Le smart contract (ou « contrat
intelligent ») est un concept créé en 1993 par Nick Szabo un informaticien
américain. (iii)
Il s’agit en fait de programmes informatiques
autonomes, codés sur la blockchain et qui vont exécuter des tâches prédéfinies.
Malgré ce terme de « contrat intelligent », ce
n’est pas un contrat au sens juridique du terme et il n’est pas intelligent :
C’est en effet un code informatique qui va
servir à conclure et créer des contrats. Et son exécution se fera grâce aux
règles préprogrammées par celui qui l’a créé.
La partie « intelligente » du contrat fait
plutôt référence à sa capacité d’interagir de manière autonome avec d’autres
applications. (ii)
Les smart contracts permettent, en théorie, à
deux partenaires de nouer une relation commerciale sans qu’ils aient besoin de
se faire confiance au préalable, sans autorité ou intervention centrale : c’est
le système lui-même, et non ses agents, qui garantit l’honnêteté de la
transaction. (i)
Comment ça marche ?
Ils reposent donc sur un codage
informatique : ce sont des programmes qui encodent de manière formelle
certaines conditions et résultats ; ce code doit recevoir l’accord
préalable des parties contractantes. Les étapes sont les suivantes :
Traduction des termes du contrat
en code informatique : dans la mesure où les systèmes numériques sont
déterministes, toutes les issues possibles liées au contrat, dont notamment la
rupture et la décision de soumettre les litiges à un arbitre, doivent être
spécifiées explicitement.
Accord des parties sur le code qui
sera utilisé.
Exécution du code de manière
fidèle. (i)
Applications
Les applications peuvent être multiples et
variées :
Le leasing d’un véhicule (en cas
d’interruption du paiement et après plusieurs avertissements, le programme
gérant votre smart contract vous enlève le contrôle de la voiture) (iii) ;
Le domaine des assurances
(versement de dommages-intérêts à certaines conditions) ;
La gestion numérique des droits
d’auteur (paiement immédiat de ses droits à l’auteur en cas de téléchargement
de musique). (ii)
Ventes aux enchères.
Services financiers. (iii)
Une blockchain spécialement dédiée aux smart contracts
a été lancée en 2015 : Ethereum, présenté comme le « premier véritable
ordinateur global ». Ethereum fonctionne avec l’ether, une monnaie virtuelle
qui sert à payer l’exécution des smart contracts. (i)
Les avantages du recours à un smart
contract
Aucune possibilité d’influencer le
contrat.
Haute transparence, fiabilité et
sécurité.
Traitement rapide et économique
des transactions.
Contenu parfaitement clair du
contrat.
Prévisibilité du règlement.
Coûts des transactions faibles.
Déroulement via une infrastructure
globale. (iv)
Les limites du recours au smart contract
Nécessité d’une base de données
numériques et accès fortement restreint en dehors de la blockchain.
Aucune possibilité d’influencer le
contrat une fois codé.
Il est soumis à une logique de
transaction binaire et les problèmes de la vie courante sont généralement plus
complexes.
Pas de mécanisme prévu pour le
règlement des litiges.
Droit impératif. (iv)
Enfin un risque de fraude peut
exister : Le piratage en 2016 contre l’application TheDAO (The
Decentralized Autonomous Organisation) sur Ethereum pour un montant estimé à 50
millions d’USD à l’époque est un exemple parlant. Le hacker a utilisé une
vulnérabilité dans une fonction du contrat pour détourner un tiers de la somme
collectée en ethers. (ii)
Conclusion
Il reste, comme on le voit, encore de nombreux
défis à relever notamment au niveau du droit avant que le recours aux smart contracts
se généralise.
L’utilisation la plus courante d’un smart
contract est à l’heure actuelle le cas du smart contract précédé d’un contrat.
Il est alors utilisé comme un outil d’exécution avec comme avantages sa
fiabilité, son caractère automatisé, son efficacité et son absence
d’intermédiaire. De plus le recours aux smart contracts comme outil dans le but
de simplifier et automatiser l’exécution des contrats parait être une stratégie
adaptée à des contrats aux caractéristiques spécifiques et notamment contenant
des obligations simples. (ii)
Dans tous les cas, il sera primordial avant de
recourir à un smart contract d’analyser la situation juridique ainsi que le
contexte et de bien considérer les avantages et les limites actuels afin de
profiter pleinement de ce bel outil technologique.
Bibliographie
(i) Geiben Didier, Jean-Marie Olivier, Verbiest Thibault et Vilotte Jean-François, Bitcoin etBlockchain. Vers un nouveau paradigme de la confiance numérique ? RB Edition, 2016.
(ii) Caron Blaise, Müller Christoph, Hug Dario, 3ème journée des droits de la consommation et de la distribution : Blockchain et Smart Contracts – Défis juridiques, Université de Neuchâtel, Helbing Lichtenhahn, 2018.
(iii) Bussac Enée Bitcoin, Ether &, Cie – Guide pratique pour comprendre, anticiper et investir 2019, Dunod, 2018.
(iv) Glarner Andreas Introduction aux contrats intelligents (smart contracts) Journée de formation continue FSA Stade de Suisse à Berne, 31 août 2018. Disponible à l’adresse : https://www.sav-fsa.ch
Le cheval de Troie : un intrus malveillant qui cache bien son jeu
mardi 17 Mar 2020
Par Dounia Grolimund
Un phénomène inéluctable ?
Selon
une étude de l’Association of Internet
Security Professionals publiée en 2014, un constat, pour le moins
inquiétant, a mis en évidence une triste réalité pour les utilisateurs
quotidiens de tout système informatique. L’entité en question, chargée d’apporter
des pistes d’améliorations et de réponses en matière de cybersécurité pour les
entités des secteurs publics et privés, a dévoilé qu’un ordinateur sur trois
était infecté par un logiciel malveillant et que près du trois quarts de ces infections,
soit 73 %, découlaient d’un cheval de
Troie (Trojan horse en anglais)[1].
En
d’autres termes, ce pourcentage alarmant signifie que n’importe quel
utilisateur lambda est susceptible d’être confronté, au moins une fois dans sa sphère
privée ou professionnelle, à un cheval de
Troie ou tout autre logiciel malveillant pouvant engendrer de sinistres
ravages sur son ordinateur.
Considérés
comme les couteaux suisses du piratage selon les intentions criminelles de
leurs programmeurs[2],
les dégâts provoqués par les chevaux de
Troie ne sont pas à prendre à la légère étant donné leur utilité à diverses
fins malhonnêtes.
D’où l’importance de sensibiliser le public à ce malware de prédilection pour de nombreux cybercriminels[3] et d’adopter, au quotidien, les bons réflexes pour se protéger et détecter à temps la présence d’un cheval de Troie sur votre système informatique.
Qu’est-ce qu’un cheval de Troie ?
Au préalable, avant d’entrer dans
les détails, il paraît nécessaire de définir en quelques mots ce logiciel malintentionné
bien connu dans le monde informatique[4].
Un cheval de Troie est un programme malveillant caché dans un logiciel
d’apparence légitime et anodine qui s’infiltre dans votre système informatique
et agit à votre insu. Pour faire simple, il s’agit d’un logiciel caché dans un
autre qui permet à un pirate informatique d’avoir accès à votre ordinateur en
ouvrant une porte dérobée (backdoor en anglais)[5].
Bien que, dans la conscience collective, les chevaux de Troie sont souvent assimilés
comme étant des virus ou des vers, ceux-ci n’entrent pas dans l’une des
catégories précitées. Un virus est un infecteur de fichiers qui peut facilement
se dupliquer une fois qu’il a été exécuté au moyen d’un réseau Internet. Quant
au ver, il s’agit d’un type de malware semblable au virus mais, toutefois, ce
dernier n’a pas besoin de se propager dans un système informatique en se
greffant à un programme particulier[6].
Contrairement au virus informatique, le cheval de Troie n’a pas la capacité de se
répliquer et d’infecter des fichiers par lui-même. Il vise à infiltrer le
dispositif informatique d’un utilisateur vulnérable par le biais de différents
moyens[7].
Dans le jargon informatique, le cheval de Troie est un terme générique
utilisé pour désigner la distribution de malwares car il n’existe pas un seul
et unique type de cheval de Troie[8]. Employé
comme porte dérobée pour introduire d’autres programmes malveillants dans un
système informatique[9], le
cheval de Troie peut agir comme un
malware autonome ou un outil utilisé à d’autres fins dont notamment
l’exploitation de vulnérabilités[10].
La particularité des chevaux de Troie réside dans le fait que ceux-ci passent inaperçus en raison de leur apparence inoffensive. En effet, ils peuvent simplement s’installer dans votre ordinateur, créer des failles dans votre système de sécurité, recueillir des informations sur vous, prendre le contrôle de votre PC en vous empêchant d’y avoir accès ou encore vous espionner et voler vos mots de passe[11].
Autrement dit, les cybercriminels n’hésitent pas à
recourir aux chevaux de Troie pour
diffuser différentes menaces allant des rançongiciels (ransomware en anglais) qui
exigent une rançon pour déchiffrer les données prises en otage sur un
ordinateur aux logiciels espions (spywares en anglais) qui collectent les
données personnelles et financières des utilisateurs à leur insu[12].
Origine du terme et bref historique
Le nom « cheval
de Troie » est inspiré de l’Iliade, une célèbre légende de la Grèce
antique faisant référence à la conquête de la ville de Troie par les Grecs.
Pour pénétrer à l’intérieur de la cité connue pour être protégée par
d’imposantes fortifications, les conquérants grecs ont eu l’idée de construire
un immense cheval en bois dans le but d’y cacher un groupe de soldats[13].
En découvrant cet étalon de bois géant devant les
portes de leur ville, les Troyens, ignorant le stratagème des Grecs et étant
convaincus qu’il s’agissait d’une offrande, ont fait entrer ce
« cadeau » dans leur cité. Une fois la nuit tombée, les soldats
grecs, sortis de leur cachette, ont détruit la totalité de la ville de Troie et
massacré ses habitants[14].
La technique du cheval en bois employée par les
Grecs pour passer à travers les fortifications de la cité troyenne présente
donc de nombreuses similitudes avec ce logiciel malveillant utilisant en
quelque sorte un « déguisement » pour cacher ses véritables
intentions[15].
C’est en 1970 que Daniel J. Edwards, un chercheur
à la National Security Agency (NSA) invente le terme « cheval de Troie » pour désigner ce
malware[16]. Il
faudra, ensuite, attendre l’année 1974 pour voir ce mot apparaître pour la
première fois dans un rapport de l’US Air Force ayant pour thème l’analyse des
vulnérabilités dans les systèmes informatiques[17].
Concrètement, à quoi ressemble un cheval de
Troie ?
Au premier coup d’œil, il n’est pas toujours aisé d’identifier un cheval de Troie car celui-ci peut ressembler à n’importe quel programme à l’apparence saine. Il peut s’agir d’un logiciel, d’un jeu informatique gratuit téléchargé sur un site web non sécurisé ou encore d’une simple publicité essayant d’installer une fonctionnalité malveillante sur votre ordinateur[18].
Pour vous inciter à exécuter un cheval de Troie dans votre système, les pirates informatiques, font preuve d’imagination et ont recours à diverses techniques d’ingénierie sociale[19] en utilisant notamment un langage trompeur pour essayer de vous convaincre de leur légitimité, raison pour laquelle il est fortement déconseillé de télécharger des logiciels sur des plateformes peu sûres[20].
Les types de chevaux de Troie
Les chevaux
de Troie ont la spécificité d’être particulièrement polyvalents. C’est
pourquoi, il est difficile de donner une description précise de chaque type
même si la grande majorité d’entre eux sont généralement conçus pour prendre le
contrôle d’un système à l’insu de son utilisateur. Parmi les menaces les plus
courantes liées aux chevaux de Troie,
on peut citer[21] :
La
création de porte dérobée permettant un accès à distance dans un ordinateur.
L’espionnage
par le biais de logiciels espions qui attendent que l’utilisateur se connecte à
ses comptes en ligne pour saisir les données de sa carte bancaire (ex :
mot de passe).
La
transformation d’un ordinateur en zombie (botnet en anglais) lorsque le
cybercriminel prend son contrôle pour le rendre esclave d’un réseau.
Les
malwares qui installent d’autres programmes malveillants comme des rançongiciels
ou des enregistreurs de frappe du clavier.
Quelles sont les origines fréquentes des chevaux de
Troie ?
De nombreuses activités imprudentes peuvent être à
l’origine d’une infection par un cheval
de Troie. La liste ci-dessous donne un bref aperçu des méthodes d’infection
les plus connues[22] :
Connexion
d’un ordinateur à un périphérique externe infecté.
Ouverture
de pièces jointes infectées telles que des factures ou des reçus provenant d’un
e-mail louche où le simple fait de cliquer dessus lance un cheval de Troie.
Visite
de sites web peu fiables qui prétendent diffuser des films connus en direct.
Téléchargement
de programmes trafiqués, de jeux non payants et d’applications gratuites sur
des sites web non officiels.
Les applications peuvent-elles être aussi infectées
par des chevaux de Troie ?
Malheureusement oui, les chevaux de Troie peuvent aussi infecter des applications d’appareils mobiles. Le processus reste le même que pour les ordinateurs. Lorsqu’un utilisateur souhaite télécharger une application, le cheval de Troie se fait passer pour un programme inoffensif alors qu’il s’agit d’une contrefaçon remplie de malwares destinée à infecter son téléphone[23].
De
tels chevaux de Troie sont habituellement
cachés dans des boutiques d’applications pirates. Indépendamment des
informations volées sur votre téléphone, ces applications malicieuses peuvent
aussi générer des profits en vous envoyant des SMS payants[24].
Quant aux smartphones, ceux-ci ne sont, eux non
plus, pas égaux face aux chevaux de Troie.
Alors que les utilisateurs d’Android peuvent être victimes d’applications
infectées en allant simplement sur Google Play, les adeptes d’IPhone seraient
moins vulnérables à ces intrusions en raison des politiques restrictives d’Apple
pour autant que les usagers installent bien des applications provenant de l’App
Store. Évidemment, le risque zéro n’existe pas si d’autres programmes sont
téléchargés en dehors des paramètres d’Apple[25].
Comment se protéger ?
Pour éviter les chevaux de Troie, vous devez rester vigilants en adoptant certaines
bonnes pratiques. Indépendamment du pare-feu et de l’acquisition d’un bon
antivirus, les règles de sécurité suivantes sont vivement conseillées[26] :
Afficher
les paramètres par défaut de votre ordinateur de manière à toujours afficher les
extensions des applications.
Utiliser
des mots de passe robustes difficiles à casser.
Procéder
régulièrement à des analyses de diagnostic.
Éviter
d’ouvrir des pièces jointes issues d’e-mails suspects ou inhabituels.
Se
méfier des sites web douteux.
Veiller
à maintenir les logiciels de votre système d’exploitation et vos applications à
jour de façon à ce que les dernières mises à jour de sécurité soient installées
pour prévenir toute vulnérabilité.
Ainsi, au cas où votre ordinateur présenterait les
symptômes ci-dessous[27]…
Activité
inhabituelle de votre disque, de votre carte réseau ou de votre modem.
Arrêt
de manière répétée.
Ouverture
de programmes indépendamment de votre volonté.
Réactions
anormales de votre souris.
… n’hésitez pas à vous renseigner auprès d’un
spécialiste car votre ordinateur a de grandes chances d’être infecté par un logiciel
malveillant tel qu’un cheval de Troie.
Si vous ne réagissez pas suffisamment à temps, le cybercriminel derrière son
écran risque fort de vous jouer de mauvais tours et de mettre vos nerfs à rude
épreuve…
[2] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 23 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/
[3] REGAN, Joseph. AVG. Qu’est-ce qu’un cheval de Troie ? Est-ce un malware ou un virus ? Site AVG [en ligne]. Publié le 10 décembre 2019. [Consulté le 23 février 2020]. Disponible à l’adresse : https://www.avg.com/fr/signal/what-is-a-trojan
[6] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 25 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/
[7] ENJOY SAFER TECHOLOGY. Cheval de Troie. Site Enjoy Safer Technology. [en ligne]. Mis à jour en 2020. [Consulté le 25 février 2020]. Disponible à l’adresse : https://www.eset.com/cheval-de-troie/
[8] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 25 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/
[9] REGAN, Joseph. AVG. Qu’est-ce qu’un cheval de Troie ? Est-ce un malware ou un virus ? Site AVG [en ligne]. Publié le 10 décembre 2019. [Consulté le 25 février 2020]. Disponible à l’adresse : https://www.avg.com/fr/signal/what-is-a-trojan
[10] ENJOY SAFER TECHOLOGY. Cheval de Troie. Site Enjoy Safer Technology. [en ligne]. Mis à jour en 2020. [Consulté le 25 février 2020]. Disponible à l’adresse : https://www.eset.com/cheval-de-troie/
[11] REGAN, Joseph. AVG. Qu’est-ce qu’un cheval de Troie ? Est-ce un malware ou un virus ? Site AVG [en ligne]. Publié le 10 décembre 2019. [Consulté le 25 février 2020]. Disponible à l’adresse : https://www.avg.com/fr/signal/what-is-a-trojan
[12] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 25 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/
[13] ENJOY SAFER TECHOLOGY. Cheval de Troie. Site Enjoy Safer Technology. [en ligne]. Mis à jour en 2020. [Consulté le 26 février 2020]. Disponible à l’adresse : https://www.eset.com/cheval-de-troie/
[14] Par un-e employé-e de Symantec. NORTON. Malware : qu’est-ce qu’un cheval de Troie ? Malware 101 : what is a Trojan horse ? Site Norton. [en ligne]. Mis à jour en 2019. [Consulté le 26 février 2020]. Disponible à l’adresse : https://fr.norton.com/internetsecurity-malware-what-is-a-trojan.html
[15] ENJOY SAFER TECHOLOGY. Cheval de Troie. Site Enjoy Safer Technology. [en ligne]. Mis à jour en 2020. [Consulté le 26 février 2020]. Disponible à l’adresse : https://www.eset.com/cheval-de-troie/
[16] LIBRAIRIES DIGITAL CONSERVANCY. Oral history interview with Daniel J. Edwards. Charles Babbage Institute. Site Librairies Digital Conservacy. [en ligne]. Mis à jour en 2014. [Consulté le 26 février 2020]. Disponible à l’adresse : https://conservancy.umn.edu/handle/11299/162379
[17] ENJOY SAFER TECHOLOGY. Cheval de Troie. Site Enjoy Safer Technology. [en ligne]. Mis à jour en 2020. [Consulté le 26 février 2020]. Disponible à l’adresse : https://www.eset.com/cheval-de-troie/
[18] REGAN, Joseph. AVG. Qu’est-ce qu’un cheval de Troie ? Est-ce un malware ou un virus ? Site AVG [en ligne]. Publié le 10 décembre 2019. [Consulté le 27 février 2020]. Disponible à l’adresse : https://www.avg.com/fr/signal/what-is-a-trojan
[20] REGAN, Joseph. AVG. Qu’est-ce qu’un cheval de Troie ? Est-ce un malware ou un virus ? Site AVG [en ligne]. Publié le 10 décembre 2019. [Consulté le 27 février 2020]. Disponible à l’adresse : https://www.avg.com/fr/signal/what-is-a-trojan
[21] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 28 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/
[22] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 28 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/
[23] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 29 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/
[24] Par un-e employé-e de NortonLifeLock. NORTON. Malware : qu’est-ce qu’un cheval de Troie ? Malware 101 : what is a Trojan horse ? Site Norton. [en ligne]. Mis à jour en 2019. [Consulté le 29 février 2020]. Disponible à l’adresse : https://fr.norton.com/internetsecurity-malware-what-is-a-trojan.html
[25] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 29 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/
[26] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 1er mars 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/
La propagation du Coronavirus sur le globe et son traitement
médiatique génèrent un sentiment d’insécurité grandissant dans la population. Devant
les mesures extraordinaires promulguées par certains gouvernements et le
caractère exceptionnel de la situation, les citoyens peuvent devenir plus
crédules qu’à l’habitude. Ce climat est particulièrement propice à la
commission de fraudes et les escrocs le savent bien. Voici quelques exemples
autour du globe :
En France et en Italie, des malfaiteurs déguisés
en décontamineur se présentent aux portes de personnes à risque et leur
annoncent être envoyés pour décontaminer les habitations de la région. Ils demandent
ensuite aux résidents d’évacuer leur propre logement pendant une ou deux heures
et profitent de leur absence pour dérober leurs biens de valeur.
La société américaine Amazon a retiré de son
site plus d’un million de produits frauduleux liés au virus (masques, solutions
désinfectantes, médicaments, etc.). Ces produits étaient faux ou dangereux.
L’Organisation mondiale de la santé (OMS) met en garde contre des courriels frauduleux invoquant une urgence liée au virus. La victime est invitée à ouvrir une pièce jointe altérée, à cliquer sur un lien qui s’avère corrompu ou encore à donner des informations personnelles.
Au Royaume-Uni, plus de 800’000 livres sterling
ont été perdues à cause d’escroqueries liées à la vente fictive de masques. Les
victimes ont acheté des masques en ligne pour des prix excessifs, mais la
marchandise n’est jamais arrivée.
Des courriels de fausses levées de fonds sont
envoyés au nom d’organisations mondiales ou nationales (OMS, ou CDC aux
Etats-Unis par exemple) en vue d’amasser de l’argent pour combattre le virus.
Certains fraudeurs profitent du Coronavirus pour
mettre sur pieds des techniques d’ingénierie sociale et obtenir des
informations sur leurs cibles. Il peut s’agir d’appels téléphoniques non
sollicités pour vendre des masques faciaux, ou encore des courriels qui
proposent à la personne ou à l’entreprise contactée de connaître les cas
diagnostiqués dans la région.
En Italie, la police enquête sur des fraudeurs
qui vendent du matériel sanitaire non conforme ainsi que des remèdes
« miracles » à des prix exorbitants. Les ventes se font en ligne,
mais également par téléphone et à domicile.
Au-delà des précautions sanitaires, n’oubliez pas de garder
vos cerveaux actifs et vigilants !