Académique Documents
Professionnel Documents
Culture Documents
Définition :
Un RAT (Remote Administration Tool - Outil d'administration à distance) est un
programme permettant la prise de contrôle totale, à distance, d'un ordinateur
depuis un autre ordinateur. Il est constitué de deux parties : le "client" et le
"serveur". Le "client" est installé sur l'ordinateur de celui qui prend le contrôle et le
"serveur" est installé sur l'ordinateur contrôlé.
Description :
Grace à l'usage d'un RAT, une personne distante se retrouve dans une situation
totalement identique à ce qu'elle serait si elle était devant la machine contrôlée.
Son clavier devient le clavier de la machine distante, son écran devient l'écran de
la machine distante, sa souris devient la souris de la machine distante etc. ... sans
aucune limitation ni contrainte. Les seules limitations sont celles du profil du
compte sous lequel est lancée la partie "serveur" :
1. Terme admis :
Remote Administration Tool est le seul terme exact. Ses déclinaisons et
abréviations correctes sont:
Remote Administration Tools
Remote Admin Tool
Remote Admin Tools
RAT
RATs
4. Termes erronés
Remote Admin Trojan
Remote Admin Trojans
Remote Administration Trojan
Remote Administration Trojans
Remote Access Trojan
Remote Access Trojans
1. légitime lorsqu'une personne ou une société a donné son accord à une autre
personne ou une autre société pour prendre le contrôle à distance de son
ordinateur. Le cas le plus habituel est celui de la télémaintenance et du télé
diagnostique qu'une entreprise délègue à son fournisseur de produits et
services informatiques. Ce dernier peut intervenir bien plus rapidement et
efficacement en prenant le contrôle de l'ordinateur de son client sans quitter
ses bureaux et sans perdre de temps en déplacement, surtout si le client est à
plusieurs centaines ou milliers de kilomètres de là. Le serveur doit être lancé
au dernier moment, lorsque le fournisseur et prêt à prendre le contrôle. Le
serveur ne doit jamais rester en veille permanente. Il doit, en outre, n'être
activable que sur présentation d'un solide mot de passe renouvelé après
chaque intervention. Les droits du compte sous lequel la personne exerce sa
prise de contrôle à distance devraient être limités au stricte nécessaire et au
strict minimum (principe de moindre privilège).
Promovacances.com
Lastminute.com
Méthodes de diffusion du parasite
Opodo.fr
Mardi 20 nov 2018 1. Accès physique à l'ordinateur.
Ski-Planet
Le plus simple reste, tout de même, d'accéder physiquement à la machine
(vous-même, votre copain, votre copine, un employé, un technicien de Meubles.com
surface, un détective privé, un parent, un enfant, un ami, le service de
gardiennage, la maintenance technique etc. ...) et d'y installer le parasite. Ce MeilleurTaux.com
n'est probablement pas le cas pour les adwares mais ça l'est pour les
keyloggers, les backdoors, les Remote Admin Tools etc. ... La personne qui
accède à l'ordinateur peut même en être son utilisateur normal qui a été
manipulé et installe tout à fait inconsciemment le parasite après avoir été
convaincue qu'elle faisait tout à fait autre chose en installant cette disquette,
ce CD, etc. ... Il faut considérer cela comme une faille de sécurité (la première
faille de sécurité, la plus importante, se trouve souvent entre la chaise et le
clavier).
2. Abus de faiblesse
Un bon discours, un bon texte ou une démonstration trompeuse vous a
convaincu qu'un truc était absolument indispensable et que vous ne pouviez
pas vivre sans. C'est ainsi que bon nombre de parasites sont installés alors
que vous croyez installez, vous-même, une simple barre d'outils (ToolsBar)
dont vous êtes persuadé avoir besoin. De nombreux utilitaires de sécurités
crapuleux, dont plusieurs embarquent, en sus, des parasites (agissent en
Trojans) utilisent cette technique d'ingénierie sociale. Là aussi le problème est
souvent entre la chaise et le clavier.
Dès que le RAT est installé, la première chose qu'il fait est d'implanter un dispositif
lui permettant d'être lui-même lancé automatiquement chaque fois que
l'ordinateur est démarré. Il modifie pour cela la liste de démarrage et reste actif (à
l'écoute) tant que l'ordinateur est allumé. L'usage d'outils d'analyse de la liste de
démarrage de Windows peut aider.
Une fois actif, son souci est d'ouvrir une porte (il commence par se comporter
comme un Backdoor), toujours la même (il y en a 65.536 dans votre PC) puis de
rester à l'écoute en la maintenant ouverte chaque fois que vous vous connectez sur
le Net. Il utilise diverses méthodes de camouflage pour tenter de tromper les pare-
feux (firewall). Il n'émet absolument jamais rien de lui-même, il n'appelle jamais
(contrairement à ce qu'écrivent certains sites de sécurité) car ce serait le meilleur
moyen de se faire repérer et de se faire bloquer. En sus, s'il appelait, il devrait donc
appeler une adresse IP ou un serveur (un nom de domaine) donc il serait
immédiatement possible de savoir "à qui le crime profite".
1. Votre adresse IP est fixe. Le pirate va directement voir si vous êtes en ligne et
si le port sur lequel écoute le serveur de son RAT est ouvert. Le pirate
s'attaque donc à une cible choisie qui n'est pas celle de monsieur tout le
monde. En principe, l'internaute "lambda" que vous êtes n'est pas visé car
vous êtes "sans intérêt" (désolé pour votre ego). Tant que vous ne sortez pas la
tête hors de l'eau vous êtes noyé dans les millions d'adresses IP et c'est une
assez bonne planque.
Le pirate "protège son RAT" par un mot de passe. Une fois entré, il est à votre place
et peut observer ou intervenir sans que vous vous en apperceviez grace aux
fonctionnalités multi-tâches de Windows et a sa capacité de faire tourner des
applications et services en arrière plan.