RootKit

Rootkit est un nom générique donné à des dispositifs logiciels, la plupart du temps malicieux, arrivant à s'implanter dans un appareil (tous systèmes d'exploitation confondus) avec les privilèges les plus élevés (« Ring 0 » dans Windows) du système d'exploitation.

Définis par Kaspersky, les rootkits sont un programme ou une collection d'outils logiciels programmés pour masquer certains objets ou activités dans un système d'exploitation. En règle générale, les cybercriminels masquent les clés de registre servant à l'exécution automatique d'objets malveillants, ainsi que les fichiers, dossiers, processus dans la mémoire de l'ordinateur infecté et les activités réseau malveillantes. Ils peuvent empêcher la suppression de fichiers ou de clés de registre. Les rootkits eux-mêmes ne causent pas de dommages directs à l'ordinateur. Dans la très grande majorité des cas, ils sont utilisés en conjonction avec d'autres logiciels malveillants pour empêcher leur détection et maximiser le temps de séjour dans l'ordinateur de la victime.

Les Rootkits s'installent au niveau « racine » du système d'exploitation (dans son noyau), grâce, historiquement, aux privilèges de l'utilisateur « root » (le compte utilisateur avec les niveaux de privilèges les plus élevés dans le monde Unix où les Rootkits sont nés), d'où leur nom.

Les Rootkits disposent alors de tous les moyens pour se rendre totalement furtifs et indétectables (« crochetage » (« hook - hooker - hooking ») du système de fichiers empêchant d'être vu, etc.).

Exemples de comportement d'un RootKit :

• Si un logiciel, que le Rootkit identifie comme étant un antivirus ou un logiciel de sécurité, tente d'accéder à l'un des objets du Rootkit, en en faisant la demande, par exemple, au système de fichiers, le Rootkit, qui intercepte toutes ces demandes (il crochète le système de fichiers [FAT ou NTFS sous Windows]) retourne une réponse disant que l'objet recherché n'existe pas.

• Si un journal d'activité du système (log) fait ressortir une activité relevant du Rootkit (exploitation de la bande passante Internet, processus s'exécutant, etc.), le Rootkit falsifie les journaux d'activité.

Les Rootkit existent dans tous les mondes informatiques : Linux, Unix, Solaris, HP-UX, Mac OS X, Windows...

Certains logiciels, plus ou moins légitimes, utilisent des techniques de Rootkit, tels les émulateurs de disque (DAEMON Tools, Alcohol 120%, etc.).

Certains Rootkit sont développés pour suivre les DRM (les droits numériques) et identifier les pirates ou bloquer le fonctionnement des versions pirates de ressources soumises à des droits. Mark Russinovich, de SysInternals, avait découvert le fameux et controversé (fumeux) « Rootkit » de Sony (Sony le retirera rapidement).

La propagation (le déploiement) des Rootkit suit les mêmes chemins que le déploiement des virus et autres malveillances (exploitation de failles de sécurité, spams, logiciels quelconques (de jeux, crack, plug-ins prétendument spécifiques, fausses alertes de mises à jour, chevaux de Troie, etc.).

Les Rootkit sont très difficiles à détecter et à éradiquer. Ils ne sont pas du ressort des antivirus qui ne peuvent pas les voir - mais les antivirus les plus avancés disposent désormais d'antirootkit, soit développés en interne (machines virtuelles, sandbox, etc.), soit achetés à un développeur externe. Si, après une décontamination standard, un soupçon de contamination continue de peser sur une machine, l'utilisateur doit consulter un forum d'entraide spécialisé ayant des assistants (« helpers ») agréés.

Le virus Regin, considéré comme l'un des plus sophistiqués du monde, a pu fonctionner durant 10 ans (de 2003 à 2014) avant d'être découvert. L'un de ses composants est un rootkit (rootkit Regin - sous le nom de Rootkit.Win32.Regin).

L'internaute « normal » ne doit pas tenter de s'en sortir tout seul et ne doit absolument pas recopier une solution trouvée sur le Web (il s'agit probablement d'une attaque irréversible d'un cybercriminel, comme un crypto-ransomware, etc.). Les solutions provenant d'un forum d'entraide spécialisé sont :

• Données à titre personnel.

• Ne concernent qu'un ordinateur particulier.

• D'un utilisateur particulier.

• Contre une attaque particulière.

• Dans un contexte particulier.

Seul un assistant agréé vous donnera une solution qui ne s'appliquera qu'à votre machine après vous avoir fait faire de nombreuses opérations préalables et vous avoir demandé de lui fournir de nombreux journaux d'analyses (logs) qu'il mettra un certain temps à décortiquer pour vous proposer une solution adaptée et strictement personnelle.

Dossier (collection) : Outils anti-rootkits

Que sont les rootkits ? Rootkit Outils anti-rootkits AntiZeroAccess (Webroot) 32 bits GMER Malwarebytes Anti-Malware (MBAM) Malwarebytes Anti-Rootkit (MBAR) RootRepeal RogueKiller RootkitRevealer (SysInternals) 32 bits - Périmé TDSSKiller (Kaspersky) Sophos Anti-Rootkit Trend Micro RootkitBuster UnHackMe Vba32 AntiRootkit aswmbr (ne pas utiliser sans assistance) MBR (ne pas utiliser sans assistance) Panda Anti-Rootkit

Dossier (collection) : Droits numériques

MTP (Mesures Techniques de Protection) DRM (Digital Rights Management) GDN (Gestion des Droits Numériques) GND (Gestion Numérique des Droits) e-Book - livre édité distribué en forme numérisée DADVSI - Droit d'Auteur et Droits Voisins dans la Société de l'Information DMCA - Digital Millennium Copyright Act DRM Steam - Protection numérique anti-piratage des jeux vidéo Rootkit - Certains rootkits favorisent les cracks ou, à l'inverse, pistent les piratages Hack - Hacking (hacker)