Pour gérer vos consentements :
Categories: Sécurité

Les ‘rootkits’ arrivent. Et puis quoi encore ?

Un « rootkit » est un programme ou un ensemble de programmes permettant à un pirate de maintenir -dans le temps- un accès frauduleux à un système informatique. Le pré-requis du ‘rootkit’ est une machine « déjà » piratée.

La fonction principale du « rootkit » est de simplifier, voire automatiser, la mise en place d’une ou plusieurs « backdoors ». Ces « portes dérobées » (locales ou à distance: ‘remote‘) permettent au pirate de s’introduire à nouveau au coeur de la machine sans pour autant exploiter une nouvelle fois la faille par laquelle il a pu obtenir l’accès frauduleux initial. De plus, certains « rootkits » opèrent une suite de modifications, notamment dans le noyau (kernel) permettant de cacher des fichiers, des processus… Rien à voir, donc, avec un virus ou ver de nouvelle génération. Un « rootkit » ne se réplique pas. L’installation d’un « rootkit » nécessite des droits administrateurs sur la machine, notamment à cause des modifications profondes du système qu’il engendre. Cela signifie que le pirate doit initialement disposer d’un accès frauduleux, avec les droits du « root » sous Linux par exemple, afin de mettre en place son « rootkit ». Objectif: maintenir un accès frauduleux A aucun moment un «rootkit» ne permet de s’introduire de manière frauduleuse sur une machine saine. En revanche, certains « rootkits » permettent la collecte des mots de passes qui transitent par la machine «corrompue». Ainsi, un « rootkit » peut indirectement donner l’accès à d’autres machines. Certains « rootkits » sont également livrés avec des collections d’ « exploits », ces petits bouts de code dédiés à l’exploitation d’une faille bien déterminée. Le but est d’aider les pirates dans leur conquête de machines encore vierges. Le rootkit automatise l’installation d’une porte dérobée ou d’un cheval de Troie. Le ver automatise l’exploitation d’une vulnérabilité à travers le réseau et peut accessoirement installer une ‘backdoor’ (porte arrière = port qui reste ouvert) une fois au coeur d’une machine. Le « rootkit » n’a de raison d’être que si une faille est présente, si les conditions sont réunies pour que son exploitation soit réussie et si elle permet un accès avec les droits de l’administrateur. Par transitivité, pas de faille, pas de «rootkit». Se prémunir des failles La discrétion est l’essence même du « rootkit ». Il permet à un pirate de cacher son intrusion et sa présence sur une machine. Le meilleur moyen de s’en protéger est donc de se prémunir des failles. Les « rootkits » existent depuis plusieurs années. D’ailleurs, le projet Chkrootkit dédié au développement d’un outil de détection de « rootkit » pour les plates-formes Linux, *BSD, Solaris et HP-UX a été démarré en 1997. Le phénomène n’est donc pas nouveau. En 2002, Securityfocus faisait état des avancements en matière de « rootkit » pour les plates-formes Microsoft Windows. (*) pour Vulnerabilite.com

Pour en savoir plus…

Le projet Chkrootkit https://www.chkrootkit.org Présentation et détection du Rootkit Adore https://www.hsc.fr/ressources/breves/adore.html.fr RkScan d’HSC https://www.hsc.fr/ressources/outils/rkscan/index.html.en What is tOrn Rootkit https://www.sans.org/resources/malwarefaq/t0rn_rootkit.php

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

3 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

3 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

3 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

3 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

3 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

3 semaines ago