LogiCL |
---|
Services Informatiques |
LogiCL Services Informatiques
Outil de dissimulation d'activité
Rootkit (outil de dissimulation d'activité)
Un rootkit (le nom «outil de dissimulation d'activité» est également utilisé), parfois simplement
«kit», est un ensemble de techniques mises en œuvre par un ou plusieurs logiciels, dont le but
est d'obtenir et de permettre un accès (généralement non autorisé) à un ordinateur de la
manière la plus furtive possible à la différence d'autres logiciels malveillants. Le terme peut
désigner la technique de dissimulation ou plus généralement un ensemble particulier d'objets
informatiques mettant en œuvre cette technique.
Leur furtivité est assurée par plusieurs mécanismes de dissimulation : effacement de traces,
masquage de l'activité et des communications, etc. Un rootkit peut s'installer dans un autre
logiciel, une bibliothèque ou dans le noyau d'un système d'exploitation. Certains peuvent
modifier l'hyperviseur fonctionnant au-dessus des systèmes ou le micrologiciel intégré dans un
matériel. La plupart des rootkits servent à installer des logiciels malveillants sur les machines où
l'accès est obtenu. Certains fournisseurs de matériels informatiques, tel Sony, les utilisent pour
s'assurer du respect des conditions d'utilisation de leurs produits par leurs clients. Certains kits
ne jouent pas sur la discrétion mais sur le fait qu'enlever le kit serait une opération ardue.
Pour l'« attaquant », l'utilité d'un rootkit est soit de mettre à disposition des ressources système
(temps processeur, connexions réseaux, etc.) sur une, voire plusieurs machines, parfois en
utilisant la «cible» comme intermédiaire pour une autre attaque ; soit d'espionner, d'accéder aux
données stockées ou en transit sur la machine cible.
Ils sont généralement classés parmi les logiciels malveillants, mais pas toujours; ils peuvent
utiliser des «techniques virales» pour se transmettre (par exemple, en utilisant un virus ou un
cheval de Troie). Il existe des outils de détection et des méthodes de protection pour les contrer
mais elles ne sont pas totalement efficaces.
Mode opératoire
La première phase d'action d'un rootkit consiste généralement à trouver un hôte vulnérable par
balayage d'un ensemble d'adresses IP ou grâce à une base de données d'IP vulnérables.
L'étape suivante consiste à chercher à obtenir un accès au système, sans forcément que celui-ci
soit un accès privilégié (ou en mode administrateur). Il existe trois manières de contaminer un
système, en suivant les techniques habituelles des programmes malveillants.
Il est possible de mettre en œuvre un exploit, c'est-à-dire profiter d'une vulnérabilité de sécurité
connue ou non, à n'importe quel niveau du système (application, système d'exploitation, BIOS,
etc.) Cette mise en œuvre peut être le fait d'un virus, mais elle résulte aussi souvent de botnets
qui réalisent des scans de machines pour identifier et exploiter les failles qui sont utiles à
l'attaque.
Même s'il n'est pas un virus à proprement parler, un rootkit peut utiliser des techniques virales
pour se transmettre, notamment par un cheval de Troie. Un virus peut avoir pour objet de
répandre des rootkits sur les machines infectées. A contrario, un virus peut aussi utiliser les
techniques utilisées par des rootkits pour parfaire sa dissimulation.
Enfin, l’attaque par force brute permet d'accéder au système en profitant de la faiblesse des
mots de passe de certains utilisateurs : il suffit de tester les mots de passe les plus courants.
Des outils, nommés « autorooters », réunissent ces opérations de scan et d'exploit en une
seule, ce qui peut faciliter la tâche de script kiddies en laissant toutefois beaucoup de traces sur
le réseau.
Moyens de protection et de prévention
Les moyens de détection peuvent également servir à la prévention, même si celle-ci sera
toujours postérieure à la contamination. D'autres mesures en amont peuvent rendre difficile
l'installation d'un rootkit.
La correction des failles par mise à jour du système d'exploitation(Patch Tuesday), permet de réduire la surface
d'exposition du système en limitant le temps pendant lequel une faille est présente sur le
système et dans les applications, afin de prévenir les exploits pouvant être utilisés pour la
contamination.
L’utilisation d'un pare-feu, qui fait partie des bonnes pratiques dans le domaine de la sécurité
informatique, se révèle efficace dans le cas des rootkits car cela empêche les communications
inattendues (téléchargements de logiciel, dialogue avec un centre de contrôle et de commande
d'un botnet, etc.) dont ont besoin les rootkits.
De Wikipedia, L'encyclopédie libre.