Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Rat - Remote Administration Tool (Outil d'administration à distance)

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
01.04.2012 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)

Rat - Remote Administration Tool (Outil d'administration à distance) - Permet de prendre le contrôle total d'un ordinateur, de manière convenue (télé-maintenance, ...) ou de manière criminelle.

Rat - Remote Administration ToolRat - Remote Administration Tool - DéfinitionRat - Remote Administration Tool

Un RAT (Remote Administration Tool - Outil d'administration à distance) est un programme permettant la prise de contrôle totale, à distance, d'un ordinateur depuis un autre ordinateur. Il est constitué de deux parties : le "client" et le "serveur". Le "client" est installé sur l'ordinateur de celui qui prend le contrôle et le "serveur" est installé sur l'ordinateur contrôlé.

Rat - Remote Administration ToolRat - Remote Administration Tool - DescriptionRat - Remote Administration Tool

Grace à l'usage d'un RAT (Remote Administration Tool), une personne distante se retrouve dans une situation totalement identique à ce qu'elle serait si elle était devant la machine contrôlée. Son clavier devient le clavier de la machine distante, son écran devient l'écran de la machine distante, sa souris devient la souris de la machine distante etc. ... sans aucune limitation ni contrainte. Les seules limitations sont celles du profil du compte sous lequel est lancée la partie " serveur ", sur la machine contrôlée :
  • sous un compte "Administrateur", la personne distante à les droits les plus étendus sur la machine contrôlée
  • sous un compte "Utilisateur Limité", la personne distante est limitée aux droits du compte sur la machine contrôlée.
La personne distante peut être à des centaines ou des milliers de kilomètres de la machine contrôlée. On conçoit donc que les RAT (Remote Administration Tool) puissent être de formidables outils de télémaintenance, mais aussi constituer des agressions de la plus extrême gravité.

Rat - Remote Administration ToolRat - Remote Administration Tool - Alias (autres noms)Rat - Remote Administration Tool

Diverses erreurs d'usage et de transcription créent une grande confusion :
  1. Terme admis :
    Remote Administration Tool est le seul terme exact. Ses déclinaisons et abréviations correctes sont:
    Remote Administration Tools
    Remote Admin Tool
    Remote Admin Tools
    RAT
    RATs

  2. Termes erronés désignant d'autres classes de produits totalement différentes

    • Cheval de Troie
      Lui et tous ses synonymes et déclinaisons (trojan, trojans, troyen, troyens, trojan horse, trojan horses, cheval de Troie, chevaux de Troie et toutes les orthographes de la ville de Troyes...) sont des termes employés à tort et à travers qui ne doivent jamais désigner un RAT (Remote Administration Tool).

      Terminologie - Attention

      Un Cheval de Troie n'est pas et n'a rien à voir avec un RAT (Remote Administration Tool)

      Un RAT (Remote Administration Tool) n'est pas et n'a rien à voir avec un Cheval de Troie.

    • Backdoor
      L'emploi de ce terme est totalement faux (bien que certains Backdoor sophistiqués puissent contenir des fonctionnalités d'un RAT (Remote Administration Tool)). Il est vrai, par contre, que la partie "serveur" d'un RAT (Remote Administration Tool), sur la machine contrôlée, comporte obligatoirement le maintiend d'un port ouvert, comme le fait un Backdoor.
  3. Termes admissibles à la rigueur
    Remote access tool
    Remote access tools
    Termes admissibles à la rigueur mais il faut préférer le terme réel de "Remote Administration Tool"

  4. Termes erronés
    Remote Admin Trojan
    Remote Admin Trojans
    Remote Administration Trojan
    Remote Administration Trojans
    Remote Access Trojan
    Remote Access Trojans

  5. Classification erronée en RATs
    Une erreur fréquente est faite à propos d'une classe spécifique de produits : les Keyloggers ne sont pas des RATs - il ne s'agit pas de prise de contrôle mais d'espionnage.

Est-ce qu'un RAT est un produit légitime ou illégitime ?
Un RAT peut être
  1. Légitime lorsqu'une personne ou une société a donné son accord à une autre personne ou une autre société pour prendre le contrôle à distance de son ordinateur. Le cas le plus habituel est celui de la télémaintenance et du télé diagnostique qu'une entreprise délègue à son fournisseur de produits et services informatiques. Ce dernier peut intervenir bien plus rapidement et efficacement en prenant le contrôle de l'ordinateur de son client sans quitter ses bureaux et sans perdre de temps en déplacement, surtout si le client est à plusieurs centaines ou milliers de kilomètres de là. Le serveur doit être lancé au dernier moment, lorsque le fournisseur et prêt à prendre le contrôle. Le serveur ne doit jamais rester en veille permanente. Il doit, en outre, n'être activable que sur présentation d'un solide mot de passe renouvelé après chaque intervention. Les droits du compte sous lequel la personne exerce sa prise de contrôle à distance devraient être limités au stricte nécessaire et au strict minimum (principe de moindre privilège).

  2. Illégitime lorsqu'il a été implanté à l'insu de l'utilisateur. C'est un cheval de Troie qui a probablement servi à le véhiculer et l'implanter ou une personne qui a accès physiquement à l'ordinateur. Dans les 2 cas il y a, outre la malveillance introduite, une faille de sécurité quelque part qui a permis son installation.

    Rappel : un RAT introduit à l'insu de l'utilisateur est un moyen par lequel une personne pénètre et se maintiend dans un système de traitement de l'information. Il faut immédiatement porter plainte au titre de la loi dite "Godfrain".

Rat commerciaux et Rat de pirates et cybercriminelsRat commerciaux et Rat de pirates et cybercriminelsRat commerciaux et Rat de pirates et cybercriminels

Un RAT peut être
  1. Un produit commercial, comme le célèbre PC-AnyWhere

  2. Un produit gratuit comme le célèbre TeamViewer

  3. Un produit de pirates et cybercriminels dédié à la malveillance. Certains sont excellents et sont devenus des produits commerciaux. Une liste de plus de 4000 RATs. Les plus connus sont :

    1. SubSeven
    2. NetBus

Rat - Fonctionnement d'un RATRat - Fonctionnement d'un RATRat - Fonctionnement d'un RAT

Un RAT commercial s'installe là où on lui dit de s'installer et sous un nom que nous lui connaissons. Un RAT hostile s'installe furtivement dans un répertoire où il a peu de chance d'être repéré de visu par un utilisateur courant : par exemple les immenses répertoires système contenant des milliers de fichiers exécutables aux noms barbares et inconnus. Certains sont tellement furtifs que même en utilisant le gestionnaire de tâches (la combinaison de touches alt-ctrl-sup) il n'apparaît pas dans la liste des tâches actives ou, s'il apparaît, c'est sous un nom qui ne retiendra pas l'attention.

Dès que le RAT est installé, la première chose qu'il fait est d'implanter un dispositif lui permettant d'être lui-même lancé automatiquement chaque fois que l'ordinateur est démarré. Il modifie pour cela la liste de démarrage et reste actif (à l'écoute) tant que l'ordinateur est allumé. L'usage d'outils d'analyse de la liste de démarrage de Windows peut aider.

Une fois actif, son souci est d'ouvrir une porte (il commence par se comporter comme un Backdoor), toujours la même (il y en a 65.536 dans votre PC) puis de rester à l'écoute en la maintenant ouverte chaque fois que vous vous connectez sur le Net. Il utilise diverses méthodes de camouflage pour tenter de tromper les pare-feu (firewall). Il n'émet absolument jamais rien de lui-même, il n'appelle jamais (contrairement à ce qu'écrivent certains sites de sécurité) car ce serait le meilleur moyen de se faire repérer et de se faire bloquer. En sus, s'il appelait, il devrait donc appeler une adresse IP ou un serveur (un nom de domaine) donc il serait immédiatement possible de savoir "à qui le crime profite".

Le pirate, depuis sa machine "cliente", va tenter de trouver et "réveiller" son "serveur". Il appelle donc une adresse IP sur le port de son serveur. Deux possibilités s'offrent à lui pour avoir cette adresse IP:

  1. Votre adresse IP est fixe. Le pirate va directement voir si vous êtes en ligne et si le port sur lequel écoute le serveur de son RAT est ouvert. Le pirate s'attaque donc à une cible choisie qui n'est pas celle de monsieur tout le monde. En principe, l'internaute "lambda" que vous êtes n'est pas visé car vous êtes "sans intérêt" (désolé pour votre ego). Tant que vous ne sortez pas la tête hors de l'eau vous êtes noyé dans les millions d'adresses IP et c'est une assez bonne planque.

  2. Votre adresse IP est dynamique, affectée à chaque connexion. C'est le cas de monsieur tout le monde. Le pirate utilise tout d'abord un scanner d'adresses IP et de ports afin de trouver, adresse par adresse, si son RAT est à l'écoute. Dans ce cas, le pirate s'attaque à une cible au hasard. Plusieurs pirates peuvent tomber sur le même backdoor.
Le pirate "protège son RAT" par un mot de passe. Une fois entré, il est à votre place et peut observer ou intervenir sans que vous vous en aperceviez grace aux fonctionnalités multi-tâches de Windows et a sa capacité de faire tourner des applications et services en arrière plan.

Comment suis-je infecté ? Comment un virus pénètre mon ordinateur ?Comment je me fais infecter ? Comment un virus pénètre mon ordinateur ?Comment suis-je infecté ? Comment un virus pénètre mon ordinateur ?

  1. Accès physique à l'ordinateur.
    Le plus simple est que quelqu'un ait un accès physique à l'ordinateur (vous-même, votre copain, votre copine, un employé, un technicien de surface, un détective privé, un parent, un enfant, un ami, le service de gardiennage, la maintenance technique etc. ...) et y installe le parasite. Il en est ainsi, par exemple, du virus le plus sophistiqué du monde, le virus StuxNet.

    Découvert le 17 juin 2010 par VirusBlockAda (VBA32), le virus StuxNet a réussi à pénétrer le réseau d'ordinateurs des infrastructures d'enrichissement d'uranium de l'Iran afin de corrompre les logiciels Siemens de pilotage des centrifugeuses nucléaires et les détruire. Pourtant, ce réseau n'est pas connecté à l'Internet. Le virus StuxNet a donc été déployé sur quelques dizaines de milliers de machines susceptibles d'être utilisées par des personnes qui ont un accès physique aux infrastructures nucléaires iraniennes. Il est admis que c'est un consultant russe qui aurait utilisé une clé USB (Risques et menaces liés aux clés USB) et fait pénétrer le virus StuxNet, à son corps défendant, dans le site de recherche nucléaire à des fins militaires de Natanz. Un millier de centrifugeuses aurait été détruit.

    Toutes les formes de parasites peuvent contaminer un ordinateur auquel quelqu’un a accès physique. Les clés USB sont un cauchemar sécuritaire (Risques et menaces liés aux clés USB) comme le furent les disquettes en leur temps (voir le § Histoire des Virus - 1982 - Elk Cloner dans l'Histoire des virus). Les Keyloggers, les Backdoors, les RAT - Remote Administration Tools, etc. ... absolument toutes les formes de virus et de malveillances peuvent vous infecter par là.

    • La personne qui accède à l'ordinateur peut être son propriétaire et utilisateur légitime. Cette personne a introduit sa clé USB (Risques et menaces liés aux clés USB) sur une autre machine, contaminée, a transporté le virus, et l’installe maintenant, sur sa machine. Ce même propriétaire peut, inconsciemment, installer un parasite après avoir été convaincu (Ingénierie Sociale) qu'il faisait tout à fait autre chose.

    • La personne qui accède à l'ordinateur peut être une personne malveillante ou une personne pilotée par un cybercriminel (un employé, un technicien de surface, un détective privé, un consultant externe, le service de gardiennage, la maintenance technique, etc. ...). Toute personne qui touche à un ordinateur dont les connections internet, les ports USB, SATA, etc. ..., les lecteurs, etc. ... ne sont pas désactivés / déconnectés, est susceptible de contaminer l’ordinateur.

    • La personne qui accède à l'ordinateur peut être, sans doute dans le pire des cas, l’ami plein d’enthousiasme (copain, copine, parent, enfant...) qui, plein d'assurance, vient faire une « manip » pour vous montrer un truc génial !

    C’est là que se dévoile l’une des plus utilisées des failles de sécurité : le virus PEBCAK.

  2. Abus de faiblesse
    Un bon discours, un bon texte ou une démonstration trompeuse vous a convaincu qu'un truc était absolument indispensable et que vous ne pouviez pas vivre sans. C'est ainsi que bon nombre de parasites sont installés alors que vous croyez installez, vous-même, une simple Barre d'outils (ToolBar) (elles sont totalement inutiles et, dans 99,999% des cas, espionnes et dangereuses (navigation falsifiée, moteur de recherche menteur, hijack, surveillance constante, etc. ...) dont vous êtes persuadé avoir besoin. De nombreux utilitaires de sécurité crapuleux, dont plusieurs embarquent, en sus, des parasites (agissent en Cheval de Troie ou Trojan) utilisent cette technique d'Ingénierie Sociale. Là aussi le problème est souvent le virus PEBCAK.

  3. Usage d'un Cheval de Troie (ou Trojan).
    L'usage du Cheval de Troie (ou Trojan) pour installer un parasite est la méthode la plus répandue et c'est vous-même qui êtes allé chercher le vecteur de l'infection. Par exemple, presque tous les KeyGen (générateur de clé pour logiciels piratés), les packs de CoDec, les Economiseurs d'écran (Screen Saver), les Downloader, etc. ... sont des Chevaux de Troie embarquant des charges actives (des attaques).

    Rappelez-vous du célèbre client de partage de fichiers KaZaA. C'est vous-même qui installiez KaZaA sur votre ordinateur : KaZaA ne venait pas tout seul s'installer. Mais KaZaA était le vecteur de très nombreux parasites dont un Downloader permettant d'installer encore d'autres parasites dans un système pyramidal. C'est un Cheval de Troie. Cette nécessité d'installer le Cheval de Troie (ou Trojan) pour que soient installées les parasites contenus est importante car elle dénote bien qu'un Cheval de Troie (ou Trojan) doit être installé pour pouvoir lâcher sa charge utile. Il y a donc une faille des mesures et procédures de sécurité et elles sont inefficaces ou l'agresseur possède une complicité à l'intérieur. On notera également, dans cette catégorie, qu'un Downloader en lui-même n'est pas malicieux. C'est ce qu'il télécharge et installe, sur lequel nous n'avons aucun contrôle, qui l'est.

  4. L'ouverture d'un courrier piégé
    Spam ou non, vous ne devez jamais ouvrir un courrier dont vous ne connaissez pas l'expéditeur et vous ne devez jamais cliquer sur un lien dans un courrier, spam ou non. Un tel courrier piégé peut être assimilé à un cheval de Troie. Vous devez être équipé d'un anti-spam et d'un antivirus.

  5. Usage d'un Faux (Fake ou Hoax)
    Il s'agit de faux ayant l'apparence du vrai. On les trouve surtout sur les réseaux de P2P où les parasites portent, simplement, le nom des programmes les plus convoités (un jeu...), des chansons les plus téléchargées etc. ... et dans le courrier électronique (spam ou non). Le Phishing est de cette nature.

  6. Exploitation d'une faille de sécurité.
    Cas plus rares, le parasite est installé automatiquement depuis Internet, en exploitant des failles de sécurité. Techniques plus complexes, comme le buffer-overflow, et avec l'aide d'un downloader... Une technique consiste, par exemple, pour attaquer un système bien protégé, à utiliser un sniffer sur une liaison entre cet ordinateur et un ordinateur externe moins bien protégé auquel le premier fait appel régulièrement (par exemple transmissions quotidiennes depuis une filiale vers une maison mère). Le sniffer permet de repérer, dans les en-têtes, l'identité et le type des fichiers transmis régulièrement. Il suffit alors de faire passer le parasite pour l'un de ces fichiers sur la machine faillible pour infester la machine cible.

  7. Usage de sites piégés.
    Les sites piégés malsains, que vous visitez, installent, "à l'insu de votre plein gré", grâce à l'usage de Contrôles ActiveX ou de langages de script exploitant des Failles de Sécurité, ou de Drive by Download, des parasites de toutes nature dont la prise de contrôle de l'ordinateur qui devient un Zombie dans un BotNet. Ils profitent d'un certain laxisme de votre part dans le réglage de votre navigateur (surtout Internet Explorer) en ce qui concerne l'acceptation des Contrôles ActiveX et des Scripts. L'un des pièges pour conduire les Scripts est l'usage d'images piégées dont les fameuses images invisibles, les Web Bugs.

  8. Usage d'une paire Binder - Dropper
    Le parasite est saucissonné (découpé) en un tas de petits bouts, chacun étant suffisamment anodin pour être indétectable, par un Binder. La fonction inverse, exercée par un Dropper, va assembler et recréer le parasite à partir des petits bouts à l'apparence anodine. Le problème, en amont, est que le Dropper et les petits bouts du parasite ont pénétré le système. Il y a donc, également, une faille de sécurité à chercher.

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Sécurité informatique - Contre-mesuresSécurité informatique - Contre-mesuresSécurité informatique - Contre-mesures

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

 Requêtes similairesRequêtes similaires" Requêtes similaires "