Qu’est-ce qu’un rootkit ?

28 Mar 2013

Cela fait maintenant presque 20 ans que les rootkits existent,  et qu’ils permettent aux pirates informatiques d’accéder aux données des utilisateurs afin de les voler sans qu’ils ne soient détectés pendant un certain temps. Ce terme désigne généralement certains outils de malware qui sont conçus spécialement pour se dissimuler dans les ordinateurs infectés et permettent aux pirates de contrôler l’ordinateur. Afin d’aider les utilisateurs à comprendre ce qu’est un rootkit et comment ils fonctionnent, nous avons mis au point cette fiche explicative et nous vous expliquons comment faire si votre ordinateur est infecté par un rootkit.

Définition d’un rootkit

Un rootkit est un terme anglais qui désigne un type de malware conçu pour infecter un PC et qui permet au pirate d’installer une série d’outils qui lui permettent d’accéder à distance à un ordinateur. Le malware  sera habituellement bien caché dans le système d’exploitation et ne sera pas détecté par les logiciels anti-virus et autres outils de sécurité. Le rootkit peut contenir de nombreux outils malicieux tels qu’un enregistreur de frappe,  un programme de capture de mots de passe, un module pour voler les informations de cartes et de comptes bancaires en ligne, un robot afin de mener des attaques DDoS ou possédant des fonctionnalités capables de désactiver les logiciels de sécurité. Les rootkits agissent typiquement comme une porte dérobée qui permet au pirate de se connecter à distance à l’ordinateur infecté quand il le souhaite ainsi que d’installer ou de supprimer des components spécifiques. Certains rootkits utilisés sur Windows de nos jours incluent TDSS, ZeroAccess, Alureon, Necurs.

Différents types de rootkit

Les deux types de rootkits principaux  sont les rootkits en mode utilisateur et ceux en mode noyau. Les rootkits en mode utilisateur sont conçus pour fonctionner au sein du système d’exploitation de l’ordinateur comme une application. Ils exécutent leur comportement malicieux en piratant les applications en fonctionnement sur l’ordinateur ou en remplaçant la mémoire utilisée par une application. Il s’agit du type de rootkit le plus commun. Les rootkits en mode noyau fonctionnent au niveau le plus profond du système d’exploitation du PC et donnent au pirate une série de privilèges très puissants. Après l’installation d’un rootkit en mode noyau, un pirate obtient un contrôle total de l’ordinateur compromis et la possibilité de faire tout ce qu’il veut sur celui-ci. Ce type de rootkit est habituellement plus complexe que les rootkits en mode utilisateur et c’est pourquoi ils sont moins courants. Ce type de rootkit est également plus difficile à détecter et à supprimer.

Il existe également d’autres variantes moins courantes, telles que les bootkits, qui sont conçus pour modifier le démarrage de l’ordinateur, le logiciel fonctionne avant que le système d’exploitation ne soit lancé. Ces dernières années, un nouveau type de rootkits ciblant les mobiles a émergé pour attaquer les smartphones, et plus particulièrement les appareils Android. Ces rootkits sont souvent associés à une application malicieuse téléchargée à partir d’une boutique d’applications ou d’un forum appartenant à un tiers.

Méthode d’infection

Les rootkits peuvent être installés en suivant différentes méthodes, mais le vecteur d’infection le plus courant  est l’utilisation d’une vulnérabilité du système d’exploitation ou d’une application fonctionnant sur l’ordinateur. Les pirates ciblent les vulnérabilités connues et inconnues du système d’exploitation ainsi que celles des applications et utilisent un code d’exploit afin d’obtenir une position privilégiée dans l’ordinateur ciblé. Ensuite, ils installent le rootkit et les components leur permettant d’accéder à l’ordinateur à distance. Le code d’exploit d’une vulnérabilité peut être hébergé sur un site Web légitime qui a été compromis. Les clés USB infectées sont un autre vecteur d’infection. Les pirates peuvent abandonner des clés USB sur lesquelles des rootkits sont cachés dans des endroits où elles ont de grandes chances d’être trouvées et récupérées par les victimes, tels qu’un bâtiment de bureaux, un café, ou un centre de conférences. Dans certains cas, le rootkit utilisera des vulnérabilités de sécurité, mais dans d’autres, il se fera passer pour une application légitime ou un fichier de la clé USB.

Suppression

Détecter la présence d’un rootkit sur un ordinateur peut être difficile compte tenu du fait que ce type de malware est conçu pour être dissimulé et effectuer son travail en arrière plan. Il existe des utilitaires conçus pour rechercher les rootkits connus et inconnus grâce à différentes méthodes tels que l’utilisation de signatures ou  une approche comportementale qui tente de détecter les rootkits en étant à l’affût de comportements connus. Supprimer un rootkit est un procédé compliqué et cela requiert habituellement des outils spécifiques tels que TDSSKiller, un utilitaire de Kaspersky Lab qui peut détecter et supprimer les rootkits TDSS. Dans certains cas, la victime devra peut-être réinstaller son système d’exploitation si l’ordinateur est trop endommagé.