Assiste 

; Risques ; Solutions ; Vie privée ; Tutos & FAQs ; Outils gratuits ; Télécharger ; Liens ; Chercher ; Donations ;

RAT (Remote Administration Tool -

Outil d'administration à distance)
RAT (Remote Administration Tool - Outil
d'administration à distance)

En savoir plus :          

   

Liste des RATs hostiles

Liste des RATs commerciaux
Liste des Backdoors
Liste de ports les plus utilisés par les RATs
Anti-Rats

 
 
Définition :
Un RAT (Remote Administration Tool - Outil d'administration à distance) est un
programme permettant la prise de contrôle totale, à distance, d'un ordinateur
depuis un autre ordinateur. Il est constitué de deux parties : le "client" et le
"serveur". Le "client" est installé sur l'ordinateur de celui qui prend le contrôle et le
"serveur" est installé sur l'ordinateur contrôlé.

Description :
Grace à l'usage d'un RAT, une personne distante se retrouve dans une situation
totalement identique à ce qu'elle serait si elle était devant la machine contrôlée.
Son clavier devient le clavier de la machine distante, son écran devient l'écran de
la machine distante, sa souris devient la souris de la machine distante etc. ... sans
aucune limitation ni contrainte. Les seules limitations sont celles du profil du
compte sous lequel est lancée la partie "serveur" :

sous un compte "Administrateur", la personne distante à tous les droits les

plus étendus sur la machine contrôlée
sous un compte "Utilisateur Limité", la personne distante est limitée aux
droits du compte limité sous lequel est lancé le serveur

La personne distante peut être à des centaines ou des milliers de kilomètres de la

machine contrôlée. On conçoit donc que les RAT puissent constituer des agressions
de la plus extrême gravité.

Autres noms (alias) :

Diverses erreurs d'usage et de transcription créent une grande confusion :

1. Terme admis :
 Remote Administration Tool est le seul terme exact. Ses déclinaisons et
abréviations correctes sont:
Remote Administration Tools
Remote Admin Tool
Remote Admin Tools
RAT
RATs

2. Termes erronés désignant d'autres classes de produits totalement différentes

Trojan et tous ses synonymes et déclinaisons (trojans, troyen, troyens,
trojan horse, trojan horses, cheval de Troie, chevaux de Troie et toutes
les orthographes de la ville de Troyes...) sont des termes employés à tort
et à travers qui ne doivent jamais désigner un RAT. Un Trojan n'est pas
un RAT.
Backdoor L'emploi de ce terme est totalement faux (bien que certains
Backdoor sophistiqués puissent contenir des fonctionnalités d'un RAT). Il
est vrai, par contre, qu'un RAT (sa partie "serveur" sur la machine
contrôlée) comporte obligatoirement un Backdoor.
3. Termes admissibles à la rigueur
Remote access tool
Remote access tools
Termes admissibles à la rigueur mais il faut préférer le terme réel de "Remote
Administration Tool"

4. Termes erronés
Remote Admin Trojan
Remote Admin Trojans
Remote Administration Trojan
Remote Administration Trojans
Remote Access Trojan
Remote Access Trojans

5. Classification erronée en RATs

Une erreur fréquente est faite à propos d'une classe spécifique de produits :
les Keyloggers ne sont pas des RATs - il ne s'agit pas de prise de contrôle mais
d'espionnage.

Est-ce qu'un RAT est un produit légitime ou illégitime ?

Un RAT peut être

1. légitime lorsqu'une personne ou une société a donné son accord à une autre
personne ou une autre société pour prendre le contrôle à distance de son
ordinateur. Le cas le plus habituel est celui de la télémaintenance et du télé
diagnostique qu'une entreprise délègue à son fournisseur de produits et
services informatiques. Ce dernier peut intervenir bien plus rapidement et
efficacement en prenant le contrôle de l'ordinateur de son client sans quitter
ses bureaux et sans perdre de temps en déplacement, surtout si le client est à
plusieurs centaines ou milliers de kilomètres de là. Le serveur doit être lancé
au dernier moment, lorsque le fournisseur et prêt à prendre le contrôle. Le
serveur ne doit jamais rester en veille permanente. Il doit, en outre, n'être
activable que sur présentation d'un solide mot de passe renouvelé après
chaque intervention. Les droits du compte sous lequel la personne exerce sa
prise de contrôle à distance devraient être limités au stricte nécessaire et au
strict minimum (principe de moindre privilège).

2. illégitime lorsqu'il a été implanté à l'insu de l'utilisateur. C'est un Trojan qui a

probablement servi à le véhiculer et l'implanter ou une personne qui a accès
physiquement à l'ordinateur. Dans les 2 cas il y a, outre la malveillance
introduite, une faille de sécurité quelque part qui a permis son installation.
 Rappel : un RAT introduit à l'insu de l'utilisateur est un moyen par lequel une
personne pénètre et se maintiend dans un système de traitement de
l'information. Il faut immédiatement porter plainte au totre de la loi dite
"Godfrain".

RATs commerciaux et RATs de pirates

Un RAT peut être

1. Un produit commercial, comme le célèbre PC-AnyWhere - Voici une petite

liste de RATs commerciaux.

2. Un produit de pirates dédié à la malveillance. Certains sont excellents et sont

Fnac
devenus des produits commerciaux. Une liste de plus de 4000 RATs hostiles.
Les plus connus sont : PIXmania
SubSeven
NetBus PriceMinister

Promovacances.com

Lastminute.com
Méthodes de diffusion du parasite
Opodo.fr
Mardi 20 nov 2018 1. Accès physique à l'ordinateur.
Ski-Planet
Le plus simple reste, tout de même, d'accéder physiquement à la machine
(vous-même, votre copain, votre copine, un employé, un technicien de Meubles.com
surface, un détective privé, un parent, un enfant, un ami, le service de
gardiennage, la maintenance technique etc. ...) et d'y installer le parasite. Ce MeilleurTaux.com
n'est probablement pas le cas pour les adwares mais ça l'est pour les
keyloggers, les backdoors, les Remote Admin Tools etc. ... La personne qui
accède à l'ordinateur peut même en être son utilisateur normal qui a été
manipulé et installe tout à fait inconsciemment le parasite après avoir été
convaincue qu'elle faisait tout à fait autre chose en installant cette disquette,
ce CD, etc. ... Il faut considérer cela comme une faille de sécurité (la première
faille de sécurité, la plus importante, se trouve souvent entre la chaise et le
clavier).

2. Abus de faiblesse
Un bon discours, un bon texte ou une démonstration trompeuse vous a
convaincu qu'un truc était absolument indispensable et que vous ne pouviez
pas vivre sans. C'est ainsi que bon nombre de parasites sont installés alors
que vous croyez installez, vous-même, une simple barre d'outils (ToolsBar)
dont vous êtes persuadé avoir besoin. De nombreux utilitaires de sécurités
crapuleux, dont plusieurs embarquent, en sus, des parasites (agissent en
Trojans) utilisent cette technique d'ingénierie sociale. Là aussi le problème est
souvent entre la chaise et le clavier.

3. Usage d'un trojan.

L'usage du Cheval de Troie ou Trojan pour installer un parasite est la méthode
la plus répandue et c'est vous-même qui êtes allé chercher le vecteur
(probablement un programme "gratuit" ou "freeware" ou "shareware") de
l'infection et avez procédé à son rapatriement (téléchargé ou copié depuis un
CD-ROM etc. ...) et à son installation. Par exemple, c'est vous-même qui
installez KaZaA sur votre ordinateur : KaZaA ne vient pas tout seul s'installer.
Mais KaZaA est le vecteur de très nombreux parasites dont un downloader
permettant d'installer encore d'autres parasites dans un système pyramidal.
C'est un trojan. Cette nécessité d'installer le trojan pour que soient installées
les parasites contenus est importante car elle dénote bien qu'un trojan doit
être installé pour pouvoir lâcher sa charge active. Il y a donc une faille des
mesures et procédures de sécurité et elles sont inefficaces ou l'agresseur
 possède une complicité à l'intérieur.

4. L'ouverture d'un courrier piégé

Spam ou non, vous ne devez jamais ouvrir un courrier dont vous ne
connaissez pas l'expéditeur et vous ne devez jamais cliquer sur un lien dans
un courrier, spam ou non. Un tel courrier piégé peut être assimilé à un cheval
de Troie. Vous devez être équipé d'un anti-spam et d'un antivirus.

5. Usage d'un Fake ou Hoax

Il s'agit de faux ayant l'apparence du vrai. On les trouve surtout sur les
réseaux de P2P où les parasites portent, simplement, le nom des programmes
les plus convoités (un jeu...), des chansons les plus téléchargées etc. ... et dans
le courrier électronique (spam ou non). Le phishing est de cette nature.

6. Usage d'une faille de sécurité.

Cas plus rares, le parasite est installé automatiquement depuis Internet, en
exploitant des failles de sécurité. Techniques plus complexes comme le buffer-
overflow et avec l'aide d'un downloader... Une technique consiste, par
exemple, pour attaquer un système bien protégé, à utiliser un sniffer sur une
liaison entre cet ordinateur et un ordinateur externe moins bien protégé
auquel le premier fait appel régulièrement (par exemple transmissions
quotidiennes depuis une filiale vers une maison mère). Le sniffer permet de
repérer, dans les en-têtes, l'identité et le type des fichiers transmis
régulièrement. Il suffit alors de faire passer le parasite pour l'un de ces
fichiers sur la machine faillible pour infester la machine cible.

7. Usage de sites piégés.

Les sites piégés malsains que vous visitez installent "à l'insu de votre plein
gré", grâce à l'usage de contrôles ActiveX ou de langages de script, des
parasites de toutes nature. Ils profitent d'un certain laxisme de votre part
dans le réglage de votre navigateur (surtout Internet Explorer) en ce qui
concerne l'acceptation des ActiveX et des scripts. L'un des pièges pour
conduire les scripts est l'usage d'images piégées dont les fameuses images
invisibles, les WebBugs.

8. Usage d'un binder

Le parasite est saucissonné (découpé) en un tas de petits bouts, chacun étant
suffisamment anodin pour être indétectable. Le binder va assembler et créer
le parasite à partir de petits bouts à l'apparence anodine. Le problème, en
amont, est que le binder et les petits bouts du parasite ont pénétré le système.
Il y a donc, également, une faille de sécurité à chercher.

Fonctionnement d'un RAT

Un RAT commercial s'installe là où on lui dit de s'installer et sous un nom que nous
lui connaissons. Un RAT hostile s'installe furtivement dans un répertoire où il a peu
de chance d'être repéré de visu par un utilisateur courant : par exemple les
immenses répertoires système contenant des milliers de fichiers exécutables aux
noms barbares et inconnus. Certains sont tellement furtifs que même en utilisant le
gestionnaire de tâches (la combinaison de touches alt-ctrl-sup) il n'apparaît pas
dans la liste des tâches actives ou, s'il apparaît, c'est sous un nom qui ne retiendra
pas l'attention.

Dès que le RAT est installé, la première chose qu'il fait est d'implanter un dispositif
lui permettant d'être lui-même lancé automatiquement chaque fois que
l'ordinateur est démarré. Il modifie pour cela la liste de démarrage et reste actif (à
l'écoute) tant que l'ordinateur est allumé. L'usage d'outils d'analyse de la liste de
démarrage de Windows peut aider.

Une fois actif, son souci est d'ouvrir une porte (il commence par se comporter
comme un Backdoor), toujours la même (il y en a 65.536 dans votre PC) puis de
rester à l'écoute en la maintenant ouverte chaque fois que vous vous connectez sur
le Net. Il utilise diverses méthodes de camouflage pour tenter de tromper les pare-
feux (firewall). Il n'émet absolument jamais rien de lui-même, il n'appelle jamais
(contrairement à ce qu'écrivent certains sites de sécurité) car ce serait le meilleur
moyen de se faire repérer et de se faire bloquer. En sus, s'il appelait, il devrait donc
appeler une adresse IP ou un serveur (un nom de domaine) donc il serait
immédiatement possible de savoir "à qui le crime profite".

Le pirate, depuis sa machine "cliente", va tenter de trouver et "réveiller" son

"serveur". Il appelle donc une adresse IP sur le port de son serveur. Deux
possibilités s'offrent à lui pour avoir cette adresse IP:

1. Votre adresse IP est fixe. Le pirate va directement voir si vous êtes en ligne et
si le port sur lequel écoute le serveur de son RAT est ouvert. Le pirate
s'attaque donc à une cible choisie qui n'est pas celle de monsieur tout le
monde. En principe, l'internaute "lambda" que vous êtes n'est pas visé car
vous êtes "sans intérêt" (désolé pour votre ego). Tant que vous ne sortez pas la
tête hors de l'eau vous êtes noyé dans les millions d'adresses IP et c'est une
assez bonne planque.

2. Votre adresse IP est dynamique, affectée à chaque connexion. C'est le cas de

monsieur tout le monde. Le pirate utilise tout d'abord un scanner d'adresses
IP et de ports afin de trouver, adresse par adresse, si son RAT est à l'écoute.
Dans ce cas, le pirate s'attaque à une cible au hasard. Plusieurs pirates
peuvent tomber sur le même backdoor.

Le pirate "protège son RAT" par un mot de passe. Une fois entré, il est à votre place
et peut observer ou intervenir sans que vous vous en apperceviez grace aux
fonctionnalités multi-tâches de Windows et a sa capacité de faire tourner des
applications et services en arrière plan.

Nouvelle adresse du site Assiste.com

depuis le 22 octobre 2012 :
http://assiste.com

Information sur le document original

© Pierre Pinard et Assiste.com - 1999 - 2012. Ce document, intitulé «  rat remote
 administration tool  », dont l'url est « 
http://assiste.com.free.fr/p/abc/a/rat_remote_administration_tool.html  », est
extrait de l'encyclopédie de la sécurité informatique « http://assiste.com ». Il est
mis à votre disposition selon les termes de licence « Creative Commons » qui
s'imposent à vous. Vous avez le droit de copier et modifier la copie de cette page
dans les conditions fixées par cette licence et tant que cette note est reproduite
intégralement et apparaît clairement dans la copie ou la copie modifiée. Lire les
conditions de la licence. Toutes les marques citées appartiennent à leurs
propriétaires respectifs. Le principe d'absence de responsabilité du site d'origine
(Assiste.com) au regard des contenus des sites cibles pointés est rappelé par l'arrêt
du 19 septembre 2001 de la Cour d'Appel de Paris. Les propos que je tiens ici
reflètent mon opinion et sont des suggestions - le visiteur n'est pas obligé de les
suivre. Ce site utilise Google Analytics - voir leur clause "Vie privée".

 Vie et maintenance du site

Vous avez trouvé de l'aide ? Ces pages vous ont été utiles ? Soutenez le site par une
donation.

     

Historique des révisions de ce document :

Proposer une révision, une correction, un complément, faire un feedback

Historique
 
Rédigé en écoutant :
      
Music