L'ABC de la Cybersécurité : R comme Rootkit

Les rootkits sont parmi les logiciels malveillants les plus sophistiqués qui existent sur le marché. Il y a encore quelques années, les antivirus basiques avaient du mal à les détecter, parce que les rootkits compromettent le système d'exploitation à un niveau si bas qu'ils peuvent cacher leur présence au système d'exploitation lui-même.

Le terme rootkit est formé des mots "root" - le niveau utilisateur racine le plus privilégié sur un système d'exploitation Unix et "kit" - l'ensemble des outils logiciels qui composent le rootkit. Les rootkits remontent au début des années 90 lorsqu'ils se concentraient sur Sun et Linux, avant de rapidement se répandre sur Windows en 1999, puis sur Mac en 2009.

Que sont les rootkits et comment fonctionnent-ils ?

Contrairement aux logiciels malveillants traditionnels, les rootkits introduisent une faille fondamentale dans l'ordinateur qu'ils infectent. Ils ne compromettent pas les fichiers ou les dossiers - au lieu de cela, ils modifient tout ce que le système d'exploitation vous signale en fonction des besoins de leur créateur.

Les rootkits sont divisés en deux catégories principales : les rootkits en mode utilisateur et, bien plus sophistiqués, les rootkits en mode noyau. Pour comprendre la façon dont ils compromettent un système d'exploitation, nous devons d'abord comprendre comment un système d'exploitation fonctionne. Toutes les applications de votre ordinateur communiquent via des appels de fonction passés par l'API (interface de programmation d'application) du système d'exploitation.

Les rootkits en mode noyau utilisent des pilotes système qui s'attachent au noyau pour faire l'« intermédiaire » des appels d'API entre les applications utilisateur et le système d'exploitation lui-même. Une fois installé, le pilote rootkit redirige les appels de fonction système afin que son propre code soit exécuté à la place du code du noyau. Ainsi, lorsque vous ouvrez un dossier pour voir son contenu, vous interrogez généralement le noyau sur le nombre de fichiers résidant dans le dossier respectif. Cependant, un rootkit pourrait intercepter votre demande et signaler tous les fichiers du dossier, à l'exception de ceux qui sont malveillants. Vous, votre système d'exploitation ou un antivirus trop rudimentaire, ne saurez même pas que certains fichiers ont déjà existé dans le dossier en question.

En utilisant un rootkit, un pirate dispose de tous les privilèges administrateur sur votre ordinateur et vos logiciels, accède facilement aux registres, surveille votre activité, vole des informations et des fichiers privés et modifie les configurations. Sans même que vous le sachiez, tous vos mots de passe et données seront disponibles.

Même s'ils font partie des menaces les plus dangereuses, les rootkits ne fonctionnent pas seulement par eux-mêmes - ils ont besoin d'un vecteur d'infection pour se propager et s'installer. Les pirates utilisent des chevaux de Troie ou exploitent les vulnérabilités du système d'exploitation pour planter des rootkits. Mais une fois qu'ils ont atteint le système, ils hébergent souvent à leur tour des logiciels espions, des vers, des enregistreurs de frappe ou des virus informatiques qui transforment votre ordinateur en zombie. Les pirates peuvent ensuite l'utiliser pour lancer des attaques DoS, des spams et des campagnes de phishing sur des tiers, peut-être même sur vos contacts. Ayant un accès racine au système d'exploitation, votre ordinateur est complètement pris en charge par les pirates, ce qui rend les rootkits difficiles à détecter immédiatement, même pour l'œil le plus expérimenté.

Les rootkits ne sont pas toujours des logiciels malveillants, car dans certains cas, ils sont utilisés à des fins de violation, pour déjouer les droits d'auteur et la protection antivol. D'autre part, Sony et Lenovo sont des entreprises connues pour avoir inséré des rootkits dans les appareils des utilisateurs, soit pour réinstaller des logiciels indésirables, soit pour la gestion des droits numériques. Bien qu'implantées sans malveillance, ce sont des vulnérabilités qui permettent aux pirates de les exploiter plus tard.

Signes de présence d'un rootkit et comment le supprimer

Leur détection peut s'avérer ardue en raison de leur contrôle total sur votre ordinateur, y compris sur tout logiciel que vous pourriez choisir de supprimer. Si vous êtes un féru de technologie, vous pouvez suivre certaines étapes telles que l'analyse de signature ou l'analyse de vidage de mémoire, mais si le rootkit a pris le contrôle de la mémoire du noyau (c'est-à-dire le cerveau de votre système d'exploitation), hélas acceptez la défaite ; formatez le disque dur et réinstallez votre système d'exploitation.

Comme vous l'avez probablement déjà compris, les rootkits sont si sophistiqués que vous ne pourrez peut-être pas vous en débarrasser sans une réinstallation. Pour éviter de perdre toutes vos données, assurez-vous d'adopter des habitudes de navigation en ligne saines et appropriées.

Chiffrez vos informations privées et assurez-vous de les sauvegarder à plusieurs endroits (cloud + lecteur externe). Parce que le moyen le plus courant pour un pirate d'accéder à votre réseau est le cheval de Troie, n'ouvrez jamais les pièces jointes d'e-mails d'expéditeurs louches ou inconnus. Si vous regardez une vidéo en streaming ou souhaitez ouvrir un fichier et qu'on vous demande de télécharger un plugin, ne le faites pas.

Evitez les antivirus intégrés ou gratuits, installez une solution complète de cybersécurité de confiance et exécutez périodiquement des analyses complètes du système sur votre ordinateur. Bitdefender Premium Security offre une protection en temps réel contre tous les types de menaces : virus, vers, ransomwares, chevaux de Troie, exploits zero-day, rootkits, logiciels espions et bien plus encore.

Octobre est le mois de la sensibilisation aux bonnes pratiques de sécurité en ligne. Retrouvez ici nos 12 articles de l'ABC de la cybersécurité, plus 5 articles bonus sur les menaces mobiles Android.