S'il s'appelle Cheval de Troie, ce n'est pas pour rien. Comme les Grecs, dans l'œuvre d'Homère, qui se dissimulèrent dans un grand cheval en bois pour ensuite aller ouvrir les portes de la ville et permettre à l'armée entière de venir la piller, le hacker utilise un programme informatique qui semble inoffensif, voire anodin. Un récapitulatif de réunion, un planning important ou même la dernière vidéo de chat très très drôle qui circule sur Internet, son nom et sa description doivent donner envie de l'ouvrir et ainsi, de commettre la même erreur que les Troyens de la mythologie. Dans le cas de Bercy , il s'agissait d'un document PDF joint à un mail usurpant l'identité d'une personne de confiance.
Une fois le programme exécuté, il ne se passe pas grand chose pour l'utilisateur. Au mieux, il pourra effectivement admirer un chat jouer du piano. Mais c'est juste un leurre, car l'activité réelle du cheval de Troie est invisible : il va installer en douce un programme de contrôle à distance de l'ordinateur, parfois sommaire et dédié à une tâche unique, parfois beaucoup plus sophistiqué. Le premier cas est très répandu ; il s'agit de la constitution de ce qu'on appelle des réseaux botnet, ou zombie, où des milliers d'ordinateurs sont contrôlés par un même programme. Ce qui peut servir, par exemple, à l'envoi massif de spams en tout genre. Le botnet BredoLab, contrôlé depuis la Russie et démantelé en novembre 2010, contrôlait ainsi plus de trente millions d'ordinateurs et pouvait envoyer jusqu'à 3,6 milliards de spams par jour.
Mais les chevaux de Troie peuvent aussi installer de complexes logiciels de prise de contrôle à distance. Ceux-ci fonctionnent alors de manière cachée sur l'ordinateur infecté. Un utilisateur averti pourra, en allant vérifier dans la liste des programmes en cours d'exécution, repérer son existence, mais, pour le commun des mortels, c'est plus compliqué. Si le programme en question est développé spécifiquement et n'est pas répertorié par les antivirus, c'est même quasiment impossible. Et le hacker, depuis son ordinateur, pourra alors avoir accès à pratiquement tout ce qui est stocké sur la machine, et tout ce qui transite par elle. Il pourra par exemple voir en temps réel ce qui se passe sur l'écran de la victime, savoir quelles touches sont utilisées sur le clavier (utile pour récupérer les mots de passe), avoir accès à tout le contenu du disque dur, ou encore contrôler le pointeur de la souris.
Le plus célèbre logiciel de prise de contrôle pouvant être utilisé par un cheval de Troie s'appelle Back Orifice (ou Back Orifice 2000, son évolution), développé par le mythique groupe de hackers Cult of the Dead Cow (cDc). Back Orifice est présenté par ses créateurs comme un programme tout à fait respectable d'administration à distance. Ce type de logiciel est très courant et permet par exemple à un service informatique de venir en aide aux utilisateurs sans avoir à se promener partout physiquement. Mais les membres de cDc ont doté leur création de fonctionnalités plutôt suspectes, comme le fait de disparaître aux yeux du système d'exploitation, ou celui de contourner les protections mises en place par un firewall en utilisant les canaux de communications d'un navigateur web. Si Back Orifice est un logiciel libre téléchargeable très facilement, il est également reconnu (et interdit) par les antivirus les plus courants.
Il n'en est rien pour les chevaux de Troie développés spécifiquement pour des opérations particulières, comme celle de Bercy. Et ils sont, du coup, beaucoup plus difficile à détecter. Il faut que les équipes informatiques surveillent étroitement, et en permanence, toutes les communications suspectes sur leur réseau et vers Internet. Mais qu'est-ce qu'une communication suspecte ? Pas évident à déterminer de manière automatisée. Cela revient, en gros, à vouloir repérer une aiguille dans la production annuelle mondiale de foin. D’où la nécessité absolue pour les services de sécurité de partager leurs informations au niveau mondial. Une fois un programme repéré à un endroit, il doit disparaître de l’ensemble des réseaux sur lequel il s’est installé. Histoire de ne pas se faire larguer. Enfin, pas trop vite.