LogiCL
Services Informatiques

LogiCL Services Informatiques

Outil de dissimulation d'activité

Rootkit (outil de dissimulation d'activité)

Un rootkit (le nom «outil de dissimulation d'activité» est également utilisé), parfois simplement «kit», est un ensemble de techniques mises en œuvre par un ou plusieurs logiciels, dont le but est d'obtenir et de permettre un accès (généralement non autorisé) à un ordinateur de la manière la plus furtive possible à la différence d'autres logiciels malveillants. Le terme peut désigner la technique de dissimulation ou plus généralement un ensemble particulier d'objets informatiques mettant en œuvre cette technique.

Leur furtivité est assurée par plusieurs mécanismes de dissimulation : effacement de traces, masquage de l'activité et des communications, etc. Un rootkit peut s'installer dans un autre logiciel, une bibliothèque ou dans le noyau d'un système d'exploitation. Certains peuvent modifier l'hyperviseur fonctionnant au-dessus des systèmes ou le micrologiciel intégré dans un matériel. La plupart des rootkits servent à installer des logiciels malveillants sur les machines où l'accès est obtenu. Certains fournisseurs de matériels informatiques, tel Sony, les utilisent pour s'assurer du respect des conditions d'utilisation de leurs produits par leurs clients. Certains kits ne jouent pas sur la discrétion mais sur le fait qu'enlever le kit serait une opération ardue.

Pour l'« attaquant », l'utilité d'un rootkit est soit de mettre à disposition des ressources système (temps processeur, connexions réseaux, etc.) sur une, voire plusieurs machines, parfois en utilisant la «cible» comme intermédiaire pour une autre attaque ; soit d'espionner, d'accéder aux données stockées ou en transit sur la machine cible.

Ils sont généralement classés parmi les logiciels malveillants, mais pas toujours; ils peuvent utiliser des «techniques virales» pour se transmettre (par exemple, en utilisant un virus ou un cheval de Troie). Il existe des outils de détection et des méthodes de protection pour les contrer mais elles ne sont pas totalement efficaces.


Mode opératoire

La première phase d'action d'un rootkit consiste généralement à trouver un hôte vulnérable par balayage d'un ensemble d'adresses IP ou grâce à une base de données d'IP vulnérables.

L'étape suivante consiste à chercher à obtenir un accès au système, sans forcément que celui-ci soit un accès privilégié (ou en mode administrateur). Il existe trois manières de contaminer un système, en suivant les techniques habituelles des programmes malveillants.

Il est possible de mettre en œuvre un exploit, c'est-à-dire profiter d'une vulnérabilité de sécurité connue ou non, à n'importe quel niveau du système (application, système d'exploitation, BIOS, etc.) Cette mise en œuvre peut être le fait d'un virus, mais elle résulte aussi souvent de botnets qui réalisent des scans de machines pour identifier et exploiter les failles qui sont utiles à l'attaque.

Même s'il n'est pas un virus à proprement parler, un rootkit peut utiliser des techniques virales pour se transmettre, notamment par un cheval de Troie. Un virus peut avoir pour objet de répandre des rootkits sur les machines infectées. A contrario, un virus peut aussi utiliser les techniques utilisées par des rootkits pour parfaire sa dissimulation.

Enfin, l’attaque par force brute permet d'accéder au système en profitant de la faiblesse des mots de passe de certains utilisateurs : il suffit de tester les mots de passe les plus courants.

Des outils, nommés « autorooters », réunissent ces opérations de scan et d'exploit en une seule, ce qui peut faciliter la tâche de script kiddies en laissant toutefois beaucoup de traces sur le réseau.


Moyens de protection et de prévention

Les moyens de détection peuvent également servir à la prévention, même si celle-ci sera toujours postérieure à la contamination. D'autres mesures en amont peuvent rendre difficile l'installation d'un rootkit.

La correction des failles par mise à jour du système d'exploitation(Patch Tuesday), permet de réduire la surface d'exposition du système en limitant le temps pendant lequel une faille est présente sur le système et dans les applications, afin de prévenir les exploits pouvant être utilisés pour la contamination.

L’utilisation d'un pare-feu, qui fait partie des bonnes pratiques dans le domaine de la sécurité informatique, se révèle efficace dans le cas des rootkits car cela empêche les communications inattendues (téléchargements de logiciel, dialogue avec un centre de contrôle et de commande d'un botnet, etc.) dont ont besoin les rootkits.

De Wikipedia, L'encyclopédie libre.














S
O
C
I
A
L