Accueil
Téléchargement
Forum
Contact
Autre

Les rootkits

Les rootkits

Définition : Un rootkit s'utilise après une intrusion et l'installation d'une porte dérobée afin de camoufler tous les changements effectués lors de l'intrusion. Ainsi l'on peut préserver l'accès à la machine un maximum de temps, en effet les rootkits sont difficilement détectables et seule une analyse forensique approfondie peut en révéler la présence.

 

La fonction principale du « rootkit » est de camoufler la mise en place d’une ou plusieurs « portes dérobées ». Ces portes dérobées (utilisables en local ou à distance) permettent au pirate de s’introduire à nouveau au cœur de la machine sans pour autant exploiter une nouvelle fois la faille avec laquelle il a pu obtenir l’accès frauduleux initial, qui serait tôt ou tard comblée.

antirootkits cmd-windows

Les « rootkit » opèrent une suite de modifications, notamment au niveau des commandes système, voire du noyau (kernel).

À la différence d'un virus informatique ou un ver de nouvelle génération, un « rootkit » ne se réplique pas.

L’installation d’un « rootkit » nécessite des droits administrateur sur la machine, notamment à cause des modifications profondes du système qu’il engendre. Cela signifie que le pirate doit initialement disposer d’un accès frauduleux, avec les droits du « root » sous Linux par exemple, afin de mettre en place son « rootkit ».

Un « rootkit » ne permet pas en tant que tel de s’introduire de manière frauduleuse sur une machine saine. En revanche, certains « rootkit » permettent la collecte des mots de passe qui transitent par la machine « corrompue ». Ainsi, un « rootkit » peut indirectement donner l’accès à d’autres machines.

Certains « rootkit » sont également livrés avec des collections d’« exploits », ces petits bouts de code dédiés à l’exploitation d’une faille bien déterminée. Le but est d’aider les pirates dans leur conquête de machines encore vierges.

Un «rootkit» a pour but principal la furtivité, il permet par exemple de cacher certains processus, certains fichiers et clefs de registre, etc. Il opère au niveau du noyau (la plupart du temps chargé en tant que driver) et peut donc tromper à sa guise les programmes qui sont exécutés en mode utilisateur (antivirus, firewalls). Le rootkit est souvent couplé à d'autres programmes tel qu'un sniffeur de frappe, de paquets...

Le « rootkit » n’a de raison d’être que si une faille est présente, si les conditions sont réunies pour que son exploitation soit réussie et si elle permet un accès avec les droits administrateur. Donc pas de faille, pas de rootkit.

Le meilleur moyen de se protéger des rootkit est de se prémunir contre les failles.

Les « rootkit » existent depuis plusieurs années. Le projet Chkrootkit dédié au développement d’un outil de détection de « rootkit » pour les plateformes Linux, *BSD, Solaris et HP-UX a été démarré en 1997. Le phénomène n’est donc pas nouveau. En 2002, Securityfocus faisait état des avancements en matière de « rootkit » pour les plate-formes Microsoft Windows

Quel est le danger d'un rootkit ?

Un virus, un ver, une backdoor ou un spyware peut rester actif et invisible aussi longtemps qu'il utilise un rootkit, même si le PC est protégé par l'état de l'art en matière d'antivirus ou d'anti-spyware : aucun programme de protection ne peut désactiver un malware qu'il ne voit pas.

L'évolution du risque

L'utilisation actuelle des rootkits est encore faible par rapport au nombre de malware existants.

evolution-rootkit (cmd-windows)

Ils sont aujourd'hui plus utilisés dans les spyware et les backdoor que dans les virus et les vers. Quelques exemples :

  • spyware : EliteToolbar, ProAgent, Probot SE
  • backdoor : Berbew, Feutel
  • virus/vers : Myfip.h, Maslan.

Mais leur usage est en hausse constante et représente un intérêt évident pour les créateurs de virus ou de réseaux de zombis.

Les antivirus peuvent détecter l'installation d'un rootkit, sans aucune garantie.

La plupart des internautes utilisent un compte administrateur sous Windows au lieu d'un compte limité, ce qui facilite l'installation des rootkits sur leur PC, et d'une manière générale, augmente fortement les risques de sécurité.

Source : http://eservice.free.fr