Que sont les Rootkits ? Prévention et Suppression

Un Rootkit est l'un des types de logiciels malveillants les plus avancés qui existent actuellement sur le marché. Pendant des années, les solutions de sécurité ont eu du mal à le détecter et à le supprimer, principalement parce que les rootkits compromettent le système d'exploitation à un tel niveau qu'ils peuvent cacher leur présence à la fois aux solutions anti-malware et au système d'exploitation lui-même.

 

Que sont les rootkits et comment fonctionnent-ils ?

Le terme Rootkit est une fusion du mot "root", l'utilisateur ayant le plus de privilèges sur un système d'exploitation basé sur Unix et "kit", l'ensemble des outils logiciels qui constituent le rootkit. Les rootkits remontent au début des années 90, lorsqu'ils étaient axés sur Sun et Linux, mais l'émergence de nouveaux systèmes d'exploitation a conduit au développement de rootkits pour Windows en 1999 et pour Mac en 2009.

Contrairement aux logiciels malveillants traditionnels, les rootkits introduisent une faille fondamentale dans l'ordinateur qu'ils infectent. Ils ne compromettent pas les fichiers ou les dossiers. Au contraire, ils modifient tout ce que le système d'exploitation vous rapporte en fonction des objectifs de leur créateur.

les rootkits

Les rootkits se divisent en deux grandes catégories en fonction de leur objectif : le mode utilisateur et le mode noyau.

Afin d'avoir un aperçu de la manière dont ils compromettent un système d'exploitation, nous devons d'abord comprendre le fonctionnement d'un système d'exploitation. Toutes les applications de votre ordinateur communiquent par le biais d'appels de fonction transmis par l'API (Application Programming Interface) du système d'exploitation. Un pilote en mode utilisateur accroche la table d'adresses d'importation (une liste de toutes les adresses des API ou des fonctions système que le programme doit faire exécuter par le noyau du système d'exploitation).

Les rootkits en mode noyau utilisent des pilotes système qui s'attachent au noyau afin d'assurer l'"intermédiation" des appels API entre les applications utilisateur et le système d'exploitation lui-même. Une fois installé, le pilote du rootkit redirige les appels de fonction du système afin que son propre code soit exécuté à la place du code du noyau. Ainsi, lorsque vous ouvrez un dossier pour voir son contenu, vous interrogez généralement le noyau sur le nombre de fichiers résidant dans le dossier en question. Toutefois, un rootkit pourrait intercepter votre requête et signaler tous les fichiers du dossier, à l'exception de ceux qui sont malveillants. Vous, votre système d'exploitation ou votre solution anti-malware ne sauront même pas que certains fichiers ont existé dans le dossier en question.

En utilisant un rootkit, un pirate dispose de privilèges d'administrateur complets sur votre ordinateur et vos logiciels, ce qui lui permet d'accéder facilement aux journaux, de surveiller votre activité, de voler des informations et des fichiers privés et de désorganiser les configurations. Sans même que vous le sachiez, tous vos mots de passe et toutes vos informations seront à leur disposition pour être volés.

 

Comment un Rootkit infecte-t-il mon ordinateur ?

Même s'il s'agit de l'une des cybermenaces les plus dangereuses, le rootkit ne peut pas agir tout seul. Il a besoin d'un vecteur d'infection pour se propager et s'installer. Les pirates utilisent des chevaux de Troie ou profitent des vulnérabilités des systèmes d'exploitation pour installer un rootkit. Une fois dans le système, le rootkit héberge souvent des logiciels espions, des vers, des enregistreurs de frappe ou des virus informatiques, qui transforment l'ordinateur en une marionnette sans valeur. Les pirates peuvent alors utiliser un rootkit pour lancer des attaques DoS, des campagnes de spam ou de phishing sur des tiers. Avec un accès total au système d'exploitation, l'ordinateur est complètement pris en charge par les pirates, ce qui rend les rootkits difficiles à détecter immédiatement, même pour l'œil le plus expérimenté des techniciens.

Mais les rootkits ne sont pas toujours malveillants. Dans certains cas, ils sont utilisés à des fins de triche, par exemple pour déjouer les droits d'auteur et les protections antivol. Par ailleurs, Sony et Lenovo sont des entreprises connues pour avoir inséré des rootkits dans les appareils des utilisateurs afin de réinstaller des logiciels indésirables ou dans le cadre de la gestion des droits numériques. Bien qu'implantés dans une intention inoffensive, il s'agit de vulnérabilités que les pirates peuvent facilement exploiter par la suite si elles sont découvertes.

 

Détection, élimination, prévention

La détection des rootkits est une tâche ardue qui peut s'avérer impossible en raison de leur contrôle total sur votre ordinateur, y compris sur tout logiciel que vous pourriez choisir pour supprimer une infection par un rootkit. Si vous êtes une victime avertie, vous pouvez suivre certaines étapes telles que l'analyse des signatures ou l'analyse du vidage de la mémoire, mais si le rootkit a pris le contrôle de la mémoire du noyau (c'est-à-dire le cerveau de votre système d'exploitation), acceptez la défaite. Formatez le disque dur et réinstallez votre système d'exploitation.

Comme vous l'avez probablement compris, les rootkits sont si sophistiqués que vous ne pourrez peut-être pas vous en débarrasser sans réinstallation. En fait, vous risquez même de ne pas les détecter avant qu'il ne soit trop tard, ou que vous essayiez d'exécuter une analyse antivirus et que celle-ci ne permette pas à votre antivirus de démarrer.

Pour éviter de perdre toutes vos données, veillez à développer des habitudes de navigation en ligne appropriées :

  • Chiffrez vos informations privées et faites des sauvegardes de vos données dans plusieurs sources.
  • Les chevaux de Troie étant le moyen le plus courant pour un pirate de s'introduire dans votre réseau, n'ouvrez jamais les pièces jointes d'un courriel provenant d'un expéditeur inconnu.
  • Si vous regardez une vidéo en streaming ou si vous voulez ouvrir un fichier et qu'on vous demande de télécharger un plugin, ne le faites pas.
  • Mettez constamment à jour votre pare-feu et votre solution de sécurité, et exécutez périodiquement des analyses complètes du système Windows et Mac.