Rootkit

Un Rootkit est un ensemble de techniques (un ou plusieurs logiciels) permettant de créer un accès (généralement non autorisé) à une machine. Le but de ces Rootkits est de passer sous les radars et d'être le plus furtif possible. Leur furtivité est assurée par différentes techniques : effacement de traces, masquage de l'activité et des communications, ...

C'est quoi ce nom "RootKit" ?

Le terme "Root" est donné au super-utilisateur ou l'administrateur principal dans les systèmes UNIX et dérivés. Grossièrement, un "RootKit" est un "Kit" permettant de devenir "Root".

Quel est le but recherché ?

On parle donc d'un kit furtif permettant d'installer un accès à distance sur votre machine avec le "droit de tout faire". Inquiétant, non ? Et ce qu'il l'est encore plus, c'est qu'il peut se dissimuler dans un autre logiciel, une bibliothèque ou dans le noyau d'un système d'exploitation. Certains rootkits résistent même au formatage car il peuvent s'introduire directement dans le BIOS.

Un rootkit peut héberger toute une panoplie de logiciels malveillants comme par exemple :

• Spyware : pour surveiller l'activité de l'utilisateur.
• Keylogger : pour enregistrer ce qui est tappé au clavier.
• Backdoors : pour garder un accès permanent à la machine.
• Botnets : pour participer à des campagnes de phishing ou réaliser des attaques de type DDoS.

Vous l'aurez compris, un RootKit est un véritable couteau suisse pour un pirate !

Quels sont les types de rootkits ?

• Rootkit mode noyau : ce rootkit va chercher à se dissimuler dans le coeur du système d'exploitation. Difficile à détecter, il permet une prise de contrôle étendue de votre ordinateur.
• Rootkit mode utilisateur : ce rootkit opère au niveau des applications de l'ordinateur. Il détourne les processus, manipule les logiciels et compromet vos données.
• Rootkit bootloaders : ce rootkit va chercher à infecter le MBR (Master Boot Record). Il pourra ainsi s'exécuter avant le chargement du système d'exploitation.
• Rootkit de micrologiciel : ce rootkit accède à votre micrologiciel, qui contrôle des appareils spécifiques tels que les routeurs, les périphériques de PC, ...
• Rootkit hyperviseur : ce rootkit est capable d'éxécuter votre système d'exploitation dans une machine virtuelle. Il pourra ainsi intercepter les communications entre le matériel et le système d'exploitation.

Comment identifier si votre ordinateur a été infecté ?

Voici quelques pistes :

• Votre système d'exploitation a un comportement étrange : plantage ou réponse lente
• Des changements dans les paramètres de votre ordinateur
• Des irrégularités affectant votre connexion Internet : trafic réseau plus important que d'habitude

Se protéger des rootkits

• Méfiez-vous des fichiers inconnus
• Téléchargez vos logiciels uniquement auprès de sources de confiance
• Installez les mises à jour système le plus tôt possible
• Utilisez les disques externes et clés USB avec précaution
• Effectuez une analyse de rootkit au moins une fois par mois

Comment supprimer les rootkits ?

• Utilisez des outils tiers tels que des applications antivirus et anti-rootkit
• Dans certains cas, il faudra réinstaller votre système d'exploitation
• Dans le cas de rootkits de micrologiciels, de démarrage ou de noyau, les logiciels tiers peuvent être inefficaces. Vous devrez sans doute sauvegarder vos données, effacer votre système et tout réinstaller à nouveau pour vous en débarrasser