Un Rootkit cache virus, spyware, backdoor aux antivirus et anti-spyware

Qu’est-ce qu’un rootkit ? Quelle menace représentent les rootkits aujourd’hui ? Quels risques pour demain ? Le rootkit ne fait pas partie des types de logiciel malveillant au sens strict mais il est souvent utilisé à des fins malveillantes. Les rootkits sont méconnus et pourtant très dangereux.

Définition d’un rootkit

Un Rootkit sous Windows est un programme qui en cache un autre aux yeux de l’utilisateur du PC et des logiciels de sécurité (antivirus et anti-spyware en particulier). Inoffensif en lui-même, il rend invisible un autre programme, généralement un malware, tel qu’une backdoor, un virus, un ver ou un spyware.

Précisément un but courant est de faciliter l’installation d’une backdoor sur la machine cible, une porte dérobée qui va permettre au pirate de garder pendant un certain temps un accès frauduleux au PC. L’invisibilité produite par le rootkit augmentera la durée de l’accès.

Et, incapables de se reproduire, les rootkits ne sont pas des virus (ni des vers). Ils ne permettent pas non plus de s’introduire sur un PC, même si certains cherchent à infecter d’autres machines (fournis avec un outil de recherche de faille de sécurité ou d’interception de mot de passe).

Les conditions d’exécution

En plus d’un accès préalable à la machine ciblée (en s’y introduisant à distance par l’exploitation d’une faille de sécurité), un rootkit nécessite les droits d’un administrateur pour pouvoir modifier le système d’exploitation de façon à cacher des fichiers ou des programmes.

Ainsi un utilisateur administrateur (alias « root ») a tous les droits possibles sur la machine : il peut ajouter, modifier ou supprimer n’importe quel fichier. En revanche un utilisateur courant (ou compte limité) a des droits restreints sur le PC : il ne peut accéder qu’à un nombre limité de fichiers (ceux qui lui appartiennent) et exécuter un nombre réduit de programmes (ceux qu’il a installés).

La distinction entre utilisateur courant et administrateur n’existe pas sous Windows 95 / 98 / Me, où un utilisateur est forcément administrateur du PC. Elle est apparue sous Windows NT / 2000 et perdure sous Windows XP / 8 / 10. Elle existe depuis toujours sous Unix et Linux.

Quel est le danger d’un rootkit ?

Un virus, un ver, une backdoor ou un spyware peut rester actif et invisible aussi longtemps qu’il utilise un rootkit, même si le PC est protégé par l’état de l’art en matière d’antivirus ou d’anti-spyware : aucun programme de protection ne peut désactiver un malware qu’il ne voit pas.

L’évolution du risque

L’utilisation actuelle des rootkits est encore faible par rapport au nombre de malware existants.

Ils sont aujourd’hui plus utilisés dans les spyware et les backdoor que dans les virus et les vers. Quelques exemples :

  • spyware : EliteToolbar, ProAgent, Probot SE
  • backdoor : Berbew, Feutel
  • virus/vers : Myfip.h, Maslan.

Mais leur usage est en hausse constante et représente un intérêt évident pour les créateurs de virus ou de réseaux de zombis.

Les antivirus peuvent détecter l’installation d’un rootkit, sans aucune garantie.

La plupart des internautes utilisent un compte administrateur sous Windows au lieu d’un compte limité, ce qui facilite l’installation des rootkits sur leur PC, et d’une manière générale, augmente fortement les risques de sécurité.

Informations complémentaires