Arf, vaste sujet que tu ouvres là !
Une backdoor dans ipsec, si elle existe, serait plutôt dans l'implémentation des mécanismes cryptographiques (clefs faibles ?) ou un truc comme ça, qui permettrait à Eve d'écouter les discussions privées d'Alice et Bob, pas sur les équipements terminaux. Donc tu ne peux pas y faire grand chose, en tout cas pas le détecter (à moins de te plonger dans le code source de chacune des implémentations que tu utilises, ce qui n'a à priori jamais été fait depuis que l'information est sortie, c'est dire la volonté des types qui ne jure que par l'open source:D). Mais il me semble quand même que tout ça n'est vaste fumisterie destinée à alimenter le "bizness de la peur" (j'ai oublié comment on dit en vrai dans les médias IT)
Maintenant pour répondre à tes questions :
Je veux dire, y a bien un moment où il y a un transfert de données vers le réseau?
Dans le cas d'un keylogger ou équivalent, oui.
On peut "écouter" le traffic des différents ports, non?
Oui, plutôt avec un équipement externe du coup, un driver de carte réseau peut aussi être compromis pour ne montrer à un sniffer que ce qu'il a envie.
A moins qu'il y ait des ports qu'on ne puisse pas écouter?
Non, sauf dans le cas au dessus.
Au niveau des antivirus, comment ils détectent les chevaux de troie?
En gros, au doigt mouillé.
Il faut mettre à jour sa base de données virale, mais en quoi consiste-t-elle en fait?
Quand le doigt mouillé est tombé juste, c'est à dire 12 mois trop tard, ben les antivirus sont prêt à repérer des menaces obsolètes.
C'est à dire qu'ils vont repérer soit des séquences binaires reconnues comme faisant parties d'une menaces (en gros, quand un process s'exécute on vérifie que ce qui monte en mémoire n'a pas la séquence 0x23A2B4CD5F9E, typique du méchant virus), ou bien ce qui est téléchargé par le navigateur ou encore ce qui est lu/écrit sur les différents médias. Mais encore une fois, un antivirus peut être compromis, ou tout au moins trompé, donc même à jour et payé très cher, il faut lui donner une confiance toute relative (cf les posts de _o_ et la faq). Donc la paranoïa est très saine quand il s'agit d'internet.