Rootkit

Rootkit : définition et signification

Un rootkit est un type de logiciel malveillant conçu pour permettre à des pirates informatiques d'accéder à un appareil cible et de le contrôler. Bien que la plupart des rootkits touchent les logiciels et le système d'exploitation, certains peuvent également infecter le matériel et le micrologiciel de votre ordinateur. Les rootkits sont capables de dissimuler leur présence, mais bien qu'ils restent masqués, ils sont toujours actifs.

Une fois qu'ils ont obtenu un accès non autorisé aux ordinateurs, les rootkits permettent aux cybercriminels de voler des données à caractère personnel et des informations financières, d'installer des logiciels malveillants ou d'utiliser des ordinateurs dans le cadre d'un botnet pour faire circuler du spam et participer à des attaques par déni de service.

Le nom « rootkit » découle des systèmes d'exploitation Unix et Linux, où le compte administrateur le plus privilégié est appelé « root ». Les applications qui autorisent un accès non autorisé de niveau racine ou administrateur à l'appareil sont connues sous le nom de « kit ».

Types de rootkits

1. Rootkits matériels ou micrologiciels

Les rootkits matériels ou micrologiciels peuvent toucher sur votre disque dur, votre routeur ou le BIOS de votre système, qui est le logiciel installé sur une petite puce mémoire dans la carte mère de votre ordinateur.

Au lieu de viser votre système d'exploitation, ils ciblent le micrologiciel de votre appareil pour y installer des logiciels malveillants difficiles à détecter.

Comme ils touchent le matériel, ils permettent aux pirates informatiques d'enregistrer vos frappes au clavier et de surveiller votre activité en ligne. Bien que moins fréquents que les autres types, les rootkits matériels ou micrologiciels constituent une menace sérieuse pour la sécurité en ligne.

2. Rootkits de démarrage

Le mécanisme du programme de démarrage est responsable du chargement du système d'exploitation sur un ordinateur. Les rootkits de démarrage attaquent ce système, remplaçant le programme de démarrage légitime de votre ordinateur par une version piratée de celui-ci. Cette opération active le rootkit avant même que le système d'exploitation de votre ordinateur ne soit complètement chargé.

3. Rootkits de mémoire

Les rootkits de mémoire se cachent dans la mémoire vive (RAM) de votre ordinateur et utilisent les ressources de ce dernier pour mener des activités malveillantes en arrière-plan. Les rootkits de mémoire ont une incidence sur les performances de la mémoire vive de votre ordinateur.

Comme ils ne vivent que dans la mémoire vive de votre ordinateur et qu'ils n'injectent aucun code permanent, les rootkits de mémoire disparaissent dès que vous redémarrez le système, bien que des mesures supplémentaires soient parfois nécessaires pour s'en débarrasser. Leur courte durée de vie fait qu'ils ne sont généralement pas perçus comme une menace importante.

4. Rootkits d'application

Les rootkits d'application remplacent les fichiers standards de votre ordinateur par des fichiers rootkit et peuvent même modifier le fonctionnement des applications standards. Ces rootkits infectent des programmes comme Microsoft Office, Notepad ou Paint. Les attaquants peuvent obtenir un accès à votre ordinateur chaque fois que vous exécutez ces programmes.

Comme les programmes infectés continuent de s'exécuter normalement, il est difficile pour les utilisateurs de détecter les rootkits, mais les programmes antivirus peuvent les détecter, car ils fonctionnent tous deux sur la couche application.

5. Rootkits en mode noyau

Les rootkits en mode noyau comptent parmi les types les plus graves de cette menace, car ils ciblent le cœur même de votre système d'exploitation (c'est-à-dire le niveau du noyau). Les pirates informatiques les utilisent non seulement pour accéder aux fichiers de votre ordinateur, mais aussi pour modifier la fonctionnalité de votre système d'exploitation en y ajoutant leur propre code.

6. Rootkits virtuels

Un rootkit virtuel se charge lui-même sous le système d'exploitation de l'ordinateur. Il héberge ensuite les systèmes d'exploitation cibles sous forme de machine virtuelle, ce qui lui permet d'intercepter les appels matériels effectués par le système d'exploitation d'origine. Ce type de rootkit n'a pas besoin de modifier le noyau pour détourner le système d'exploitation et peut être très difficile à détecter.

Exemples de rootkitsStuxnet

L'un des rootkits les plus célèbres de l'histoire est Stuxnet, un ver informatique malveillant découvert en 2010 et qui aurait été conçu depuis 2005. Stuxnet a causé des dommages considérables au programme nucléaire de l'Iran. Bien que ni les États-Unis ni Israël n'aient admis leur responsabilité, on pense généralement qu'il s'agit d'une cyberarme créée conjointement par ces deux pays dans le cadre d'une collaboration connue sous le nom de Jeux olympiques.

Parmi les autres exemples notables de rootkits, citons :

Flame

En 2012, des experts en cybersécurité ont découvert Flame, un rootkit principalement utilisé pour mener des activités de cyberespionnage au Moyen-Orient. Flame, également connu sous les noms de Flamer, sKyWIper et Skywiper, a une incidence sur l'ensemble du système d'exploitation d'un ordinateur, ce qui lui permet de surveiller le trafic, de réaliser des captures d'écran et des enregistrements audio, et de consigner les frappes de l'appareil.

Les pirates à l'origine de Flame n'ont pas été retrouvés, mais les recherches indiquent qu'ils ont utilisé 80 serveurs répartis sur trois continents pour accéder aux ordinateurs infectés.

Necurs

En 2012, Necurs est apparu comme un rootkit et aurait été détecté dans 83 000 infections cette année-là. Associé à des cybercriminels d'élite en Europe de l'Est, Necurs est considéré comme remarquable en raison de sa complexité technique et de sa capacité à évoluer.

Zeroaccess

En 2011, des experts en cybersécurité ont découvert Zeroaccess, un rootkit en mode noyau qui a infecté plus de 2 millions d'ordinateurs dans le monde. Au lieu d'avoir une incidence directe sur la fonctionnalité de l'ordinateur infecté, ce rootkit télécharge et installe des logiciels malveillants sur la machine infectée et l'intègre à un botnet mondial utilisé par les pirates pour mener des cyberattaques. Zeroaccess est utilisé activement aujourd'hui.

TDSS

En 2008, le rootkit TDSSa été détecté pour la première fois. Il s'agit d'un rootkit semblable au rootkit de démarrage, car il se charge et s'exécute dès les premiers instants du démarrage du système d'exploitation, ce qui complique sa détection et sa suppression.

Comment détecter les rootkits ?

Il peut être difficile de détecter la présence d'un rootkit sur un ordinateur, car ce type de logiciel malveillant est explicitement conçu pour rester caché. Les rootkits peuvent également désactiver les logiciels de sécurité, ce qui rend la tâche encore plus difficile.

Par conséquent, les logiciels malveillants de type rootkit peuvent rester longtemps sur votre ordinateur et causer des dommages importants.
Les signes possibles de la présence d'un logiciel malveillant de type rootkit sont les suivants :

1. Écran bleu

Un nombre important de messages d'erreur Windows ou d'écrans bleus contenant du texte blanc (parfois appelés « écrans bleus de la mort »), et le fait que votre ordinateur doit constamment être redémarré.

2. Comportement inhabituel du navigateur Web

Il peut s'agir de favoris non reconnus ou de redirection de liens.

3. Performances lentes de l'appareil

Il se peut que votre appareil mette du temps à démarrer, qu'il fonctionne lentement ou qu'il se fige souvent. Il se peut également qu'il ne réagisse pas aux entrées de la souris ni à celles du clavier.

4. Modification des paramètres de Windows sans votre autorisation

Il peut s'agir, par exemple, du changement de l'économiseur d'écran, de la barre des tâches qui se cache ou de l'affichage erroné de la date et de l'heure, alors que vous n'avez rien changé.

5. Les pages Web ne fonctionnent pas correctement

Les pages Web ou les activités du réseau semblent interrompues ou ne fonctionnent pas correctement en raison d'un trafic réseau excessif.

Le meilleur moyen de détecter une infection par un rootkit est de procéder à une analyse de rootkit, que votre solution antivirus peut lancer. Si vous soupçonnez la présence d'un virus rootkit, une façon de détecter l'infection est d'éteindre l'ordinateur et d'exécuter l'analyse à partir d'un système propre connu.

Une autre méthode de détection des rootkits consiste à effectuer une analyse comportementale. Cela signifie qu'au lieu de rechercher le rootkit, vous recherchez des comportements semblables à ceux du rootkit. Alors que les analyses ciblées fonctionnent bien si vous savez que le système se comporte de façon étrange, une analyse comportementale peut vous signaler la présence d'un rootkit avant que vous ne vous rendiez compte que vous êtes attaqué.

Comment se débarrasser d'un rootkit ?

La suppression d'un rootkit est un processus complexe qui requiert généralement des outils spécialisés, comme l'utilitaire TDSSKiller de Kaspersky, qui peut détecter et supprimer le rootkit TDSS. Parfois, la seule façon d'éliminer entièrement un rootkit bien caché est de désinstaller le système d'exploitation de votre ordinateur et de le réinstaller à partir de zéro.

Comment supprimer un rootkit de Windows ?

Sous Windows, la suppression consiste généralement à lancer une analyse. En cas d'infection profonde, le seul moyen de supprimer le rootkit est de réinstaller Windows. Il est préférable d'effectuer cette opération via un appareil multimédia externe plutôt que d'utiliser le programme d'installation intégré de Windows. Certains rootkits infectent le BIOS, ce qui nécessite une réparation pour résoudre le problème. Si vous constatez toujours la présence d'un rootkit après une réparation, vous devrez peut-être acheter un nouveau PC.

Comment supprimer un rootkit de Mac ?

Sur un Mac, tenez-vous au courant des nouvelles versions. Les mises à jour de Mac ne se contentent pas d'ajouter de nouvelles fonctionnalités, elles suppriment également les logiciels malveillants, y compris les rootkits. Apple a intégré des fonctionnalités de sécurité pour protéger les utilisateurs des logiciels malveillants.

Cependant, il n'existe aucun détecteur de rootkit connus sur macOS, donc si vous suspectez la présence d'un rootkit sur votre appareil, vous devez réinstaller macOS. Ce faisant, vous supprimez la plupart des applications et des rootkits présents sur votre machine. Comme ci-dessus, si le rootkit a infecté le BIOS, il faudra procéder à une réparation pour résoudre le problème. Si le rootkit subsiste, vous devrez peut-être acheter un nouvel appareil.

---