Rat - Remote Administration Tool - Définition
Un RAT (Remote Administration Tool - Outil d'administration à distance) est un programme permettant la prise de contrôle totale, à distance, d'un ordinateur depuis un autre ordinateur. Il est constitué de deux parties : le « client » et le « serveur ». Le « client » est installé sur l'ordinateur de celui qui prend le contrôle et le « serveur » est installé sur l'ordinateur contrôlé.
Rat - Remote Administration Tool - Description
Grace à l'usage d'un
RAT (Remote Administration Tool), une personne distante se retrouve dans une situation totalement identique à ce qu'elle serait si elle était devant la machine contrôlée. Son clavier devient le clavier de la machine distante, son écran devient l'écran de la machine distante, sa souris devient la souris de la machine distante etc. ... sans aucune limitation ni contrainte. Les seules limitations sont celles du profil du compte sous lequel est lancée la partie " serveur ", sur la machine contrôlée :
- sous un compte "Administrateur", la personne distante à les droits les plus étendus sur la machine contrôlée
- sous un compte "Utilisateur Limité", la personne distante est limitée aux droits du compte sur la machine contrôlée.
La personne distante peut être à des centaines ou des milliers de kilomètres de la machine contrôlée. On conçoit donc que les
RAT (Remote Administration Tool) puissent être de formidables outils de télémaintenance, mais aussi constituer des agressions de la plus extrême gravité.
Rat - Remote Administration Tool - Alias (autres noms)
Diverses erreurs d'usage et de transcription créent une grande confusion :
- Terme admis :
Remote Administration Tool est le seul terme exact. Ses déclinaisons et abréviations correctes sont:
Remote Administration Tools
Remote Admin Tool
Remote Admin Tools
RAT
RATs
- Termes erronés désignant d'autres classes de produits totalement différentes
- Cheval de Troie
Lui et tous ses synonymes et déclinaisons (trojan, trojans, troyen, troyens, trojan horse, trojan horses, cheval de Troie, chevaux de Troie et toutes les orthographes de la ville de Troyes...) sont des termes employés à tort et à travers qui ne doivent jamais désigner un RAT (Remote Administration Tool).
- Backdoor
L'emploi de ce terme est totalement faux (bien que certains Backdoor sophistiqués puissent contenir des fonctionnalités d'un RAT (Remote Administration Tool)). Il est vrai, par contre, que la partie "serveur" d'un RAT (Remote Administration Tool), sur la machine contrôlée, comporte obligatoirement le maintiend d'un port ouvert, comme le fait un Backdoor.
- Termes admissibles à la rigueur
Remote access tool
Remote access tools
Termes admissibles à la rigueur mais il faut préférer le terme réel de "Remote Administration Tool"
- Termes erronés
Remote Admin Trojan
Remote Admin Trojans
Remote Administration Trojan
Remote Administration Trojans
Remote Access Trojan
Remote Access Trojans
- Classification erronée en RATs
Une erreur fréquente est faite à propos d'une classe spécifique de produits : les Keyloggers ne sont pas des RATs - il ne s'agit pas de prise de contrôle mais d'espionnage.
Est-ce qu'un RAT est un produit légitime ou illégitime ?
Un peut êtreRAT (Remote Administration Tool)
- Légitime lorsqu'une personne ou une société a donné son accord à une autre personne ou une autre société pour prendre le contrôle à distance de son ordinateur. Le cas le plus habituel est celui de la télémaintenance et du télé diagnostique qu'une entreprise délègue à son fournisseur de produits et services informatiques. Ce dernier peut intervenir bien plus rapidement et efficacement en prenant le contrôle de l'ordinateur de son client sans quitter ses bureaux et sans perdre de temps en déplacement, surtout si le client est à plusieurs centaines ou milliers de kilomètres de là. Le serveur doit être lancé au dernier moment, lorsque le fournisseur et prêt à prendre le contrôle. Le serveur ne doit jamais rester en veille permanente. Il doit, en outre, n'être activable que sur présentation d'un solide mot de passe renouvelé après chaque intervention. Les droits du compte sous lequel la personne exerce sa prise de contrôle à distance devraient être limités au stricte nécessaire et au strict minimum (principe de moindre privilège).
- Illégitime lorsqu'il a été implanté à l'insu de l'utilisateur. C'est un cheval de Troie qui a probablement servi à le véhiculer et l'implanter ou une personne qui a accès physiquement à l'ordinateur. Dans les 2 cas il y a, outre la malveillance introduite, une faille de sécurité quelque part qui a permis son installation.
Rappel : un RAT introduit à l'insu de l'utilisateur est un moyen par lequel une personne pénètre et se maintiend dans un système de traitement de l'information. Il faut immédiatement porter plainte au titre de la loi dite "Godfrain".
Rat commerciaux et Rat de pirates et cybercriminels
Un
RAT peut être
- Un produit commercial, comme :
- le célèbre PC-AnyWhere
- le célèbre TeamViewer (gratuit, sans restriction, pour un usage non commercial)
- Un produit de pirates et cybercriminels dédié à la malveillance. Certains sont excellents et sont devenus des produits commerciaux. Une liste de plus de 4000 RATs. Les plus connus sont :
- SubSeven
- NetBus
Un RAT commercial s'installe là où on lui dit de s'installer, sous le nom que nous lui connaissons, et ne s'active qu'à notre demande.
Un RAT hostile s'installe furtivement dans un répertoire où il a peu de chance d'être repéré de visu par un utilisateur courant : par exemple les immenses répertoires système contenant des milliers de fichiers exécutables aux noms barbares et inconnus. Certains sont tellement furtifs que même en utilisant le gestionnaire de tâches (la combinaison de touches alt-ctrl-sup) ils n'apparaissent pas dans la liste des tâches actives ou, s'ils apparaîssent, c'est sous des noms qui ne retiendront pas l'attention.
Dès que le RAT hostile est installé, la première chose qu'il fait est d'implanter un dispositif lui permettant d'être lui-même lancé automatiquement chaque fois que l'ordinateur est démarré. Il modifie pour cela la liste de démarrage et reste actif (à l'écoute - il se comporte comme un Backdoor), en maintenant un port de communication ouvert tant que l'ordinateur est allumé. L'usage d'outils d'analyse de la liste de démarrage de Windows peut aider.
Il utilise diverses méthodes de camouflage pour tenter de tromper les pare-feu (firewall). Il n'émet absolument jamais rien de lui-même, il n'appelle jamais (contrairement à ce qu'écrivent certains sites de sécurité) car ce serait le meilleur moyen de se faire repérer et de se faire bloquer. En sus, s'il appelait, il devrait donc appeler une adresse IP ou un serveur (un nom de domaine) donc il serait immédiatement possible de savoir « à qui le crime profite ».
Le pirate, depuis sa machine « cliente », va tenter de trouver et « réveiller » son « serveur ». Il scanne donc toutes les adresses IP (l'intervalle d'adresses IP) sur lesquelles il a tenté d'implanter son RAT et va disposer à sa guise de toutes celles où son attaque a réussi.
Une fois entré, il est à votre place et peut observer ou intervenir sans que vous vous en aperceviez grace aux fonctionnalités multi-tâches de Windows et a sa capacité de faire tourner des applications et services en arrière plan.