You are currently viewing Cheval de Troie informatique : détecter, supprimer et se protéger

Cheval de Troie informatique : détecter, supprimer et se protéger

Cheval de Troie informatique : qu’est-ce que c’est, comment le détecter et s’en protéger ?

Un cheval de Troie informatique (trojan) est un logiciel malveillant qui se fait passer pour un programme légitime afin de tromper l’utilisateur et d’accéder à son système à son insu. Une fois installé, il peut voler des données, ouvrir une porte dérobée pour les cybercriminels, chiffrer des fichiers ou télécharger d’autres malwares. En 2025, les trojans représentent l’un des vecteurs d’attaque les plus répandus contre les entreprises françaises, souvent introduits via des e-mails de phishing ou des téléchargements frauduleux.

Qu’est-ce qu’un cheval de Troie et en quoi diffère-t-il d’un virus ou d’un ver ?

Un virus s’attache à un fichier existant et se reproduit en infectant d’autres fichiers. Un ver (worm) se propage seul sur un réseau en exploitant des vulnérabilités, sans intervention humaine. Un cheval de Troie ne se réplique ni ne se propage seul : sa caractéristique distinctive est la tromperie. Il se déguise en logiciel utile pour inciter l’utilisateur à l’installer volontairement, puis exécute ses actions malveillantes en arrière-plan.

Cette distinction est importante : l’utilisateur est complice involontaire de sa propre infection. Aucun système de sécurité périmétrique ne peut bloquer à 100 % un fichier qu’un utilisateur a délibérément téléchargé et exécuté.

Par quels vecteurs les chevaux de Troie infectent-ils un système ?

  • Le phishing par e-mail : vecteur numéro un. Un e-mail usurpe l’identité d’un partenaire ou d’un service public. La pièce jointe (facture PDF, document Word avec macro, archive ZIP) contient le trojan.
  • Les téléchargements frauduleux : logiciels piratés, cracks de jeux, faux outils système ou extensions de navigateur malveillantes.
  • Les supports physiques infectés : clés USB trouvées ou reçues lors d’un salon professionnel.
  • Les publicités malveillantes (malvertising) : la simple visite d’un site web compromis peut suffire si le navigateur n’est pas à jour (attaque drive-by download).
  • Les fausses mises à jour : imitent les notifications légitimes (Adobe Flash, Java, Windows) pour inciter à exécuter un fichier malveillant.

Quels sont les différents types de chevaux de Troie ?

Type Objectif Mode opératoire Exemples Cible
Backdoor Accès persistant à distance Ouvre un port caché, attend les connexions de l’attaquant Back Orifice, Gh0st RAT Toutes entreprises
RAT Contrôle total du poste Capture d’écran, keylogging, accès aux fichiers DarkComet, AsyncRAT Entreprises, institutions
Banker Vol de credentials bancaires Injecte du code dans le navigateur, intercepte les transactions Emotet, TrickBot, Zeus PME, services comptables
Dropper Installer d’autres malwares Premier point d’entrée discret qui télécharge ransomware ou spyware IcedID, Qakbot Toutes entreprises
Rootkit Trojan Persistance et dissimulation S’insère dans le noyau pour masquer sa présence aux antivirus ZeroAccess, TDSS Cibles à haute valeur

Quels sont les signes d’une infection par un cheval de Troie ?

  • Ralentissement inexpliqué du système (CPU/RAM consommés en arrière-plan)
  • Activité réseau anormale : trafic sortant vers des adresses IP inhabituelles, surtout la nuit
  • Processus inconnus dans le gestionnaire des tâches aux noms génériques ou imitant des processus système
  • Modifications système non autorisées : nouveaux programmes installés, paramètres de navigateur modifiés, proxy activé
  • Désactivation de l’antivirus : certains trojans désactivent ou contournent les protections existantes
  • Comportement erratique : fenêtres qui s’ouvrent seules, mouvements de souris non initiés (signe d’un RAT actif)
  • Alertes de votre banque : tentatives de connexion inhabituelles, virements non autorisés

Quels outils utiliser pour détecter un cheval de Troie ?

Les antivirus traditionnels (ESET, Bitdefender, Windows Defender) détectent les trojans connus grâce à leur base de signatures. Efficaces contre les menaces répertoriées, ils peuvent manquer les variantes récentes.

Les solutions EDR (CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint) analysent le comportement des processus en temps réel. Un processus tentant de modifier des clés de registre système ou d’établir une connexion sortante inhabituelle sera signalé, même sans signature connue.

L’analyse réseau (Zeek, Suricata, ou les fonctionnalités IPS d’un pare-feu moderne) détecte les communications entre le trojan et son serveur de commande et contrôle (C2) : connexions vers des domaines générés algorithmiquement, volumes de données sortantes anormaux.

Les outils spécialisés comme Malwarebytes Anti-Malware ou ESET Online Scanner sont utiles en complément pour un nettoyage ciblé ponctuel.

Comment supprimer un cheval de Troie étape par étape ?

Étape 1 — Isolation immédiate. Déconnectez la machine du réseau (câble Ethernet + Wi-Fi). Cela coupe la communication avec le serveur C2 et empêche la propagation latérale.

Étape 2 — Démarrage en mode sans échec. La plupart des trojans ne se chargent pas en mode Safe Mode, facilitant leur détection et suppression.

Étape 3 — Scan avec plusieurs outils. Scan complet avec votre antivirus principal, puis second scan avec Malwarebytes. La double analyse augmente le taux de détection.

Étape 4 — Suppression et quarantaine. Laissez les outils supprimer ou mettre en quarantaine les éléments détectés.

Étape 5 — Vérification des points de persistance. Utilisez Autoruns (Microsoft Sysinternals) pour inspecter clés de registre Run, tâches planifiées, services, extensions de navigateur.

Étape 6 — Changement de tous les mots de passe. Depuis un appareil sain, changez immédiatement les mots de passe de tous les comptes potentiellement exposés.

Étape 7 — Restauration ou réinstallation. Si un rootkit est suspecté, la réinstallation complète du système depuis un support certifié est la seule garantie d’élimination totale.

Quelles mesures de prévention mettre en place dans votre entreprise ?

  • Formation et sensibilisation des collaborateurs : sessions régulières sur la reconnaissance du phishing + simulations de phishing pour mesurer la vigilance.
  • Maintien à jour de tous les logiciels : OS, navigateurs, plugins. Automatisez les mises à jour quand c’est possible.
  • Antivirus/EDR sur tous les endpoints : chaque poste, serveur et appareil mobile doit être couvert avec supervision centralisée.
  • Restriction des droits administrateurs : principe du moindre privilège. Un trojan exécuté avec des droits limités cause beaucoup moins de dommages.
  • Filtrage des e-mails et des URL : passerelle de messagerie sécurisée (SEG) + proxy web filtrant les téléchargements à risque.
  • Segmentation du réseau : en cas d’infection, la propagation latérale est contenue à un segment limité.
  • Sauvegardes régulières (règle 3-2-1) : 3 copies, 2 supports différents, 1 hors site ou hors ligne.

Pour approfondir les bonnes pratiques de détection et de réponse aux incidents, consultez notre guide : sécurité informatique : les bonnes pratiques.

Quand faire appel à un professionnel de la cybersécurité ?

  • Le trojan résiste aux tentatives de suppression ou réapparaît (rootkit persistant)
  • Des données sensibles ou credentials ont été exfiltrés (notification RGPD obligatoire dans les 72h)
  • Des systèmes critiques (ERP, serveurs de production) sont compromis
  • L’infection semble s’être propagée à plusieurs postes ou serveurs
  • Une plainte auprès des autorités (ANSSI, police judiciaire) est envisagée

CityPassenger accompagne les PME et ETI dans la gestion de leurs incidents de sécurité et dans la mise en place de protections durables. Contactez les équipes CityPassenger pour un diagnostic de votre environnement.