Qu'est-ce qu'un rootkit et comment s'en protéger ?

Les éditeurs d'antivirus s'accordent à dire que les rootkits sont une catégorie de programmes malveillants utilisés par les pirates pour accéder aux données de votre ordinateur, voire à prendre le contrôle de celui-ci à l'aide de différents outils. Mode de fonctionnement, différents types de menace, moyens de s'en protéger, nous vous en disons plus à leur sujet dans cet article.

C'est quoi un rootkit ?

Un rootkit, quand il est utilisé à des fins malveillantes, est un malware qui se cache dans les ordinateurs, et plus précisément dans les couches inférieures du système d’exploitation, ce qui le rend très difficile à détecter. Il s'agit souvent d'un pack d'outils et d'applications qui permettent aux pirates d'accéder aux informations de la machine, mais aussi aux privilèges administrateur du système et donc de récupérer le contrôle à distance de l'appareil.

Le terme "kit" provient donc de cet ensemble de solutions logicielles qui donnent ce pouvoir, alors que le mot "root" (racine en anglais) renvoie aussi bien au nom donné à l'administrateur sur les systèmes Unix qu'au fait que ce sont les fondations et les éléments les plus en profondeur et donc les plus critiques du système qui sont visés.

Les rootkits ne sont pas uniquement des outils utilisés par les hackers à des fins malveillantes. L'utilisation la plus connue de ce qui a été considéré comme un rootkit par une entreprise date de 2005, lorsqu'il a été révélé que Sony avait caché un programme dans ses CD. Le programme s'installait silencieusement sur les ordinateurs des utilisateurs et détournait plusieurs fonctionnalités du système Windows pour se camoufler. Le but était de restreindre la copie du CD et d'envoyer à Sony des informations sur les habitudes de ses utilisateurs. Mais, en installant ce programme, Sony ouvrait la porte à toute sorte de virus et malwares, qui ont profité des fonctionnalités du programme pour cacher leur activité. Il s'est également avéré que la désinstallation du logiciel pouvait perturber le fonctionnement de Windows et empêchait le système d'exploitation de lire des CD.

A lire : Les meilleurs antivirus gratuits

Comment peut-on être infecté par un rootkit ?

A l'instar des virus ou des logiciels malveillants, un rootkit peut infecter un ordinateur de bien des manières. Un ordinateur peut être visé car détecté comme vulnérable lors d'un scan par des botnets, ou bien parce qu'il permettrait aux hackers d'obtenir un accès plus large dans un réseau. Dans ce dernier cas, les pirates peuvent utiliser l'ingénierie sociale pour réussir à obtenir les identifiants d'une personne.

Un rootkit peut également infecter un appareil par le biais d'un cheval de Troie, lorsque l'utilisateur ouvre une pièce jointe infectée d'un mail ou télécharge un programme malveillant en ligne. Une autre technique, beaucoup moins courante pour les particuliers, consiste à infecter un appareil laissé sans surveillance pendant quelques minutes ou laisser trainer une clé USB dans un endroit public, en espérant que la curiosité poussera une victime à la brancher sur son ordinateur, lançant ainsi l'infection sur son système.

Un rootkit peut aussi profiter de vulnérabilités et failles de sécurité dans les applications ou directement dans le système d'exploitation pour se faire une place sur l'ordinateur des victimes. Ces brèches peuvent être connues, c'est-à-dire que l'éditeur du logiciel en a déjà connaissance et est en train de travailler ou pas à un correctif, ou inconnues. Ces dernières sont les plus dangereuses puisque seuls les pirates savent qu'elles existent et comment elles peuvent être exploitées, leur donnant ainsi une bonne longueur d'avance.

Comment fonctionne un rootkit ?

L'injection de code permet aux hackers d'accéder à des paramètres système privilégiés et d'installer le rootkit dans les profondeurs de l'OS, où il est difficilement repérable et peut opérer à bien des niveaux en toute discrétion. L'utilisateur ne le sait pas, mais il a à cet instant perdu le contrôle de son ordinateur.

Une fois les composants du rootkit mis en place, différents programmes interviennent dans le fonctionnement du rootkit. L'un d'entre eux va par exemple servir à tromper les systèmes de sécurité de la machine pour rester sous le radar, alors que d'autres vont se concentrer sur la collecte de données personnelles. L'un des objectifs principaux d'un rootkit est de rester indétectable et de camoufler aux logiciels antivirus l'activité des malwares.

Un rootkit peut héberger toute une panoplie de logiciels malveillants : des spyware pour surveiller l'activité de l'utilisateur, un keylogger pour enregistrer ce qu'il tape au clavier… Certains rootkits génèrent aussi des backdoors (portes dérobées) pour garder un accès permanent à la machine. Souvent, les appareils contaminés par un rootkit sont ajoutés à un réseau de botnets et serviront, à l'insu des victimes, à des fins de phishing ou pour réaliser des attaques de type DDoS.

Les différents types de rootkit

Il ne s'agit pas ici de lister toutes les possibilités de rootkit, les combinaisons sont presque infinies puisqu'il s'agit d'un ensemble logiciel personnalisable. Mais nous pouvons tout de même distinguer plusieurs catégories en fonction de la zone de l'ordinateur sur laquelle ils agissent, la manière dont ils se dissimulent et leur mode de fonctionnement.

• Rootkits en mode noyau : les rootkits basés au niveau du noyau sont ceux qui peuvent provoquer le plus de dégâts puisqu'ils peuvent agir sur l'ensemble du système d'exploitation. Ils peuvent corrompre l'ordinateur à absolument toutes les échelles, et ainsi même fausser les résultats des analyses et scanners contre les rootkits. Ils peuvent intercepter absolument toutes les informations, y compris les échanges entre le logiciel et les composants de la machine, et ajouter leurs propres données pour prendre le contrôle de l'appareil et transmettre les informations volées. Ils sont difficiles à mettre en place et à repérer, mais peuvent causer des bugs du système ou des baisses de performance qui peuvent constituer un indice de leur présence.
• Rootkits en mode utilisateur : ces rootkits agissent seulement à l'échelle logicielle. Il en existe plusieurs variantes. Certains agissent au niveau du compte administrateur, ce qui leur permet d'obtenir toutes les autorisations, de contourner les mesures de sécurité et de cacher les malwares dont il dispose, qui ont eux la charge de récupérer les données. Pour cacher sa présence, il pourra détourner des interfaces logicielles, empêchant ainsi l'utilisateur de le trouver dans des listes de processus de type gestionnaire des tâches de Windows. Un rootkit peut aussi se cacher sous la forme d'un fichier exécutable qui paraît légitime. Une application téléchargée illégalement par exemple, peut très bien fonctionner et s'ouvrir normalement, mais cacher un rootkit qui pourra s'activer à chaque lancement. Ils sont plutôt simples à créer, mais un bon anti-malware saura les repérer.
• Rootkits hybrides : ils sont très populaires car polyvalents et ont plus de chance d'infecter un appareil. Ils agissent à la fois au niveau du noyau et au niveau du logiciel. Ils bénéficient donc de la furtivité des rootkits en mode noyau et de la stabilité des rootkits en mode utilisateur.
• Rootkits de firmware : ce ne sont pas les plus répandus, mais ils sont à la fois performants, difficiles à détecter et tenaces. Ils se cachent dans le micrologiciel et peuvent se réinstaller d'eux-mêmes à chaque redémarrage du PC pour continuer leur travail de sape. Même si un antivirus parvient à le détecter et à le mettre en quarantaine, l'utilisateur n'en est débarrassé que pour la session en cours, il reviendra à la prochaine mise sous tension.
• Bootkits : aussi connus sous le nom de rootkits de démarrage, leur but est de s'attaquer aux registres de démarrage du Master Boot Record (enregistrement de démarrage principal). Ils peuvent se lancer chaque fois que l'ordinateur consulte son MBR et en injectant du code dans celui-ci, sont capables de modifier des paramètres système. Difficiles à repérer et éliminer de par leur fonctionnement, les bootkits ont tendance à disparaître car Windows 8.1 et Windows 10 embarquent une sécurité au niveau du boot qui les rend inopérants. Ils peuvent encore sévir sur Windows 7 cependant.
  

Comment supprimer un rootkit ?

Leur nature rend les rootkits résistants à la détection. Ils se dissimulent du mieux qu'ils peuvent pour opérer en secret et tromper la vigilance de l'utilisateur et des outils de sécurité de l'ordinateur. La première étape d'identification d'une infection par rootkit peut elle-même s'avérer compliquée. D'une manière générale, vous devez vous poser la question dès que votre PC se comporte de manière étrange ou effectue une opération inattendue. Parmi les symptômes particulièrement voyants, on retrouve :

• Changements de paramètres Windows sans explication, modification d'éléments d'interface…
• Ordinateur lent, bloqué ou écran bleu, pas de réponse des périphériques, type clavier ou souris.
• Présence de publicités, changement du moteur de recherche par défaut, redirection vers des URL étranges…

Une fois que vous savez que votre machine est infectée, il faut trouver une solution pour se débarrasser du rootkit. Celle-ci sera différente en fonction du type de rootkit dont il s'agit, il est plus simple de le supprimer s'il se trouve au niveau utilisateur que s'il est au niveau du noyau. Les meilleures suites antivirus proposent des technologies anti-rootkit qui peuvent s'avérer efficaces. Pour éliminer les plus tenaces, il faudra peut-être consentir à réinstaller le système d'exploitation.

Comment se protéger des rootkits ?

Le meilleur moyen de se prémunir des rootkits est d'adopter un comportement responsable lors de l'utilisation de l'ordinateur et de la navigation en ligne. N'ouvrez pas de liens ou de fichiers de sources inconnues, que ce soit sur votre boîte mail, sur un forum ou autre.

Si vous êtes sur Windows, utilisez un compte d'utilisateur ordinaire pour votre utilisation quotidienne de votre appareil, notamment en ligne. Ainsi, si un rootkit arrive à s'installer sur votre ordinateur, il lui sera plus difficile d'obtenir tous les droits sur votre système, là où l'utilisation d'un compte administrateur lui ouvre grand la porte.

Téléchargez des contenus multimédia (musique, jeux vidéo, films, séries) depuis des sources fiables uniquement, évitez donc les solutions illégales. Idem pour les logiciels, passez directement par le site officiel de l'éditeur ou la logithèque de Clubic pour esquiver les menaces.

Les rootkits peuvent aussi se cacher sur des clés USB ou disques externes, ne connectez pas n'importe quel périphérique de stockage à votre machine. N'oubliez pas également de bien mettre à jour votre système d'exploitation, vos pilotes, vos antivirus et vos logiciels pour bénéficier des derniers patchs de sécurité.

Enfin, utilisez un antivirus qui propose des fonctionnalités anti-rootkit avancées, avec à la fois scanner de l'ordinateur mais aussi protection en temps réel pour détecter, supprimer et empêcher les menaces de nuire.