Qu'est-ce qu'un rootkit et comment s'en protéger ?

20 décembre 2020 à 09h21
Sponsorisé par
ESET
0
Sponsorisé par ESET

Les rootkits sont une catégorie de programme malveillant utilisés par les pirates pour accéder aux données de votre ordinateur, voire à prendre le contrôle de celui-ci. Mode de fonctionnement, différents types de menace, moyens de s'en protéger, nous vous en disons plus à leur sujet dans cet article.

C'est quoi un rootkit ?

Un rootkit, quand il est utilisé à des fins malveillantes, est un malware qui se cache dans les ordinateurs, et plus précisément dans les couches inférieures du système d’exploitation, ce qui le rend très difficile à détecter. Il s'agit souvent d'un pack d'outils et d'applications qui permettent aux pirates d'accéder aux informations de la machine mais aussi aux privilèges administrateur du système et donc de récupérer le contrôle à distance de l'appareil.

Le terme "kit" provient donc de cet ensemble de solutions logicielles qui donnent ce pouvoir, alors que le mot "root" (racine en anglais) renvoie au fait que ce sont les fondations et les éléments les plus en profondeur et donc les plus critiques du système qui sont visés.

Comment fonctionne un rootkit ?

Un rootkit profite de vulnérabilités et failles de sécurité dans les applications ou directement dans le système d'exploitation pour se faire une place sur l'ordinateur des victimes. Ces brèches peuvent être connues, c'est à dire que l'éditeur du logiciel en a déjà connaissance et est en train de travailler ou pas à un correctif, ou inconnues. Ces dernières sont les plus dangereuses puisque seuls les pirates savent qu'elles existent et comment elles peuvent être exploitées, leur donnant ainsi une bonne longueur d'avance.

L'injection de code permet aux hackers d'accéder à des paramètres système privilégiés et d'installer le rootkit dans les profondeurs de l'OS, où il est difficilement repérable et peut opérer à bien des niveaux en toute discrétion. L'utilisateur ne le sait pas, mais il a à cet instant perdu le contrôle de son ordinateur.

Une fois les composants du rootkit mis en place, différents programmes interviennent dans le fonctionnement du rootkit. L'un d'entre eux va par exemple servir à tromper les systèmes de sécurité de la machine pour rester sous le radar, alors que d'autres vont se concentrer sur la collecte de données personnelles.

Un rootkit peut héberger toute une panoplie de logiciels malveillants : des spyware pour surveiller l'activité de l'utilisateur, un keylogger pour enregistrer ce qu'il tape au clavier… Certains rootkits génèrent aussi des backdoors (portes dérobées) pour garder un accès permanent à la machine.

Les différents types de rootkit

Il ne s'agit pas ici de lister toutes les possibilités de rootkit, les combinaisons sont presque infinies puisqu'il s'agit d'un ensemble logiciel personnalisable. Mais nous pouvons tout de même distinguer plusieurs catégories en fonction de la zone de l'ordinateur sur laquelle ils agissent, la manière dont ils se dissimulent et leur mode de fonctionnement.

  • Rootkits en mode noyau : les rootkits basés au niveau du kernel sont ceux qui peuvent provoquer le plus de dégâts puisqu'ils peuvent agir sur l'ensemble du système d'exploitation. Ils peuvent corrompre l'ordinateur à absolument toutes les échelles, et ainsi même fausser les résultats des analyses et scanners contre les rootkits. Ils peuvent intercepter absolument toutes les informations, y compris les échanges entre le logiciel et les composants de la machine, et ajouter leurs propres données pour prendre le contrôle de l'appareil et transmettre les informations volées. Ils sont difficiles à mettre en place et à repérer, mais peuvent causer des bugs du système ou des baisses de performance qui peuvent constituer un indice de leur présence.
  • Rootkits en mode utilisateur : ces rootkits agissent seulement à l'échelle logicielle. Il en existe plusieurs variantes. Certains agissent au niveau du compte administrateur, ce qui leur permet d'obtenir toutes les autorisations, de contourner les mesures de sécurité et de cacher les malwares dont il dispose, qui ont eux la charge de récupérer les données. Un rootkit peut aussi se cacher sous la forme d'un fichier exécutable qui paraît légitime. Une application téléchargée illégalement par exemple, peut très bien fonctionner et s'ouvrir normalement, mais cacher un rootkit qui pourra s'activer à chaque lancement. Ils sont plutôt simple à créer, mais un bon anti-malware saura le répérer.
  • Rootkits hybrides : ils sont très populaires car polyvalents et ont plus de chance d'infecter un appareil. Ils agissent à la fois au niveau du kernel et au niveau du logiciel. Ils bénéficient donc de la furtivité des rootkits en mode noyau et de la stabilité des rootkits en mode utilisateur.
  • Rootkits de firmware : ce ne sont pas les plus répandus, mais ils sont à la fois performants, difficiles à détecter et tenaces. Ils se cachent dans le micrologiciel et peuvent se réinstaller d'eux-mêmes à chaque redémarrage du PC pour continuer leur travail de sape. Même si un antivirus parvient à le détecter et à le mettre en quarantaine, l'utilisateur n'en est débarrassé que pour la session en cours, il reviendra à la prochaine mise sous tension.
  • Bootkits : aussi connus sous le nom de rootkits de démarrage, leur but est de s'attaquer aux registres de démarrage du Master Boot Record (enregistrement de démarrage principal). Ils peuvent se lancer chaque fois que l'ordinateur consulte son MBR et en injectant du code dans celui-ci, sont capables de modifier des paramètres système. Difficiles à repérer et éliminer de par leur fonctionnement, les bootkits ont tendance à disparaître car Windows 8.1 et Windows 10 embarquent une sécurité au niveau du boot qui les rend inopérants. Ils peuvent encore sévir sur Windows 7 cependant.

Comment supprimer un rootkit ?

Leur nature rend les rootkits difficiles à détecter. Ils se dissimulent du mieux qu'ils peuvent pour opérer en secret et tromper la vigilance de l'utilisateur et des outils de sécurité de l'ordinateur. La première étape d'identification d'une infection par rootkit peut elle-même s'avérer compliquée. D'une manière générale, vous devez vous poser la question dès que votre PC se comporte de manière étrange ou effectue une opération inattendue. Parmi les symptômes particulièrement voyants, on retrouve :

  • Changements de paramètres Windows sans explication, modification d'éléments d'interface…
  • Ordinateur lent, bloqué ou écran bleu, pas de réponse des périphériques, type clavier ou souris.
  • Présence de publicités, changement du moteur de recherche par défaut, redirection vers des URL étranges…

Une fois que vous savez que votre machine est infectée, il faut trouver une solution pour se débarrasser du rootkit. Celle-ci sera différente en fonction du type de rootkit il s'agit, il est plus simple de le supprimer s'il se trouve au niveau utilisateur que s'il est au niveau du noyau. Les meilleures suites antivirus proposent des technologies anti-rootkit qui peuvent s'avérer efficaces. Pour éliminer les plus tenaces, il faudra peut-être consentir à réinstaller le système d'exploitation.

Comment se protéger des rootkits ?

Le meilleur moyen de se prémunir des rootkits est d'adopter un comportement responsable lors de l'utilisation de l'ordinateur et de la navigation web. N'ouvrez pas de liens ou de fichiers de sources inconnues, que ce soit sur votre boîte mail, sur un forum ou autre.

Téléchargez des contenus multimédia (musique, jeux vidéo, films, séries) depuis des sources fiables uniquement, évitez donc les solutions illégales. Idem pour les logiciels, passez directement par le site officiel de l'éditeur ou la logithèque de Clubic pour esquiver les menaces.

Les rootkits peuvent aussi se cacher sur des clés USB ou disques externes, ne connectez pas n'importe quel périphérique de stockage à votre machine. N'oubliez pas également de bien mettre à jour votre système d'exploitation, vos pilotes et vos logiciels pour bénéficier des derniers patchs de sécurité.

Enfin, utilisez un antivirus qui propose des fonctionnalités anti-rootkit avancées, avec à la fois scanner de l'ordinateur mais aussi protection en temps réel pour détecter, supprimer et empêcher les menaces de nuire.

Modifié le 20/12/2020 à 11h11
Article proposé et conçu par La Rédaction Clubic en partenariat avec ESET. Consultez notre charte pour en savoir plus.
Soyez toujours courtois dans vos commentaires
et respectez le réglement de la communauté.
0
0

Actualités récentes

Soldes 2021 : les meilleurs bons plans et promos high-tech en DIRECT
Auto Chess va disposer d'un spin-off MOBA... alors qu'il est lui-même un mod de DOTA 2
Kodi 19.x
Déjà arrêté en Europe, LG pourrait abandonner le smartphone dans le monde entier
Lisa Su, P.-D.G. d'AMD, est ravie de la très forte demande de PS5 et Xbox Series
Vous pouvez utiliser l'overlay de Discord en jeu
Brave est le premier navigateur à intégrer nativement IFPS, le HTTP pair-à-pair du futur
Plus de 30% de réduction sur cette caméra Xiaomi Mi Home Camera pour les Soldes Cdiscount
Soldes Boulanger : l'excellent aspirateur iRobot Roomba 675 à moins de 200€
NVIDIA Shield TV : la dernière mise à jour pense notamment aux manettes de PS5 et Xbox One Series X/S
Haut de page