Un backdoor (ou porte dérobée) est un logiciel ou un morceau de code malveillant inséré dans un système pour permettre à un attaquant d’y accéder à distance, de façon discrète et persistante, sans passer par les canaux d’authentification normaux.
Il maintient le gain d’accès à un système après son intrusion en utilisant un programme malveillant dissimulé.
Le backdoor ouvre un accès par une entrée secrète permettant de contourner l’authentification normale.
Contrairement au rootkit, il ne cherche pas nécessairement à cacher sa propre présence au niveau système, mais il cache l’activité de l’attaquant (connexions, transferts de données, commandes).
Caractéristiques clés du backdoor
| Aspect | Détail |
|---|---|
| Objectif | Accès persistant et discret à un système |
| Mode de dissimulation | Utilise des ports légitimes (ex. : 443/HTTPS), imite du trafic normal, ou se loge dans des processus légitimes |
| Détection | Difficile : le trafic ressemble à du trafic légitime (ex. : faux service “Windows Update” qui communique avec un serveur C2) |
| Exemple concret | Un plugin WordPress compromis ouvre une “porte” : il exécute du code PHP à distance chaque fois qu’un paramètre caché est ajouté à l’URL. L’attaquant gère le site sans mot de passe. |
Différence avec un rootkit
| Backdoor | Rootkit | |
|---|---|---|
| Niveau d’accès | Souvent utilisateur ou application | Noyau (kernel) ou firmware |
| But principal | Accès à distance caché | Cacher la présence du malware ou de l’attaquant |
| Visibilité | Peut laisser des traces (fichiers, processus) | Masque activement fichiers, processus, logs |
| Complexité | Moins complexe, très répandu | Très technique, rare (attaques ciblées) |
Autres termes proches (à ne pas confondre)
- Trojan (cheval de Troie) : logiciel qui semble légitime mais contient une backdoor ou un spyware.
Ex. : un “outil de nettoyage” qui installe une porte dérobée. - Spyware : logiciel qui espionne (mots de passe, frappes clavier) et peut utiliser une backdoor pour exfiltrer les données.
- RAT (Remote Access Trojan) : un backdoor avancé avec interface graphique pour contrôler la machine à distance (souvent utilisé dans les attaques ciblées).
Synonyme : porte dérobée, trou de sécurité, compromission