Ignorer le contenu principal

Rootkit : définition et signification

Un rootkit est un type de logiciel malveillant conçu pour permettre à des pirates informatiques d'accéder à un appareil cible et de le contrôler. Bien que la plupart des rootkits touchent les logiciels et le système d'exploitation, certains peuvent également infecter le matériel et le micrologiciel de votre ordinateur. Les rootkits sont capables de dissimuler leur présence, mais bien qu'ils restent masqués, ils sont toujours actifs.

Une fois qu'ils ont obtenu un accès non autorisé aux ordinateurs, les rootkits permettent aux cybercriminels de voler des données à caractère personnel et des informations financières, d'installer des logiciels malveillants ou d'utiliser des ordinateurs dans le cadre d'un botnet pour faire circuler du spam et participer à des attaques par déni de service.

Le nom « rootkit » découle des systèmes d'exploitation Unix et Linux, où le compte administrateur le plus privilégié est appelé « root ». Les applications qui autorisent un accès non autorisé de niveau racine ou administrateur à l'appareil sont connues sous le nom de « kit ».

Qu'est-ce qu'un rootkit ?

Un rootkit est un logiciel utilisé par les cybercriminels pour prendre le contrôle d'un ordinateur ou d'un réseau cible. Les rootkits peuvent parfois se présenter sous la forme d'un logiciel unique, mais ils sont souvent constitués d'une collection d'outils qui permettent aux pirates d'exercer un contrôle de niveau administrateur sur l'appareil cible.

Les pirates informatiques installent des rootkits sur les machines cibles de plusieurs façons :

  1. La plus courante est le phishing ou un autre type d'attaque par ingénierie sociale. Les victimes téléchargent et installent sans le savoir des logiciels malveillants qui se cachent dans d'autres processus en cours d'exécution sur leur machine et donnent aux pirates le contrôle de presque tous les aspects du système d'exploitation.
  2. Une autre méthode consiste à exploiter une vulnérabilité, c'est-à-dire une faiblesse dans un logiciel ou un système d'exploitation qui n'a pas été mis à jour, et à imposer le rootkit sur l'ordinateur.
  3. Les logiciels malveillants peuvent également être regroupés avec d'autres fichiers, comme des fichiers PDF infectés, du contenu multimédia piraté ou des applications obtenues dans des boutiques tierces suspectes.

Les rootkits opèrent à proximité ou à l'intérieur du noyau du système d'exploitation, ce qui leur donne la possibilité de transmettre des commandes à l'ordinateur. Tout élément qui utilise un système d'exploitation est une cible potentielle pour un rootkit, ce qui, à mesure que l'Internet des objets se développe, peut inclure des éléments comme votre réfrigérateur ou votre thermostat.

Les rootkits peuvent cacher des enregistreurs de frappes, qui capturent vos frappes sans votre consentement. Cela permet aux cybercriminels de dérober facilement vos informations personnelles, comme les données relatives à votre carte de crédit ou vos coordonnées bancaires en ligne. Les rootkits peuvent permettre aux pirates d'utiliser votre ordinateur pour lancer des attaques par déni de service ou envoyer du spam. Ils peuvent même désactiver ou supprimer des logiciels de sécurité.

Certains rootkits sont utilisés à des fins légitimes, par exemple pour fournir une assistance informatique à distance ou aider les forces de l'ordre. Cependant, ils sont le plus souvent utilisés à des fins malveillantes. Ce qui rend les rootkits si dangereux, ce sont les différentes formes de logiciels malveillants qu'ils peuvent transmettre. Ces derniers peuvent manipuler le système d'exploitation d'un ordinateur et donner un accès administrateur à des utilisateurs distants.

Types de rootkits

1. Rootkits matériels ou micrologiciels

Les rootkits matériels ou micrologiciels peuvent toucher sur votre disque dur, votre routeur ou le BIOS de votre système, qui est le logiciel installé sur une petite puce mémoire dans la carte mère de votre ordinateur. Au lieu de viser votre système d'exploitation, ils ciblent le micrologiciel de votre appareil pour y installer des logiciels malveillants difficiles à détecter. Comme ils touchent le matériel, ils permettent aux pirates informatiques d'enregistrer vos frappes au clavier et de surveiller votre activité en ligne. Bien que moins fréquents que les autres types, les rootkits matériels ou micrologiciels constituent une menace sérieuse pour la sécurité en ligne.

2. Rootkits de démarrage

Le mécanisme du programme de démarrage est responsable du chargement du système d'exploitation sur un ordinateur. Les rootkits de démarrage attaquent ce système, remplaçant le programme de démarrage légitime de votre ordinateur par une version piratée de celui-ci. Cette opération active le rootkit avant même que le système d'exploitation de votre ordinateur ne soit complètement chargé.

3. Rootkits de mémoire

Les rootkits de mémoire se cachent dans la mémoire vive (RAM) de votre ordinateur et utilisent les ressources de ce dernier pour mener des activités malveillantes en arrière-plan. Les rootkits de mémoire ont une incidence sur les performances de la mémoire vive de votre ordinateur. Comme ils ne vivent que dans la mémoire vive de votre ordinateur et qu'ils n'injectent aucun code permanent, les rootkits de mémoire disparaissent dès que vous redémarrez le système, bien que des mesures supplémentaires soient parfois nécessaires pour s'en débarrasser. Leur courte durée de vie fait qu'ils ne sont généralement pas perçus comme une menace importante.

4. Rootkits d'application

Les rootkits d'application remplacent les fichiers standards de votre ordinateur par des fichiers rootkit et peuvent même modifier le fonctionnement des applications standards. Ces rootkits infectent des programmes comme Microsoft Office, Notepad ou Paint. Les attaquants peuvent obtenir un accès à votre ordinateur chaque fois que vous exécutez ces programmes. Comme les programmes infectés continuent de s'exécuter normalement, il est difficile pour les utilisateurs de détecter les rootkits, mais les programmes antivirus peuvent les détecter, car ils fonctionnent tous deux sur la couche application.

5. Rootkits en mode noyau

Les rootkits en mode noyau comptent parmi les types les plus graves de cette menace, car ils ciblent le cœur même de votre système d'exploitation (c'est-à-dire le niveau du noyau). Les pirates informatiques les utilisent non seulement pour accéder aux fichiers de votre ordinateur, mais aussi pour modifier la fonctionnalité de votre système d'exploitation en y ajoutant leur propre code. 

6. Rootkits virtuels

Un rootkit virtuel se charge lui-même sous le système d'exploitation de l'ordinateur. Il héberge ensuite les systèmes d'exploitation cibles sous forme de machine virtuelle, ce qui lui permet d'intercepter les appels matériels effectués par le système d'exploitation d'origine. Ce type de rootkit n'a pas besoin de modifier le noyau pour détourner le système d'exploitation et peut être très difficile à détecter.

Exemples de rootkits

Stuxnet

L'un des rootkits les plus célèbres de l'histoire est Stuxnet, un ver informatique malveillant découvert en 2010 et qui aurait été conçu depuis 2005. Stuxnet a causé des dommages considérables au programme nucléaire de l'Iran. Bien que ni les États-Unis ni Israël n'aient admis leur responsabilité, on pense généralement qu'il s'agit d'une cyberarme créée conjointement par ces deux pays dans le cadre d'une collaboration connue sous le nom de Jeux olympiques.

Parmi les autres exemples notables de rootkits, citons :

Flame

En 2012, des experts en cybersécurité ont découvert Flame, un rootkit principalement utilisé pour mener des activités de cyberespionnage au Moyen-Orient. Flame, également connu sous les noms de Flamer, sKyWIper et Skywiper, a une incidence sur l'ensemble du système d'exploitation d'un ordinateur, ce qui lui permet de surveiller le trafic, de réaliser des captures d'écran et des enregistrements audio, et de consigner les frappes de l'appareil. Les pirates à l'origine de Flame n'ont pas été retrouvés, mais les recherches indiquent qu'ils ont utilisé 80 serveurs répartis sur trois continents pour accéder aux ordinateurs infectés.

Necurs

En 2012, Necurs est apparu comme un rootkit et aurait été détecté dans 83 000 infections cette année-là. Associé à des cybercriminels d'élite en Europe de l'Est, Necurs est considéré comme remarquable en raison de sa complexité technique et de sa capacité à évoluer.

ZeroAccess

En 2011, des experts en cybersécurité ont découvert ZeroAccess, un rootkit en mode noyau qui a infecté plus de 2 millions d'ordinateurs dans le monde. Au lieu d'avoir une incidence directe sur la fonctionnalité de l'ordinateur infecté, ce rootkit télécharge et installe des logiciels malveillants sur la machine infectée et l'intègre à un botnet mondial utilisé par les pirates pour mener des cyberattaques. ZeroAccess est utilisé activement aujourd'hui.

TDSS

En 2008, le rootkit TDSSa été détecté pour la première fois. Il s'agit d'un rootkit semblable au rootkit de démarrage, car il se charge et s'exécute dès les premiers instants du démarrage du système d'exploitation, ce qui complique sa détection et sa suppression.

Analyse des rootkits

Comment détecter les rootkits ?

Il peut être difficile de détecter la présence d'un rootkit sur un ordinateur, car ce type de logiciel malveillant est explicitement conçu pour rester caché. Les rootkits peuvent également désactiver les logiciels de sécurité, ce qui rend la tâche encore plus difficile. Par conséquent, les logiciels malveillants de type rootkit peuvent rester longtemps sur votre ordinateur et causer des dommages importants.

Les signes possibles de la présence d'un logiciel malveillant de type rootkit sont les suivants :

1. Écran bleu

Un nombre important de messages d'erreur Windows ou d'écrans bleus contenant du texte blanc (parfois appelés « écrans bleus de la mort »), et le fait que votre ordinateur doit constamment être redémarré.

2. Comportement inhabituel du navigateur Web

Il peut s'agir de favoris non reconnus ou de redirection de liens.

3. Performances lentes de l'appareil

Il se peut que votre appareil mette du temps à démarrer, qu'il fonctionne lentement ou qu'il se fige souvent. Il se peut également qu'il ne réagisse pas aux entrées de la souris ni à celles du clavier.

4. Modification des paramètres de Windows sans votre autorisation

Il peut s'agir, par exemple, du changement de l'économiseur d'écran, de la barre des tâches qui se cache ou de l'affichage erroné de la date et de l'heure, alors que vous n'avez rien changé.

5. Les pages Web ne fonctionnent pas correctement

Les pages Web ou les activités du réseau semblent interrompues ou ne fonctionnent pas correctement en raison d'un trafic réseau excessif.

Le meilleur moyen de détecter une infection par un rootkit est de procéder à une analyse de rootkit, que votre solution antivirus peut lancer. Si vous soupçonnez la présence d'un virus rootkit, une façon de détecter l'infection est d'éteindre l'ordinateur et d'exécuter l'analyse à partir d'un système propre connu.

Une autre méthode de détection des rootkits consiste à effectuer une analyse comportementale. Cela signifie qu'au lieu de rechercher le rootkit, vous recherchez des comportements semblables à ceux du rootkit. Alors que les analyses ciblées fonctionnent bien si vous savez que le système se comporte de façon étrange, une analyse comportementale peut vous signaler la présence d'un rootkit avant que vous ne vous rendiez compte que vous êtes attaqué.

Comment se débarrasser d'un rootkit ?

La suppression d'un rootkit est un processus complexe qui requiert généralement des outils spécialisés, comme l'utilitaire TDSSKiller de Kaspersky, qui peut détecter et supprimer le rootkit TDSS. Parfois, la seule façon d'éliminer entièrement un rootkit bien caché est de désinstaller le système d'exploitation de votre ordinateur et de le réinstaller à partir de zéro.

Comment supprimer un rootkit de Windows ?

Sous Windows, la suppression consiste généralement à lancer une analyse. En cas d'infection profonde, le seul moyen de supprimer le rootkit est de réinstaller Windows. Il est préférable d'effectuer cette opération via un appareil multimédia externe plutôt que d'utiliser le programme d'installation intégré de Windows. Certains rootkits infectent le BIOS, ce qui nécessite une réparation pour résoudre le problème. Si vous constatez toujours la présence d'un rootkit après une réparation, vous devrez peut-être acheter un nouveau PC.

Comment supprimer un rootkit de Mac ?

Sur un Mac, tenez-vous au courant des nouvelles versions. Les mises à jour de Mac ne se contentent pas d'ajouter de nouvelles fonctionnalités, elles suppriment également les logiciels malveillants, y compris les rootkits. Apple a intégré des fonctionnalités de sécurité pour protéger les utilisateurs des logiciels malveillants. Cependant, il n'existe aucun détecteur de rootkit connus sur macOS, donc si vous suspectez la présence d'un rootkit sur votre appareil, vous devez réinstaller macOS. Ce faisant, vous supprimez la plupart des applications et des rootkits présents sur votre machine. Comme ci-dessus, si le rootkit a infecté le BIOS, il faudra procéder à une réparation pour résoudre le problème. Si le rootkit subsiste, vous devrez peut-être acheter un nouvel appareil.

Comment prévenir les rootkits ?

Étant donné que les rootkits peuvent être dangereux et difficiles à détecter, il est important de rester vigilant lors de la navigation sur Internet ou du téléchargement de programmes. Un grand nombre des mesures de protection que vous prenez pour éviter les virus informatiques contribuent également à minimiser le risque de rootkits :

1. Utilisez une solution de cybersécurité complète

Adoptez une attitude proactive en ce qui concerne la protection de vos appareils, et installez une solution antivirus complète et avancée. Kaspersky Total Security offre une protection complète contre les cybermenaces et vous permet également d'exécuter des analyses de rootkit.

2. Maintenez vos appareils à jour

Il est essentiel de mettre régulièrement à jour vos logiciels pour rester en sécurité et empêcher les pirates informatiques de vous infecter avec des logiciels malveillants. Maintenez tous les programmes et votre système d'exploitation à jour pour éviter les attaques par rootkit qui tirent parti des vulnérabilités.

3. Faites attention aux escroqueries par phishing

Le phishing est un type d'attaque d'ingénierie sociale par lequel les escrocs utilisent des emails pour inciter les utilisateurs à leur fournir leurs informations financières ou à télécharger des logiciels malveillants, comme des rootkits. Pour empêcher les rootkits de s'infiltrer dans votre ordinateur, évitez d'ouvrir des emails suspects, surtout si l'expéditeur ne vous est pas familier. Si vous doutez de la fiabilité d'un lien, ne cliquez pas dessus.

4. Téléchargez uniquement des fichiers provenant de sources fiables

Soyez prudent lorsque vous ouvrez des pièces jointes et évitez d'ouvrir des pièces jointes provenant de personnes que vous ne connaissez pas afin d'empêcher l'installation d'un rootkit sur votre ordinateur. Téléchargez des logiciels uniquement à partir de sites réputés. N'ignorez pas les avertissements de votre navigateur lorsqu'il vous indique qu'un site Web que vous essayez de visiter n'est pas sûr. 

5. Soyez attentif au comportement ou aux performances de votre ordinateur

Les problèmes de comportement peuvent indiquer qu'un rootkit est actif. Restez attentif à tout changement inattendu et essayez de trouver la raison du changement en question.

Les rootkits sont l'un des types de logiciels malveillants les plus difficiles à trouver et à supprimer. Comme il est difficile de les détecter, la prévention est souvent la meilleure défense. Pour garantir une protection permanente, continuez de vous informer à propos des dernières menaces de cybersécurité.

Articles connexes :

Qu'est-ce qu'un rootkit ? Définition et explication

Qu'est-ce qu'un rootkit ? Les logiciels malveillants de type rootkit permettent aux pirates de contrôler les ordinateurs cibles. Découvrez comment détecter les rootkits, comment les prévenir et comment vous en débarrasser.
Kaspersky Logo