{"id":750,"date":"2013-03-28T14:00:06","date_gmt":"2013-03-28T14:00:06","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=750"},"modified":"2018-07-17T12:33:08","modified_gmt":"2018-07-17T12:33:08","slug":"quest-ce-quun-rootkit","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/quest-ce-quun-rootkit\/750\/","title":{"rendered":"Qu’est-ce qu’un rootkit ?"},"content":{"rendered":"

Cela fait maintenant presque 20 ans que les rootkits<\/a> existent,\u00a0 et qu\u2019ils permettent aux pirates informatiques d\u2019acc\u00e9der aux donn\u00e9es des utilisateurs afin de les voler sans qu\u2019ils ne soient d\u00e9tect\u00e9s pendant un certain temps. Ce terme d\u00e9signe g\u00e9n\u00e9ralement certains outils de malware qui sont con\u00e7us sp\u00e9cialement pour se dissimuler dans les ordinateurs infect\u00e9s et permettent aux pirates de contr\u00f4ler l\u2019ordinateur. Afin d\u2019aider les utilisateurs \u00e0 comprendre ce qu\u2019est un rootkit et comment ils fonctionnent, nous avons mis au point cette fiche explicative et nous vous expliquons comment faire si votre ordinateur est infect\u00e9 par un rootkit.<\/p>\n

\"\"<\/p>\n

D\u00e9finition d\u2019un rootkit<\/b><\/p>\n

Un rootkit est un terme anglais qui d\u00e9signe un type de malware con\u00e7u pour infecter un PC et qui permet au pirate d\u2019installer une s\u00e9rie d\u2019outils qui lui permettent d\u2019acc\u00e9der \u00e0 distance \u00e0 un ordinateur. Le malware \u00a0sera habituellement bien cach\u00e9 dans le syst\u00e8me d\u2019exploitation et ne sera pas d\u00e9tect\u00e9 par les logiciels anti-virus et autres outils de s\u00e9curit\u00e9. Le rootkit peut contenir de nombreux outils malicieux tels qu\u2019un enregistreur de frappe,\u00a0 un programme de capture de mots de passe, un module pour voler les informations de cartes et de comptes bancaires en ligne, un robot afin de mener des attaques DDoS ou poss\u00e9dant des fonctionnalit\u00e9s capables de d\u00e9sactiver les logiciels de s\u00e9curit\u00e9. Les rootkits agissent typiquement comme une porte d\u00e9rob\u00e9e qui permet au pirate de se connecter \u00e0 distance \u00e0 l\u2019ordinateur infect\u00e9 quand il le souhaite ainsi que d\u2019installer ou de supprimer des components sp\u00e9cifiques. Certains rootkits utilis\u00e9s sur Windows de nos jours incluent TDSS<\/a>, ZeroAccess<\/a>, Alureon<\/a>, Necurs<\/a>.<\/p>\n

Diff\u00e9rents types de rootkit<\/b><\/p>\n

Les deux types de rootkits principaux \u00a0sont les rootkits en mode utilisateur et ceux en mode noyau. Les rootkits en mode utilisateur sont con\u00e7us pour fonctionner au sein du syst\u00e8me d\u2019exploitation de l\u2019ordinateur comme une application. Ils ex\u00e9cutent leur comportement malicieux en piratant les applications en fonctionnement sur l\u2019ordinateur ou en rempla\u00e7ant la m\u00e9moire utilis\u00e9e par une application. Il s\u2019agit du type de rootkit le plus commun. Les rootkits en mode noyau fonctionnent au niveau le plus profond du syst\u00e8me d\u2019exploitation du PC et donnent au pirate une s\u00e9rie de privil\u00e8ges tr\u00e8s puissants. Apr\u00e8s l\u2019installation d\u2019un rootkit en mode noyau, un pirate obtient un contr\u00f4le total de l\u2019ordinateur compromis et la possibilit\u00e9 de faire tout ce qu\u2019il veut sur celui-ci. Ce type de rootkit est habituellement plus complexe que les rootkits en mode utilisateur et c\u2019est pourquoi ils sont moins courants. Ce type de rootkit est \u00e9galement plus difficile \u00e0 d\u00e9tecter et \u00e0 supprimer.<\/p>\n

Il existe \u00e9galement d\u2019autres variantes moins courantes, telles que les bootkits<\/a>, qui sont con\u00e7us pour modifier le d\u00e9marrage de l\u2019ordinateur, le logiciel fonctionne avant que le syst\u00e8me d\u2019exploitation ne soit lanc\u00e9. Ces derni\u00e8res ann\u00e9es, un nouveau type de rootkits ciblant les mobiles<\/a> a \u00e9merg\u00e9 pour attaquer les smartphones, et plus particuli\u00e8rement les appareils Android. Ces rootkits sont souvent associ\u00e9s \u00e0 une application malicieuse t\u00e9l\u00e9charg\u00e9e \u00e0 partir d\u2019une boutique d\u2019applications ou d\u2019un forum appartenant \u00e0 un tiers.<\/p>\n

M\u00e9thode d\u2019infection <\/b><\/p>\n

Les rootkits peuvent \u00eatre install\u00e9s en suivant diff\u00e9rentes m\u00e9thodes, mais le vecteur d\u2019infection le plus courant\u00a0 est l\u2019utilisation d\u2019une vuln\u00e9rabilit\u00e9 du syst\u00e8me d\u2019exploitation ou d\u2019une application fonctionnant sur l\u2019ordinateur. Les pirates ciblent les vuln\u00e9rabilit\u00e9s connues et inconnues du syst\u00e8me d\u2019exploitation ainsi que celles des applications et utilisent un code d\u2019exploit afin d\u2019obtenir une position privil\u00e9gi\u00e9e dans l\u2019ordinateur cibl\u00e9. Ensuite, ils installent le rootkit et les components leur permettant d\u2019acc\u00e9der \u00e0 l\u2019ordinateur \u00e0 distance. Le code d\u2019exploit d\u2019une vuln\u00e9rabilit\u00e9 peut \u00eatre h\u00e9berg\u00e9 sur un site Web l\u00e9gitime qui a \u00e9t\u00e9 compromis. Les cl\u00e9s USB infect\u00e9es sont un autre vecteur d\u2019infection. Les pirates peuvent abandonner des cl\u00e9s USB sur lesquelles des rootkits sont cach\u00e9s dans des endroits o\u00f9 elles ont de grandes chances d\u2019\u00eatre trouv\u00e9es et r\u00e9cup\u00e9r\u00e9es par les victimes, tels qu\u2019un b\u00e2timent de bureaux, un caf\u00e9, ou un centre de conf\u00e9rences. Dans certains cas, le rootkit utilisera des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9, mais dans d\u2019autres, il se fera passer pour une application l\u00e9gitime ou un fichier de la cl\u00e9 USB.<\/p>\n

Suppression <\/b><\/p>\n

D\u00e9tecter la pr\u00e9sence d\u2019un rootkit sur un ordinateur peut \u00eatre difficile compte tenu du fait que ce type de malware est con\u00e7u pour \u00eatre dissimul\u00e9 et effectuer son travail en arri\u00e8re plan. Il existe des utilitaires con\u00e7us pour rechercher les rootkits connus et inconnus gr\u00e2ce \u00e0 diff\u00e9rentes m\u00e9thodes tels que l\u2019utilisation de signatures ou \u00a0une approche comportementale qui tente de d\u00e9tecter les rootkits en \u00e9tant \u00e0 l\u2019aff\u00fbt de comportements connus. Supprimer un rootkit est un proc\u00e9d\u00e9 compliqu\u00e9 et cela requiert habituellement des outils sp\u00e9cifiques tels que TDSSKiller<\/a>, un utilitaire de Kaspersky Lab qui peut d\u00e9tecter et supprimer les rootkits TDSS. Dans certains cas, la victime devra peut-\u00eatre r\u00e9installer son syst\u00e8me d\u2019exploitation si l\u2019ordinateur est trop endommag\u00e9.<\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Cela fait maintenant presque 20 ans que les rootkits existent,\u00a0 et qu\u2019ils permettent aux pirates informatiques d\u2019acc\u00e9der aux donn\u00e9es des utilisateurs afin de les voler sans qu\u2019ils ne soient d\u00e9tect\u00e9s<\/p>\n","protected":false},"author":32,"featured_media":751,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[686],"tags":[155,88,278,279],"class_list":{"0":"post-750","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-malware-2","9":"tag-pc","10":"tag-rootkit","11":"tag-tdsskiller"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/quest-ce-quun-rootkit\/750\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/malware-2\/","name":"malware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/750","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=750"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/750\/revisions"}],"predecessor-version":[{"id":10731,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/750\/revisions\/10731"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/751"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=750"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=750"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=750"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}