Qu'est-ce qu'un rootkit?

G DATA Guidebook

Ils entrent et sortent des ordinateurs sans être remarqués. Ils se faufilent par des portes dérobées et font sortir clandestinement des données précieuses pour les revendre sur le marché noir ; ils volent de l'argent, des informations de cartes de crédit et des documents confidentiels, sans que la victime ne s'en aperçoive. Les pirates utilisent des logiciels complexes pour accéder aux systèmes d'autrui et parvenir à prendre le contrôle des ordinateurs de leurs victimes. Le rootkit est le complice de ces activités, il surveille et camoufle autant que possible les actes infâmes des pirates.

Quel est le danger des rootkits ?

Le danger en soi ne vient pas du rootkit, mais des logiciels malveillants dont il cache les traces. Un rootkit n'est pas un logiciel malveillant au sens habituel du terme. Sa capacité spécifique consiste à dissimuler les fichiers et les processus aux autres applications ainsi que les logiciels malveillants opérants aux scanners de virus et aux solutions de sécurité. Le "niveau de danger" d'une infection par un rootkit dépend donc de ce que les intrus prévoient de faire et des logiciels malveillants qu'ils décident de placer sur le système par la porte dérobée qu'ils ont ouverte.

Que signifient ici "root" et "kit" ?

Ce complice sous forme de code, pénètre profondément dans le système d'exploitation pour s'y activer. Le mot "root" désigne donc les droits d'accès à la racine qui portent également le nom de compte du super-utilisateur. Issu du monde UNIX, ce compte est configuré lors de l'installation du système d'exploitation avec des droits d'accès généraux. Il n'est donc pas destiné à un usage quotidien, mais à faire toutes les tâches administratives qui doivent être effectuées dans les profondeurs du système, au niveau "root". Le "kit", quant à lui, signifie qu'il s'agit d'une collection d'outils logiciels. Littéralement, un rootkit est donc quelque chose comme une boîte à outils pour les administrateurs.

Comment fonctionne un rootkit ?

Cette boite à outils permet aux cybercriminels de se connecter à l'ordinateur sans se faire remarquer et d'exécuter des fonctions d'administration. Le rootkit empêche l'utilisateur de remarquer tout signe d'accès illégal sur l'ordinateur. Les messages destinés aux criminels sont masqués sur l'ordinateur, tout comme les fichiers et processus associés. Le rootkit permet également de cacher des programmes dangereux qui espionnent des éléments tels que les mots de passe, les secrets commerciaux, les saisies au clavier et à la souris, les informations relatives aux cartes de crédit, etc.

Comment puis-je prévenir une infection ?

  • Compte : Utilisez toujours un compte utilisateur standard, lorsque vous utilisez votre ordinateur Windows. Le compte administrateur ne doit jamais être votre moyen d'accès quotidien au système. Ce compte dispose de moins de barrières et de mécanismes de protection contre les menaces provenant d'Internet qu'un compte d'utilisateur standard, qui dispose de permissions restreintes.
     
  • Mises à jour du système: Assurez-vous que votre système d'exploitation (par exemple Windows) est toujours entièrement à jour. Installez toutes les mises à jour.
     
  • Mises à jour des logiciels : Il en va de même pour les programmes installés. Comme les rootkits peuvent également accéder au système par le biais de failles de sécurité dans les programmes, vous devez régulièrement les combler à l'aide des mises à jour fournies par les éditeurs de logiciels.
     
  • Logiciels de sécurité : Un logiciel de sécurité robuste est indispensable. Il doit inclure des mécanismes de sécurité tels que la surveillance du comportement et d'autres technologies proactives.
     
  • CD de démarrage : Un CD de démarrage analyse le système lorsqu'il est inactif. Un tel support de démarrage analyse l'ordinateur à la recherche de toute une série de logiciels malveillants, y compris les rootkits. Un CD de démarrage ne peut pas empêcher l'infection par un rootkit. Cependant, il peut empêcher les logiciels malveillants s'étant introduit dans l'ordinateur de passer inaperçus.
     
  • Vérification du rootkit : Lors d'un contrôle de rootkit, le système est placé dans un état spécifique, puis vérifié pour détecter une éventuelle infection par un rootkit. Un rootkit est plus facile à trouver dans cet état, car lorsque le système est en fonctionnement, il se dissimule. Ce contrôle peut également être effectué à l'aide d'un CD de démarrage.
     
  • La vigilance : Comme pour la pléthore de logiciels malveillants, les rootkits se distribuent via les supports de stockage, Internet ou les courriels. Sensibilisez-vous à ce problème en vous montrant mafaiant vis-à-vis des clés USB de tiers et des pièces jointes ou des liens provenant d'expéditeurs inconnus. Ne cliquez jamais sur un lien sans réfléchir et n'ouvrez des fichiers d'apparence inoffensive, comme les PDF, que si vous êtes sûr de ne pas être trompé.
     
  • Attention : Ne laissez jamais votre ordinateur ou vos appareils mobiles sans surveillance, surtout lorsqu'ils sont allumés, que vous vous leviez un instant au café ou que vous alliez chercher un autre livre à la bibliothèque. La mise en place de mots de passe forts offre une sécurité supplémentaire afin que des personnes non autorisées ne puissent pas se connecter à votre ordinateur, tablette ou smartphone, même si elles mettent la main dessus.

En quoi les rootkits diffèrent-ils ?

Comme il peut dissimuler une grande varité de fichiers et de processus , cela fait un moment qu'un rootkit n'est plus un simple rootkit. Chaque variante procède d'une manière différente et s'appuie sur des parties différentes du système. Les deux types de rootkit les plus répandus sont le rootkit en mode utilisateur et le rootkit en mode noyau. Le mode noyau correspond aux entrailles d'un système d'exploitation. Les paramètres de plus bas niveau y sont spécifiés et seul l'administrateur a accès à cette partie du système. Lorsqu'un rootkit s'y installe, les pirates peuvent manipuler l'ordinateur à distance comme ils le souhaitent. Le mode utilisateur, quant à lui, comprend beaucoup moins de droits et a donc moins d'influence sur le système d'exploitation. Le système d'exploitation peut être pénétré à différents niveaux, dont la profondeur dépend de l'endroit où se trouve le rootkit. Il est vrai que les rootkits complexes pour noyau sont plus rares, mais en même temps, ils sont plus difficiles à découvrir et à supprimer que les rootkits du mode utilisateur.

Qu'est-ce qu'une fonction de porte dérobée ?

Lorsque des pirates parviennent à introduire un rootkit dans un ordinateur, ils ont déjà un pied dans la porte. S'ils parviennent également à espionner les mots de passe de l'ordinateur et qu'ils disposent du bon logiciel malveillant, ils détiennent la clé de votre système et peuvent s'y introduire à tout moment. Si toutes ces allées et venues se font sous la protection d'un rootkit, les experts parlent souvent d'une "porte dérobée" ouverte sur le système. Les portes dérobées permettent aux pirates d'installer ou de lancer d'autres logiciels, d'accéder aux données et de modifier les paramètres.

Où sont utilisés les rootkits ?

Ce que les intrus peuvent faire à l'aide d'un rootkit est très différent. Un exemple bien connu d'un tel invité indésirable sur les ordinateurs de tiers est le scandale de Sony. Il est apparu en 2005 que Sony utilisait une protection contre la copie sur plusieurs CD de musique dans laquelle un rootkit était censé être caché. Ce rootkit manipulait les systèmes d'exploitation des utilisateurs pour empêcher la copie des CD. Les logiciels antivirus et anti-spyware étaient aveugles à ce programme. En outre, le logiciel envoyait secrètement à Sony les habitudes d'écoute privées des utilisateurs, le tout sous la protection du rootkit. En conséquence, Sony a non seulement acquis d'énormes connaissances sur les utilisateurs, mais a également provoqué un scandale majeur. Au lieu de protéger ses droits d'auteur, Sony a considérablement enfreint la protection des données - et a potentiellement facilité l'accès des pirates informatiques par les failles de sécurité ainsi ouvertes.

Comment détecter les rootkits et qu'est-ce qu'un scan de rootkits ?

Il est impossible de voir à l'œil nu si les portes de votre ordinateur sont toujours bien fermées. En outre, les rootkits sont rarement détectés par un comportement suspect de l'ordinateur. Les logiciels de sécurité ne peuvent offrir ici qu'une assistance technique - par exemple un contrôle spécial des rootkits. Une telle protection contre les rootkits est incluse dans la plupart des suites logicielles de sécurité. La vérification du rootkit, parfois aussi appelée analyse de rootkit, s'effectue d'une manière particulière : Comme les rootkits se protègent activement contre la détection sur un système en fonctionnement, ils ne peuvent réellement être détectés que si le système est mis dans un état spécifique. C'est la seule façon de réussir l'analyse du disque dur sur lequel le système fonctionne lors de la recherche de rootkits.

Comment puis-je supprimer un rootkit ?

Des CD de démarrage spéciaux aident à détecter les rootkits. Les solutions de sécurité G DATA offrent la possibilité de créer un CD de démarrage basé sur Linux qui peut être utilisé pour démarrer l'ordinateur sans lancer le système d'exploitation installé sur le disque dur. Le système peut être analysé par le scanner de virus contenu sur le CD dans un état où le rootkit éventuellement présent sur le disque dur n'est pas actif et peut donc être découvert plus facilement. Dans cet état, la fonction de camouflage est inefficace et le rootkit est démasqué, ainsi que ses complices criminels.