Les rootkits peuvent être désignés comme la forme de code malveillant (malware) la plus sophistiquée sur le plan technique et l’une des plus difficiles à détecter et à éliminer. De tous les types de programmes malveillants, les virus et les vers ont probablement la plus grande publicité car ils sont généralement répandus. On sait que de nombreuses personnes ont été affectées par un virus ou un ver, mais cela ne signifie en aucun cas que les virus et les vers soient le programme malveillant le plus destructeur. Il existe des types de logiciels malveillants plus dangereux car, en règle générale, ils fonctionnent en mode furtif, sont difficiles à détecter et à supprimer et peuvent rester inaperçus pendant de très longues périodes. Ils obtiennent l'accès en silence, volent des données et modifient les fichiers sur la machine de la victime. .
Les rootkits sont un exemple d’un tel ennemi furtif: un ensemble d’outils pouvant remplacer ou modifier les programmes exécutables, ou même le noyau du système d’exploitation lui-même, afin d’obtenir un accès administrateur au système, qui peut être utilisé pour l’installation. logiciels espions, enregistreurs de frappe et autres outils malveillants. Essentiellement, un rootkit permet à un attaquant d'obtenir un accès complet sur la machine de la victime (et éventuellement sur l'intégralité du réseau auquel cette machine appartient). Le vol du code source du moteur de jeu Half-Life 2: Source de Valve est l’une des utilisations connues d’un rootkit causant des pertes / dommages importants.
Les rootkits ne sont pas une nouveauté. Ils existent depuis des années et sont connus pour avoir utilisé divers systèmes d'exploitation (Windows, UNIX, Linux, Solaris, etc.). S'il n'y avait pas eu un ou deux incidents de masse concernant des rootkits (voir la section Exemples célèbres), qui auraient attiré l'attention du public sur eux, ils auraient peut-être encore échappé à la prise de conscience, à l'exception d'un petit cercle de professionnels de la sécurité. À l'heure actuelle, les rootkits n'ont pas encore exploité leur potentiel destructeur, car ils ne sont pas aussi répandus que d'autres types de programmes malveillants. Cependant, cela peut être peu confortable.
Mécanismes de rootkits exposés
Semblables aux chevaux de Troie, aux virus et aux vers, les rootkits s’installent en exploitant les failles de la sécurité du réseau et du système d’exploitation, souvent sans interaction de l’utilisateur. Bien que certains rootkits puissent être joints à un courrier électronique ou associés à un logiciel légitime, ils sont inoffensifs tant que l'utilisateur n'a pas ouvert la pièce jointe ou installé le programme. Mais contrairement aux formes de programmes malveillants moins sophistiqués, les rootkits s’infiltrent très profondément dans le système d’exploitation et font des efforts particuliers pour dissimuler leur présence, par exemple en modifiant les fichiers système.
Il existe essentiellement deux types de rootkits: les rootkits au niveau du noyau et les rootkits au niveau de l'application. Les rootkits au niveau du noyau ajoutent du code ou modifient le noyau du système d'exploitation. Ceci est réalisé en installant un pilote de périphérique ou un module chargeable, qui modifie les appels système pour masquer la présence d'un attaquant. Ainsi, si vous consultez vos fichiers journaux, vous ne verrez aucune activité suspecte sur le système. Les rootkits au niveau des applications sont moins sophistiqués et généralement plus faciles à détecter car ils modifient les exécutables des applications plutôt que le système d'exploitation lui-même. Windows 2000 signalant chaque modification d'un fichier exécutable à l'utilisateur, il devient plus difficile pour l'attaquant de passer inaperçu.
Pourquoi les rootkits posent-ils un risque?
Les rootkits peuvent servir de porte dérobée et ne sont généralement pas seuls dans leur mission. Ils sont souvent accompagnés de logiciels espions, de chevaux de Troie ou de virus. Les objectifs d’un rootkit peuvent aller de la simple joie malicieuse de pénétrer dans l’ordinateur de quelqu'un d’autre (et de cacher les traces d’une présence étrangère) à la construction d’un système complet d’obtention illégale de données confidentielles (numéros de carte de crédit ou code source, comme dans le cas de Half). -Vie 2).
En règle générale, les rootkits au niveau des applications sont moins dangereux et plus faciles à détecter. Mais si le programme que vous utilisez pour garder une trace de vos finances est corrigé par un rootkit, la perte monétaire pourrait alors être considérable. En d'autres termes, un attaquant peut utiliser les données de votre carte de crédit pour acheter quelques articles. Si vous remarquez une activité suspecte sur le solde de votre carte de crédit en temps voulu, il est fort probable que vous ne verrez plus jamais l’argent.
Comparés aux rootkits au niveau du noyau, les rootkits au niveau de l'application ont une apparence douce et sans danger. Pourquoi? Parce qu'en théorie, un rootkit de niveau noyau ouvre toutes les portes d'un système. Une fois les portes ouvertes, d'autres formes de programmes malveillants peuvent alors se glisser dans le système. Avoir une infection de rootkit au niveau du noyau et ne pas être en mesure de la détecter et de l'éliminer facilement (ou du tout, comme nous le verrons plus loin) signifie que quelqu'un d'autre peut avoir un contrôle total sur votre ordinateur et peut l'utiliser de la manière qui lui convient - par exemple, lancer une attaque sur d'autres machines en donnant l'impression que l'attaque provient de votre ordinateur et non d'un autre ordinateur.
Détection et élimination des rootkits
Ce n’est pas que d’autres types de logiciels malveillants soient faciles à détecter et à supprimer, mais les rootkits au niveau du noyau constituent un désastre particulier. En un sens, il s'agit d'un Catch 22 - si vous avez un rootkit, les fichiers système nécessaires au logiciel anti-rootkit seront probablement modifiés et par conséquent, les résultats de la vérification ne pourront pas être approuvés. De plus, si un rootkit est en cours d'exécution, il peut modifier avec succès la liste des fichiers ou la liste des processus en cours d'exécution sur lesquels les programmes antivirus s'appuient, fournissant ainsi de fausses données. En outre, un rootkit en cours d'exécution peut simplement décharger de la mémoire les processus de programme antivirus, ce qui provoque l'arrêt ou la fermeture inattendue de l'application. Cependant, en faisant cela, il montre indirectement sa présence, de sorte que l'on peut devenir suspicieux en cas de problème, en particulier avec un logiciel assurant la sécurité du système.
Une méthode recommandée pour détecter la présence d'un rootkit consiste à démarrer à partir d'un autre média, connu pour être propre (c.-à-d. Un CD-ROM de sauvegarde ou de secours) et à vérifier le système suspect. L'avantage de cette méthode est que le rootkit ne fonctionnera pas (par conséquent, il ne pourra pas se cacher) et les fichiers système ne seront pas falsifiés activement.
Il existe des moyens pour détecter et (tenter de) supprimer les rootkits. Une solution consiste à nettoyer les empreintes MD5 des fichiers système d'origine pour comparer les empreintes système actuelles. Cette méthode n'est pas très fiable, mais vaut mieux que rien. L'utilisation d'un débogueur de noyau est plus fiable, mais nécessite une connaissance approfondie du système d'exploitation. Même la majorité des administrateurs système y auront rarement recours, en particulier lorsqu'il existe de bons programmes gratuits de détection des rootkits, tels que RootkitRevealer de Marc Russinovich. Si vous allez sur son site, vous trouverez des instructions détaillées sur l'utilisation du programme.
Si vous détectez un rootkit sur votre ordinateur, l'étape suivante consiste à vous en débarrasser (plus facile à dire qu'à faire). Avec certains rootkits, la suppression n’est pas une option, sauf si vous souhaitez également supprimer l’ensemble du système d’exploitation! La solution la plus évidente - supprimer les fichiers infectés (à condition que vous sachiez lesquels sont exactement masqués) est absolument inapplicable, lorsque des fichiers système essentiels sont concernés. Si vous supprimez ces fichiers, il est probable que vous ne pourrez plus jamais redémarrer Windows. Vous pouvez essayer quelques applications de suppression de rootkit, telles que UnHackMe ou F-Secure BlackLight Beta, mais ne comptez pas trop sur elles pour pouvoir éliminer le parasite en toute sécurité.
Cela peut sembler être une thérapie de choc, mais le seul moyen éprouvé de supprimer un rootkit est de formater le disque dur, puis de réinstaller le système d’exploitation (à partir d’un support d’installation vierge, bien sûr!). Si vous avez une idée de l'origine du rootkit (a-t-il été inclus dans un autre programme, ou quelqu'un vous l'a-t-il envoyé par e-mail?), Ne pensez même pas à courir ou à indiquer de nouveau la source de l'infection!
Exemples célèbres de rootkits
Les rootkits sont utilisés furtivement depuis des années, mais seulement jusqu'à l'année dernière, quand ils ont fait leur apparition dans les journaux. Le cas de Sony-BMG avec sa technologie DRM (Digital Right Management) protégeant la copie de CD non autorisée en installant un rootkit sur la machine de l'utilisateur a suscité de vives critiques. Il y avait des poursuites et une enquête criminelle. Selon le règlement du cas, Sony-BMG a dû retirer ses CD des magasins et remplacer les exemplaires achetés par des disques propres. Sony-BMG a été accusé d'avoir dissimulé secrètement des fichiers système pour tenter de dissimuler la présence du programme de protection contre la copie, qui permettait également d'envoyer des données privées sur le site de Sony. Si le programme a été désinstallé par l'utilisateur, le lecteur de CD est devenu inutilisable. En fait, ce programme de protection du droit d'auteur violait tous les droits de la vie privée, utilisait des techniques illégales typiques de ce type de malware et laissait surtout l'ordinateur de la victime vulnérable à diverses attaques. Il était typique pour une grande entreprise, telle que Sony-BMG, d’adopter une attitude arrogante en déclarant que si la plupart des gens ne savaient pas ce qu’était un rootkit et pourquoi cela les importait-il. Eh bien, s'il n'y avait pas eu de gars comme Mark Roussinovich, qui a été le premier à évoquer le rootkit de Sony, l'astuce aurait fonctionné et des millions d'ordinateurs auraient été infectés - un véritable délit mondial dans la prétendue défense de l'intellectuel d'une entreprise propriété!
Le cas de Norton SystemWorks est similaire à celui de Sony, mais ne nécessitait pas de connexion à Internet. Il est vrai que les deux cas ne peuvent pas être comparés d’un point de vue éthique ou technique car, bien que le rootkit de Norton (ou sa technologie similaire) modifie les fichiers système Windows pour s’adapter à la corbeille protégée de Norton, Norton peut difficilement être accusé de droits de l'utilisateur ou de bénéficier du rootkit, comme dans le cas de Sony. Le masquage visait à masquer à tout le monde (utilisateurs, administrateurs, etc.) et de tout (autres programmes, Windows lui-même) un répertoire de sauvegarde des fichiers supprimés par les utilisateurs, qui peut ensuite être restauré à partir de ce répertoire de sauvegarde. La corbeille protégée avait pour fonction d’ajouter un filet de sécurité supplémentaire contre les doigts rapides que vous supprimez d’abord, puis de penser s’ils ont supprimé le ou les bons fichiers, ce qui offre un moyen supplémentaire de restaurer les fichiers supprimés de la corbeille ( ou qui ont contourné la corbeille).
Ces deux exemples ne sont pas les cas les plus graves d’activité de rootkit, mais ils méritent d’être mentionnés, car en attirant l’attention sur ces cas particuliers, l’intérêt public a été porté sur les rootkits dans leur ensemble. Si tout va bien, maintenant plus de gens savent non seulement ce qu'est un rootkit, mais se soucient de savoir s'ils en ont un, et sont capables de les détecter et de les supprimer!
