Les Rootkits

Retrouvez tous nos articles sur notre Blog

Comme le nom l’indique, le rootkit est un kit composé de différents outils qui, avec les droits « root » (administrateur) d’une machine permet de récupérer toutes les informations utiles qui transitent sur cette machine. L’installation d’un rootkit nécessite des droits « administrateur » sur la machine. Cela signifie que le pirate doit initialement disposer d’un accès frauduleux, avec les droits du « root » afin de mettre en place son « rootkit ». Un rootkit ne permet pas en tant que tel de s’introduire de manière frauduleuse sur une machine saine.

Un rootkit est donc un ensemble de programmes qui permet au pirate de s’installer sur une machine et d’empêcher sa détection. La plupart du temps, il se compose d’un cheval de troie qui permet la mise en place d’une porte dérobée, d’un sniffer d’interface réseau pour intercepter les données qui transitent sur le réseau et d’un nettoyeur de fichier journal du système pour effacer ses traces et masquer son activité. Du fait de leur côté furtif, les rootkits sont difficilement détectables. Ainsi, la plupart ne se propagent pas ou ne ralentissent pas de manière visible la machine.

Connus depuis longtemps dans les environnements Unix ou Linux, où ils aident à automatiser des tâches d’administration sans porter de véritables menaces, le large déploiement des environnements Windows, où les utilisateurs travaillent la plupart du temps avec des droits administrateurs, en ont fait une attaque de choix et souvent méconnue.

Se rendre compte que l’on est infecté par un rootkit ou le détecter n’est pas évident.  Il opère au niveau du noyau (la plupart du temps chargé en tant que driver) et peut donc tromper à sa guise les programmes qui sont exécutés en mode utilisateur (antivirus, firewalls). En dehors des antivirus, il existe des utilitaires pouvant mettre en évidence la présence de rootkits. Les méthodes principales de détection s’appuient sur la faiblesse relative du rootkit : ce qu’il doit cacher pour perdurer dans le système.

La prévention reste cependant le moyen de protection le plus efficace : le rootkit ne peut s’installer que si une faille est présente, si les conditions sont réunies pour que son exploitation soit réussie et si elle permet un accès avec les droits administrateur. Donc pas de faille, pas de rootkit. Le meilleur moyen de se protéger des rootkit reste donc de se prémunir contre les failles !

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *