement compilés pour échapper aux signatures, les trojans polymorphes, les attaques ciblées sophistiquées. C'est pourquoi la défense en profondeur est nécessaire : antivirus + vigilance utilisateur + patching + sauvegardes + MFA. Pour les entreprises, l'EDR apporte une couche comportementale bien plus efficace que l'antivirus seul.

Un Mac peut-il avoir un cheval de Troie ?

Oui, absolument. Les trojans macOS existent et sont en croissance : Atomic macOS Stealer, Silver Sparrow (2021), Flashback (2012, 600 000 Macs infectés), XLoader, campagnes via malvertising Google Ads (faux Arc Browser, faux Slack, etc.). La protection native (XProtect, Gatekeeper) bloque les menaces connues, mais les nouveaux trojans passent souvent jusqu'à ce que leurs signatures soient ajoutées. Un antivirus complémentaire est recommandé pour les usages professionnels ou sensibles. La perception « Mac ne prend pas de virus » est un mythe dangereux.

Comment savoir si un fichier est un cheval de Troie avant de l'exécuter ?

Plusieurs vérifications :

• VirusTotal : uploader le fichier (si non confidentiel) pour analyse par 70+ antivirus.
• Any.Run / Hybrid Analysis / Joe Sandbox : détonation dans sandbox publique pour observer le comportement.
• Vérifier la signature numérique : clic droit → Propriétés → Signatures sur Windows. Un éditeur inconnu est un drapeau rouge.
• Vérifier l'origine : téléchargé depuis le site officiel ? Expéditeur fiable ?
• Comparer les hashs : certains éditeurs publient les hashs SHA-256 de leurs fichiers officiels.
• Vérifier la taille et le format : un PDF de 3 Mo est suspect si normalement 200 Ko.

En entreprise, ne jamais exécuter un fichier suspect : l'envoyer à l'équipe sécurité qui dispose d'outils professionnels.

Peut-on attraper un cheval de Troie juste en visitant un site ?

Oui dans de rares cas — le drive-by download. Cela nécessite que le site exploite une vulnérabilité du navigateur pour installer le trojan sans interaction. Très rare sur les navigateurs modernes patchés (Chrome, Firefox, Edge, Safari récents) grâce au sandboxing et aux mitigations. Reste possible via des zero-days sophistiqués (utilisés principalement dans les attaques ciblées par des acteurs étatiques). Plus fréquent : le site trompeur qui incite à télécharger et exécuter un trojan via un bouton « mise à jour », « télécharger le contenu », « résoudre ce captcha ». Dans ce cas, l'utilisateur doit agir — le site ne peut pas installer tout seul.

Les chevaux de Troie peuvent-ils vider mon compte bancaire ?

Oui, c'est l'objectif principal des banking trojans. Techniques :

• Webinject : modification en temps réel des pages de la banque pour capturer identifiants et codes.
• Interception de SMS : sur mobile, interception des codes MFA.
• ATS (Automated Transaction System) : détourne automatiquement des virements en remplaçant les IBAN saisis.
• Overlay attack sur mobile : affiche une fausse page de saisie par-dessus l'app bancaire légitime.
• Vol de cookies de session : permet à l'attaquant d'usurper une session authentifiée.

Protections : MFA sur application bancaire (pas SMS), notifications push pour toute transaction, limites de virement configurées, surveillance régulière des comptes. En cas de fraude, signaler à la banque immédiatement et déposer plainte — la responsabilité peut être limitée selon les cas.

Pourquoi les ransomwares sont-ils souvent livrés par cheval de Troie ?

Parce que c'est la méthode d'intrusion la plus économique et efficace. Un ransomware n'a pas besoin d'une infrastructure de distribution propre — il utilise l'écosystème des trojans déjà établi. Chaîne d'attaque typique : un trojan comme Qbot/IcedID/Emotet arrive par phishing → il établit la persistance sur la machine → il vend l'« accès initial » à un groupe ransomware → le groupe se déplace latéralement dans le réseau pendant plusieurs jours → il exfiltre des données sensibles → il déploie finalement le ransomware sur l'ensemble du réseau. Cette spécialisation de l'écosystème cybercriminel rend les attaques plus efficaces et dangereuses. Mêmes groupes qui gèrent Qbot ont vendu leurs accès à Conti, LockBit, Black Basta.