II.4.2.4. Backdoor
Littéralement appelé porte arrière est un
programme permettant à un pirate de contrôler un ordinateur
à distance. Ces programmes étant souvent installés par des
chevaux de Troie sont aussi souvent classés comme tel. Ils ont trois
caractéristiques variables qui sont :
· La taille : Plus un backdoor est petit, plus
il est facile d'être installé par un cheval de Troie, un virus, ou
un ver.
· Les fonctionnalités : Les
fonctionnalités minimales sont par exemple la possibilité de
transférer un fichier exécutable sur la machine infectée
et de l'exécuter. Ceci permet d'installer un backdoor plus complet
à partir d'un backdoor minimal. Les backdoors
Les plus évolués permettent d'exécuter des
commandes arbitraires en ligne, d'espionner le réseau, le clavier et
l'écran.
· Le mode de communication : Les backdoors les
plus classiques ouvrent simplement un port TCP ou UDP prédéfini
et attendent qu'un pirate distant se connecte pour leur transmettre des ordres.
Les backdoors plus évolués peuvent envoyer un message à
une adresse e-mail ou dans un système de conversation en ligne pour
signaler qu'ils sont prêts à recevoir des ordres. Ils peuvent
ainsi aussi communiquer l'adresse IP de la machine infectée et le port
sur lequel ils attendent les commandes. Dans ce cas, le port peut être
choisi aléatoirement, ce qui rend plus difficile la détection du
backdoor. Certains backdoors utilisent des moyens de communication plus
discrets comme par exemple des paquets ICMP de requêtes et de
réponse (Ping). Finalement, ces communications peuvent aussi être
chiffrées.
Parmi les backdoors les plus complets on trouve "Back Orifice
2000" développé par le Cult of the Dead Cow, NetBus de
Carl-Fredrik Neikter et Subseven de MobMan.
Ils contiennent toutes les options décrites plus haut, la
possibilité de créer des extensions modulaires (plug-ins) ainsi
que des outils pour créer un cheval de Troie qui va les installer.
| 
