Définition du rootkit

Les 5 types les plus dangereux

Rootkit

Toutes les cybermenaces ne sont pas aussi simples à détecter et éliminer que les chevaux de Troie, par exemple. En fait, certaines sont si sournoises que même votre logiciel de cybersécurité peut être incapable de les détecter. Si votre ordinateur devient soudainement très lent, si vous manquez toujours de mémoire vive avec juste un onglet de navigateur ouvert ou si le tristement célébré « écran bleu » est devenu fréquent, votre ordinateur pourrait être infecté d’une menace « invisible » rootkit.

Sommaire: Un rootkit est un morceau de logiciel ou collection de programmes conçus pour donner accès et contrôle aux pirates sur un appareil cible. Bien que la plupart des rootkits affectent le logiciel et le système d’exploitation, certains peuvent aussi infecter le hardware et le firmware de votre ordinateur. Apprenez ici quels sont les principaux types de rootkits et les meilleures manières de les supprimer.

Rootkit

Qu’est-ce qu’un rootkit ?

Un rootkit est un logiciel utilisé par les pirates pour obtenir un contrôle complet de l’ordinateur ou du réseau ciblé. Bien qu’il puisse parfois être sous forme d’un logiciel unique, un rootkit est souvent constitué d’un ensemble d’outils qui donnent aux pirates un accès à distance et un contrôle au niveau administrateur de la machine ciblée. Les rootkits peuvent être utilisés à des fins honnêtes (par exemple offrir une assistance à distance) mais sont malheureusement principalement utilisés à des fins malveillantes. Tous possèdent une porte arrière permettant aux pirates de réaliser des modifications au système.

Bien qu’étant en existence sous une forme ou une autre depuis plus qu’un quart de siècle, l’histoire des rootkits d’aujourd’hui remonte au milieu des années 1990 et la poussée des rootkits UNIX et des virus furtifs DOS. Les premiers rootkits pour Windows furent détectés au début du siècle, certains des exemples les plus notables étant Vanquish, qui enregistrait les mots de passe des victimes et FU, qui fonctionnait en mode noyau et était utilisé pour modifier la structure du système et non simplement les manières d’y accéder.

Les pirates ont à leur disposition de nombreuses manières d’installer des rootkits sur les machines cibles, mais la plupart fonctionnent sur le principe d’une attaque par hameçonnage ou autres types d’ingénierie sociale. Les propriétaires de ces ordinateurs téléchargent et installent sans le savoir un maliciel sur leur ordinateur et donnent le contrôle de presque tous les aspects du système d’exploitation aux pirates. Dans la majorité des cas, les rootkits ciblent les applications qui fonctionnent en mode utilisateur, bien que certains ciblent surtout les composants du cœur du système d’exploitation en mode noyau et même le firmware de l’ordinateur (BIOS par exemple).

Comme ils le font avec les autres morceaux de logiciel légitimes, les rootkits sont souvent programmés pour désactiver ou éliminer entièrement tout logiciel antivirus ou antimaliciel susceptible d’avoir été installé sur l’ordinateur infecté. Ceci représentait un problème particulièrement important par le passé lorsque la plupart des programmes antimaliciel étaient incapables de détecter, surveiller et/ou stopper une attaque rootkit. Les solutions de cybersécurité ont évolué depuis, certains des outils proposés par les meilleurs logiciels antivirus d’aujourd’hui sont capables de détecter et supprimer les rootkits du système.

Quels sont les types de rootkits ?

Il existe plusieurs types de rootkits, chacun ciblant une partie différente de votre ordinateur. En règle générale, plus elles sont proches du cœur de votre ordinateur, plus ces infections sont sévères et difficiles à détecter. Alors que ceux qui affectent le logiciel de votre ordinateur sont relativement courantes et faciles à traiter, ceux qui ciblent les pilotes, la mémoire et le système d’exploitation sont bien plus complexes.

Les cinq types de rootkits les plus courants sont :

  1. Rootkits mode utilisateur

Les rootkits mode utilisateur sont les plus éloignés du cœur de votre ordinateur et affectent uniquement le logiciel de votre PC. Ils sont donc bien plus faciles à détecter et éliminer que les autres rootkits. Généralement appelés rootkits d’application, ils remplacent les fichiers exécutables des programmes standard tels que Word, Excel, Paint ou Notepad. À chaque utilisation du fichier .exe infecté de l’application, vous donnez donc accès aux pirates à votre ordinateur tout en étant en mesure d’utiliser normalement le programme en question.

  1. Rootkits mode noyau

Contrairement aux rootkits d’application, les rootkits mode noyau sont parmi les types de cette menace les plus sévères car ils ciblent le cœur même de votre système d’exploitation. Les pirates ne les utilisent pas seulement pour accéder aux fichiers de votre ordinateur mais aussi modifier la fonctionnalité de votre système d’exploitation en y ajoutant leur propre code. Alors que ces rootkits peuvent considérablement affecter la performance de votre système, ils sont toujours plus simples à identifier et traiter que certains autres types de rootkits dont les effets vont au-delà du système d’exploitation.

  1. Rootkits de démarrage

Comme leur nom l’indique, les rootkits de démarrage affectent le MBR (Master Boot Record) et le VBR (Volume Boot Record) du système. Bien qu’ils aient un impact direct sur le système, ces rootkits s’attachent aux registres de démarrage plutôt qu’aux fichiers, ce qui les rend difficiles à détecter et supprimer. En outre, si l’un de ces rootkits injecte un code dans le MBR, il peut modifier tout votre ordinateur.

Heureusement, les rootkits de démarrage sont en phase d’extinction. Avec le lancement de Windows 8 et 10, la plupart des PC sont maintenant équipés de l’option de démarrage sécurisé Secure Boot, conçue spécialement pour offrir une protection contre les rootkits de démarrage. Les machines fonctionnant avec Windows 7 32 bits ou 64 bits peuvent néanmoins toujours être à risque.

  1. Rootkits de mémoire

Les rootkits de mémoire se cachent dans la mémoire vive (RAM) de votre ordinateur et utilisent les ressources informatiques pour effectuer une variété de process malveillants en arrière-plan. Ceci signifie que les rootkits de mémoire affecteront inévitablement la performance de la mémoire vive de votre ordinateur. Malgré cela, ces rootkits sont rarement per­çus comme une menace majeure surtout en raison de leur durée de vie très courte. Étant donné qu’ils inhibent la mémoire vive et n’injectent pas de code permanent, les rootkits mémoire disparaissent aussitôt que vous redémarrez le système.

  1. Rootkits de firmware

Bien qu’étant comparativement plus rares que les autres types, les rootkits de firmware constituent une menace sérieuse à votre sécurité en ligne. Plutôt que de cibler votre système d’exploitation, ces rootkits ciblent le firmware de votre ordinateur pour installer un maliciel que même les meilleurs programmes antimaliciels ne seront pas en mesure de détecter. Les rootkits de firmware peuvent infecter votre disque dur, votre routeur ou le BIOS de votre système. Puisqu’ils affectent le matériel lui-même, ils permettent aux pirates de non seulement surveiller votre activité en ligne mais aussi enregistrer vos frappes.

Exemples de rootkits

Au cours des 25 dernières années, d’innombrables rootkits ont laissé leur marque en matière de cybersécurité. Quelques-uns d’entre eux étaient légitimes, comme par exemple celui lancé par Sony en 2005 pour améliorer la protection contre la copie des CD audio ou encore un similaire de chez Lenovo en 2015 pour installer des logiciels non-supprimables sur leurs nouveaux ordinateurs portables. La majorité des rootkits ont cependant été développés par des pirates inconnus, dans le but de compromettre les ordinateurs de leurs victimes et obtenir leurs informations sensibles pour en tirer un gain personnel, principalement financier.

Quelques exemples de rootkits :

  • En 2008, les cercles de crime organisé chinois et pakistanais ont infecté des centaines de lecteurs de cartes de crédit destinés au marché d’Europe occidentale avec des rootkits de firmware. Ces rootkits étaient programmés pour enregistrer les informations de la carte de crédit de la victime, ensuite envoyées directement à un serveur situé au Pakistan. Globalement, les pirates derrière cette machination ont réussi à voler un minimum de 10 millions de livres en clonant des cartes de crédit et retirant des fonds des comptes des victimes innocentes.
  • En 2011, des experts en cybersécurité découvrent ZeroAccess, un rootkit de noyau qui a affecté plus de 2 millions d’ordinateurs de par le monde. Plutôt que d’affecter directement la fonctionnalité de l’ordinateur infecté, ce rootkit télécharge et installe discrètement un maliciel sur la machine infectée et l’intègre à un botnet mondial utilisé par les pirates pour réaliser d’autres cyberattaques. Malgré de sérieuses tentatives destinées à le détruire, ZeroAccess est toujours en activité à ce jour.
  • En 2012, des experts en Iran, Russie et Hongrie découvrent Flame, un rootkit principalement utilisé pour le cyber espionnage dans le Moyen Orient. Affectant le système d’exploitation entier de l’ordinateur, Flame a la capacité de surveiller le trafic du réseau, réaliser des captures d’écran et audio de votre ordinateur et même enregistrer l’activité du clavier. Bien que les coupables soient toujours inconnus à ce jour les recherches ont révélé que 80 serveurs sur trois continents étaient utilisés pour gagner accès aux ordinateurs infectés.

Comment supprimer un rootkit

Plusieurs types de rootkits fonctionnent à un niveau de privilège plus élevé que certains programmes de cybersécurité, raison pour laquelle ils peuvent être très difficiles à détecter. Pour scanner vos systèmes à la recherche de rootkits, vous avez besoin d’un antimaliciel avancé équipé de modules pour rootkits. Heureusement, les outils des meilleurs logiciels antivirus sont tous accompagnés d’un scanner de rootkit intégré et éliminateur de rootkit, ce qui vous permet de détecter et éliminer facilement ces menaces en ligne.

Si vous suspectez que votre système est infecté par un rootkit, vous devez rechercher un signe indicateur d’infection. Ils provoquent généralement un ralentissement du système et baisse de mémoire vive, l’affichage de l’heure et de la date incorrect dans le coin en bas à droite de l’écran ainsi que l’apparition fréquente du fameux « écran bleu ». En outre, certaines ou toutes les fonctionnalités de votre antivirus et/ou antimaliciel peuvent être automatiquement désactivées dès le premier lancement du logiciel infecté par un rootkit.

Bien que certains rootkits affectent votre matériel, tous sont issus de l’installation d’un maliciel. Votre meilleure chance de vous en protéger est d’utiliser uniquement l’un des meilleurs logiciels antivirus, car ils offrent une protection en temps réel contre les menaces majeures, notamment les virus, maliciels et rootkits. N’oubliez pas de réaliser des scans réguliers de votre système et de mettre vos définitions de virus à jour quotidiennement. Pour éviter les rootkits de démarrage, il est aussi conseillé de mettre votre système d’exploitation à niveau et utiliser Windows 8 ou plus récent.

Sources (en anglais)