Les 'rootkits' évoluent: nouvelle menace?
Publié par La rédaction le - mis à jour à
Lors de la conférence RSA Security 2005, ce sont les chercheurs de Microsoft en personne qui sont venus nous mettre en garde contre la dernière génération de ces programmes intrusifs
Un
rootkit est un puissant programme intrusif de dernière génération qui surveille le système et qui semble impossible à détecter avec les produits de sécurités courants ! Hacker Defender, FU ou Vanquish appartiennent à cette dernière génération de logiciels de surveillance à distance, les plus puissants apparus ces dernières années. Un rootkit est traditionnellement véhiculé comme un virus, ou plus malicieusement lors d'une attaque des défenses d'un ordinateur, un hack. Installé, il s'exécute tranquillement en arrière plan sur le poste. Il surveille les communications, repère les programmes qui s'installent, espionne le comportement de l'utilisateur du poste. Dans l'état, il peut facilement être détecté, car il figure dans les processus mémoire ! La menace n'est pas nouvelle mais pour les chercheurs du Security Solutions Group de Microsoft, intervenant lors la conférence RSA Security 2005 de San Francisco, le danger le plus important provient de l'apparition des 'kernel rootkits', des rootkits qui s'attaquent au c?ur (kernel) du système d'exploitation, ce qui participe à les rendre difficilement détectables. Ces nouveaux rootkits sont capables d'intercepter les queries, les questions ou 'system calls' qui transitent vers le c?ur de l'OS. Ils peuvent les filtrer, voir modifier les signes que le programme exécute, comme de se cacher sous un nom de fichier, un processus mémoire, ou une opération sur la configuration du registre de l'OS. Dans ces conditions, ils sont invisibles à la fois aux administrateurs et aux outils de détection ! Ils échappent à la vigilance des anti-virus, anti-spywares et aux détecteurs d'intrusions réseaux. Du coup, selon les chercheurs de Microsoft, les rares anti-rootkits efficaces ont été développés par des auteurs de rootkits eux même, mais pas par les éditeurs de solutions de sécurité ! Le danger est d'assister à la migration, qui semble inévitable, des rootkits vers les spywares et virus, c'est-à-dire dans les conditions actuelles des pratiques virales, vers l'influence mafieuse et la cybercriminalité. Assistant à la conférence, un représentant de Symantec a rappelé que les rootkits ne sont pas exclusifs de Windows, mais que c'est la position de leader de Microsoft sur les OS qui les associe au système d'exploitation Windows. Détecter et détruire un rootkit
Il n'y a dans l'état, selon les chercheurs de Microsoft, qu'une unique méthode efficace pour détruire un
rootkit : formater le disque dur infecté et réinstaller le système d'exploitation ! En revanche, pour détecter la présence de rootkits, il faut adopter plusieurs méthodes, car eux même peuvent adopter plusieurs stratégies pour se cacher : - Examiner un système infecté à partir d'un autre système sur un réseau ; - Démarrer un poste avec Windows PE, une version de Windows XP qui s'exécute (boot) à partir d'un CD-Rom, puis comparer les profiles des systèmes propres et vérolés ; - Microsoft propose aussi un programme de tests par comparaison de versions de Windows, nommé Strider GhostBuster. Attention cependant, les développeurs de rootkits présentent une forte compétence en programmation. Et ils semblent très attentifs aux évolutions des systèmes de détection et de protection. Et réactifs à répondre à ces derniers en modifiants leurs programmes !