Malware Trojan : définition, infection et suppression

Qu’est-ce qu’un Trojan en cybersécurité ?

Un Trojan est un malware qui se fait passer pour un programme utile afin d’être exécuté par l’utilisateur. Ensuite, il ouvre la voie au vol de données, au contrôle distant ou à d’autres charges malveillantes.

On parle souvent de « virus Trojan », mais la caractéristique principale n’est pas la réplication. Le Trojan repose sur la tromperie : installateur, document ou script apparemment légitime avec une action cachée.

Définition d’un Trojan et enjeu réel

Dans les incidents concrets, le Trojan est souvent la première étape d’une chaîne. Il installe la persistance, affaiblit les défenses et télécharge d’autres familles (stealers, ransomware, spyware, modules RAT).

Comment une infection Trojan démarre

Le schéma classique : ingénierie sociale, exécution utilisateur, persistance. Le fichier initial arrive via phishing, fausse mise à jour, installateur cracké, page SEO piégée ou publicité malveillante.

• Pièces jointes et liens de phishing : factures, alertes de compte, faux documents.
• Logiciels crackés et bundles : keygens, activateurs et repacks.
• Fausses mises à jour : pop-up navigateur/lecteur qui installe un loader.
• Scripts malveillants : JS/PS1/macros lancés via clic ou politique faible.

Types de Trojans les plus courants

• Trojan Downloader : installe d’autres familles et réduit la protection locale.
• Trojan Stealer : exfiltre identifiants navigateur, cookies et autofill.
• Trojan Bancaire : cible sessions et données de paiement.
• Trojan RAT : offre un contrôle distant de l’endpoint.
• Trojan Ransom : prépare puis déclenche le chiffrement des fichiers.
• Trojan Proxy/Bot : abuse de l’hôte pour spam, fraude ou rebond réseau.

Signaux d’alerte d’une compromission

• Modifications inattendues des politiques de sécurité ou protections désactivées.
• Nouveaux éléments de démarrage, tâches planifiées ou services inconnus.
• Connexions sortantes suspectes et pics de trafic au repos.
• Anomalies navigateur : déconnexions forcées, prompts inhabituels, extensions nouvelles.
• Dégradation nette des performances sans charge métier explicable.

Ces signes sont des indicateurs, pas une preuve finale. Une suppression fiable nécessite une vérification structurée.

Comment vérifier une infection suspectée

1. Évitez de saisir des identifiants sensibles et isolez les accès inutiles.
2. Lancez un scan complet avec signatures et heuristique à jour.
3. Contrôlez la persistance : démarrage, tâches, services, scripts, extensions.
4. Vérifiez les sessions navigateur et modifications récentes.
5. En entreprise : conservez les artefacts avant nettoyage agressif.

Workflow pratique de suppression (Windows)

1. Scanner : exécutez une analyse complète avec un outil fiable.
2. Contenir : mettez en quarantaine en priorité sur postes critiques.
3. Nettoyer : supprimez fichiers malveillants et points de persistance.
4. Redémarrer et rescanner : confirmez l’absence de résidus.
5. Rétablir la posture : rotation des mots de passe, révocation de sessions, patching.

Si plusieurs familles sont actives ou si un vol d’identifiants est probable, une réinstallation complète peut être plus sûre qu’un nettoyage partiel.

Comment prévenir les infections Trojan

• Téléchargez uniquement depuis les sources officielles des éditeurs.
• Bloquez ou contrôlez strictement macros et scripts.
• Appliquez le principe du moindre privilège sur les postes.
• Gardez OS, navigateurs et applications à jour.
• Utilisez une protection multicouche avec détection comportementale.
• Formez les utilisateurs au phishing et aux fausses mises à jour.

Activité récente des Trojans

Foire Aux Questions

References

• CISA StopRansomware : ressources de prévention et de réponse
• MITRE ATT&CK T1566 : Phishing (vecteur courant des trojans)
• MITRE ATT&CK T1204 : User Execution
• NIST SP 800-83 Rev.1 : prévention et gestion des incidents malware
• NCSC : arnaques de phishing et sensibilisation des utilisateurs