Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Plus fort qu'un virus, le rootkit

Plus fort qu'un virus, le rootkit
2009-03-022013-02-11sécurité applicativefr
A entendre le monde parlé, on a parfois l'impression que le rootkit est le dernier virus à la mode. Bien que le rootkit se comporte parfois comme un virus, il n'en est pas tout à fait un. Et il n'y a pas une, mais plusieurs catégories de...
Publié le 2 Mars 2009 par Philippe Maltere dans sécurité applicative
A entendre le monde parlé, on a parfois l'impression que le rootkit est le dernier virus à la mode. Bien que le rootkit se comporte parfois comme un virus, il n'en est pas tout à fait un. Et il n'y a pas une, mais plusieurs catégories de rootkit.
La première est la plus semblable à un virus, puisqu'il sera installé par l'utilisateur lui-même, parfois même souvent, à l'insu de son plein gré lors de visite à des sites que l'on pourra qualifier de bizarres. Où, il va se distinguer d'un virus « simple », c'est par sa propension à essayer de gagner des privilèges, d'où son nom. Un nom qui ne signifie pas grand-chose pour les Windowsiens, mais veut dire beaucoup pour les unixiens ou linuxiens de tous poils. Root étant l'utilisateur ayant tous les droits sur la machine (un administrateur pour les windowsiens qui n'aurait pas compris), et même s'il ne les a pas, saura les récupérer... La plupart des anti virus à jour détecteront assez facilement cette catégorie.

La deuxième catégorie est à l'heure actuelle la plus prisée, il s'agit des rootkits en mode noyau. Tous les systèmes d'exploitation existants ou à exister en ont ou en auront... Ils sont par nature difficilement détectables puisqu'ils arrivent à dérouter certaines interruptions systèmes. Si votre anti malware ne fonctionne pas au niveau du noyau, ce n'est même pas la peine d'aller plus loin. Si vous avez la chance qu'il fonctionne au niveau kernel (noyau), installer celui-ci lors de l'installation du système d'exploitation. Sinon après, vous risquez de ne plus rien voir (système d'exploitation déjà compromis).

Ces deux premières catégories sont des comiques virtuels par rapport aux dernières catégories, qui sont, Ô joie, beaucoup moins répandues. Ces super méchants travaillent à la fois au niveau du noyau et du matériel, pouvant se charger en Bios, ou dans le firmware, et réapparaitre à chaque démarrage de la machine (c'est la cas du rootkit Gamebit) !! Il n'y a pas grand-chose à faire pour ce type de rootkit, malgré des technologies émergentes comme l'Intel TPMTBC (Trusted Platform Module Trusted Boot Process) permettant de signer les drivers. Cerise sur la gateau, il existe des rootkits purement matériels pouvant contrôler le ventilateur, la température ....

Pour finir à tous seigneur tout honneur, puisque la virtualisation a le vent en poupe, elle a aussi ses rootkits virtuels, mais qui pour l'instant n'existe qu'en concept, heureusement. Nous reviendrons dans un autre article sur la sécurité de la virtualisation.

1 Commentaire

  • 17 Septembre 2010
    2010-09-17
    par
    Un rootkit est un logiciel qui permet d'obtenir un accès privilégié à un ordinateur, tout en travaillant activement pour cacher sa présence aux administrateurs en détournant des fonctionnalités du système d'exploitation ou d'autres applications.

    Un bien bel animal :) Heureusement les solutions antivirus et internet security peuvent bloquer la plupart de ces applications.

    Cela dit, il faut toujours penser à avoir un logiciel antivirus à jour !

    Merci pour cet article et nous rappeler combien le net peut regorger de merveilleuses surprises ;)

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage