Qu'est-ce qu'un rootkit ?
Le terme rootkit sert à
définir un cheval de Troie (ou une technologie)
utilisé pour masquer la présence d'un objet malveillant (processus,
fichier,
clé de registre, port de réseau) à un utilisateur d'ordinateur ou
un
administrateur.
La fonction
principale du rootkit est de simplifier, voire automatiser, la
mise en place d’une ou plusieurs « portes
dérobées ». Ces
portes
dérobées (utilisables en local ou à distance) permettent au pirate de
s’introduire à nouveau au cœur de la machine sans pour autant
exploiter
une nouvelle fois la faille avec laquelle il a pu obtenir
l’accès frauduleux
initial, qui serait tôt ou tard comblée.
Certains rootkit opèrent une suite de modifications,
notamment au
niveau des commandes systeme, voire du noyau (kernel),
permettant de
cacher des fichiers et/ou des processus...
A la différence d'un
virus informatique ou un
ver de nouvelle génération,
un rootkit ne se réplique pas.
L’installation d’un rootkit nécessite des droits
administrateurs sur la
machine, notamment à cause des modification profondes du
système qu’il
engendre. Cela signifie que le pirate doit initialement
disposer d’un accès
frauduleux, avec les droits du « root » sous linux par
exemple, afin de
mettre en place son rootkit.
Un rootkit ne permet pas en tant que tel de
s’introduire de manière
frauduleuse sur une machine saine. En revanche, certains « rootkit »
permettent la collecte des mots de passes qui transitent par
la machine
« corrompue ». Ainsi, un « rootkit » peut indirectement
donner l’accès à
d’autres machines.
Il automatise l’installation d’une
porte dérobée ou d’un
cheval de Troie.
Le ver automatise l’exploitation d’une vulnérabilité à
travers le réseau et
peut accessoirement installer la
porte dérobée une fois au cœur d’une
machine.
Il n’a de raison d’être que si une faille est présente,
si les conditions sont
réunies pour que son exploitation soit réussie et si elle
permet un accès
avec les droits administrateur. Donc pas de faille, pas de
rootkit.
La discrétion est l’essence même du rootkit. Il permet
à un pirate de
cacher son intrusion et sa présence sur une machine. Le
meilleur moyen
de se protéger des rootkit est donc de se prémunir contre les
failles.
|