Qu'est-ce qu'un rootkit ?
Un rootkit est un code malicieux permettant a un attaquant de maintenir en temps réel un acces frauduleux a un systeme informatique, se greffant dans le noyau du systeme d'exploitation. A la différence d'un virus ou d'un ver , un rootkit ne se réplique pas.
Un rootkit agit sur une machine déja compromise. Il est utilisé dans une étape apres intrusion et l'installation d'une porte dérobée pour cacher tous les changements effectués lors de l'intrusion afin de préserver l'acces a la machine. Ces portes dérobées utilisables a distance permettent au pirate de s’introduire a nouveau au cour de la machine sans essayer d' exploiter une nouvelle fois la faille intiale utilisée pour obtenir l’acces , qui serait tôt ou tard corrigée.
Les rootkits ne se restreignent pas a un seul systeme d'exploitation. Ils affectent a la fois les systemes Linux et Windows. Certains rootkits permettent de collecter des mots de passe transitant sur la machine atteinte. Certains rootkits sont également livrés avec plusieurs exploits afin d’aider au maximum les pirates auteurs de ces codes, et sont souvent couplés a d'autres programmes tel qu'un sniffeur de frappe, de paquets... L’installation d’un rootkit nécessite des privileges administrateur (droits du « root » sous linux par exemple) sur la machine, notamment a cause des modifications profondes du systeme , et de son acces directe au noyau.
A l'heure actuelle, on peut compter deux méthodes utilisées par les rootkit afin de camoufler leur existence dans le systeme: une premiere au niveau des commandes systeme, et une seconde au noyau (kernel). Ces méthodes sont utilisées pour masquer l'activité dans le réseau, les clés de registre, les différents processus ainsi que tous les éléments qui permettent d'identifier un programme malveillant sur son ordinateur. Une fois en place, le rootkit est véritablement le maître du systeme. A ce titre, tous les programmes exécutés en mode utilisateur, y compris les firewalls, les antivirus et anti-spywares, doivent passer par le rootkit avant de faire aucune action, et peuvent donc etre faussés. Ils ne peuvent donc se fier a aucune information collectée sur le systeme.
Il est tres difficile de détecter les rootkits tant que le systeme d'exploitation fonctionne, Le rootkit n’a de raison d’etre que si une faille est présente, si les conditions sont réunies pour que son exploitation soit réussie et si elle permet un acces avec les droits administrateur. Le meilleur moyen de se protéger des rootkit est de se prémunir contre les failles.
