Pourquoi mon ordinateur est-il si lent ? Comment se fait-il que mon image d'arrière-plan ait changé ? Encore cet écran bleu ?! Ah ! Votre ordinateur est peut-être infecté par un rootkit !

Qu'est-ce qu'un rootkit ?

Un rootkit est une application (ou un ensemble d’applications) qui se cache sur votre appareil ou qui cache une autre application, comme un adware (logiciel publicitaire) ou un spyware (logiciel espion). Les rootkits se cachent dans les couches inférieures du système d’exploitation (OS), notamment dans les appels de fonction API ou les fonctions non documentées d’OS, qui les rendent pratiquement indétectables par les logiciels anti-malware courants.

D’où vient le terme « rootkit » ? Sur les systèmes d’exploitation Unix et Linux, l’administrateur système, un compte tout puissant avec tous les privilèges et accès illimités (l’équivalent du compte administrateur sous Windows) est appelé « root » (« racine »). Les applications permettant un accès root non autorisé/de niveau administrateur à l’appareil et aux zones restreintes sont appelées « kit ».

En rassemblant les deux termes, vous obtenez le terme « rootkit » : un programme qui donne à quelqu’un (à des fins légitimes ou non) un accès privilégié à un ordinateur ou à un appareil mobile. Cette personne peut alors contrôler l’appareil à distance, à l’insu de l’utilisateur.

Malheureusement, les rootkits sont souvent conçus pour créer un accès non autorisé à un ordinateur, ce qui permet aux cybercriminels de voler des données personnelles ou financières, d’installer des malwares ou de recruter des ordinateurs dans un botnet pour circuler comme spam ou participer à des attaques par déni de service (DDoS).

C’est comme si un cambrioleur voulait entrer chez vous. Il s’habillerait en noir pour ne pas être vu dans l’obscurité et se déplacerait en silence pour ne pas être détecté. Mais à l’inverse du cambrioleur qui vole et s’échappe, le rootkit s’installe sur votre ordinateur et au fil du temps, y vole des données ou manipule ce qui s'y trouve.

Quelle est la différence entre un rootkit et un virus ?

En soi, un rootkit n’est pas un virus. Un virus informatique est un programme ou un fragment de code conçu pour endommager un ordinateur en corrompant les fichiers système, en gaspillant les ressources, en détruisant des données ou en tout simplement en dérangeant. La principale différence est que les virus utilisent les ressources d’un ordinateur pour se répliquer et se propager parmi les fichiers ou vers d’autres ordinateurs sans le consentement de l’utilisateur.

Contrairement aux virus, les rootkits ne sont pas forcément nocifs. Ce qui est dangereux, ce sont les différentes formes de malware qu’un rootkit peut livrer, et qui peuvent permettre de manipuler l’OS d'un ordinateur et de donner un accès administrateur à des utilisateurs distants. Cela explique à la fois leur si mauvaise réputation mais aussi leur popularité parmi les cybercriminels.

AVG Antivirus Gratuit est votre meilleur moyen de défense contre les rootkits et autres types de menaces. Analysez vos appareils pour détecter et supprimer les rootkits à la source, et protégez-vous contre tout futur malware avec AVG. Et ce, gratuitement.

Télécharger AVG Antivirus Gratuit

 

Est-ce qu’un rootkit est un malware ?

Un rootkit est étroitement lié aux malwares (« malicious software »), un programme malveillant conçu pour voler des données, endommager des appareils, demander des rançons et exécuter toute autre activité illégale. Les malwares englobent les virus, les chevaux de Troie, les spywares, les vers, les ransomwares (rançongiciels) et de nombreux autres types de logiciels.

Les rootkits modernes couvrent les effets nocifs des malware.

Comment reconnaître un rootkit

Par essence, les rootkits sont difficiles à détecter. En effet, ils savent très bien se camoufler. Même les produits disponibles dans le commerce et qui ressemblent à des applications tierces inoffensives peuvent contenir des fonctionnalités basées sur un rootkit. Les rootkits peuvent déguiser les activités et les informations d'un OS, et donc empêcher leur mauvais comportement d’être aperçu.

Qui dit « rootkit » dit « cache-cache ».

Comment ? Une fois installés, les rootkits se lancent généralement pendant ou après le démarrage de l’OS. Il existe d’autres rootkits qui se lancent avant l’OS, ce qui les rend encore plus difficile à détecter.

Blue Screen of Death is a telltale sign that a malicious rootkit might be embedded in your computer.Image Source : https://en.wikipedia.org

Signes révélateurs de la présence d'un rootkit malveillant :

  • Écran bleu : vous recevez des messages d’erreur Windows ou un écran bleu avec du texte en blanc, et votre ordinateur doit constamment être redémarré.
  • Éléments étranges : votre navigateur Web se comporte de façon inhabituelle (redirections vers des liens Google ou des favoris inconnus).
  • Pas de réponse : votre ordinateur est lent, se bloque ou ne répond à aucune requête de la souris ou du clavier.
  • Trafic réseau excessif : les pages Web ou les activités réseau semblent intermittentes ou ne fonctionnent pas bien à cause d'un trafic réseau excessif.
  • Éléments inattendus : les paramètres Windows ont changé sans votre permission. Par exemple, votre écran de veille a changé ou la barre des tâches a disparu.

Comment supprimer un rootkit

La détection et la suppression de rootkits n’est pas une science exacte car ils peuvent être installés de nombreuses façons. Même si vous effacez toutes les données d’un appareil, un rootkit arrive parfois à survivre. La bonne nouvelle : un antivirus avec un scanner de rootkit comme celui d’AVG peut éloigner les malwares. Notre technologie anti-rootkit, comprise dans AVG Antivirus Gratuit, détecte, bloque et supprime les rootkits et autres formes de logiciels malveillants. 

D'où viennent les rootkits et comment se propagent-ils ?

Les cybercriminels peuvent installer un rootkit sur votre ordinateur de plusieurs façons. L'une d’entre elles consiste à exploiter une vulnérabilité (une faille dans un logiciel ou dans un système d’exploitation qui n’a pas été mis à jour) et installer à votre insu le rootkit dans l’ordinateur. Une autre méthode se base sur des liens malveillants qui peuvent être envoyés par e-mail ou diffusés sur les réseaux sociaux dans le cadre d'une arnaque de phishing. Les malwares peuvent aussi être livrés avec d’autres fichiers, comme des PDF infectés, des médias pirates ou des applications de boutiques tierces.

A common way to distribute malicious rootkits is thru documents (PDF) attached to emails or instant messages, or by sending an infected link.

Quand on vous dit de ne pas faire confiance aux inconnus, cela implique que vous n’ouvriez jamais un lien ou un document qu’un inconnu vous envoie par e-mail ou par discussion instantanée. N’installez jamais un « plugin special » (soi-disant légitime) pour voir une page Web ou ouvrir un fichier.

Contrairement aux virus et aux vers, les rootkits ne se propagent pas et ne s’auto-répliquent pas. En général, les rootkits ne sont qu’un composant d’une menace combinée reposant sur 3 snippets (petite portion réutilisable de code) : le dropper, le loader et le rootkit.

Voici comment ils fonctionnent :

L’activation du dropper requiert généralement une intervention humaine, comme cliquer sur un lien malveillant, ce qui lance le loader. Le dropper se supprime tout seul pendant que le loader cause un dépassement/débordement de tampon (lorsqu’il y a plus de données que d’espace alloué). Cela charge le rootkit dans la mémoire de l’ordinateur, créant alors une porte dérobée permettant aux cybercriminels de modifier les fichiers système pour qu’ils ne soient pas détectés par l’utilisateur ou par un logiciel antivirus basique.

Ils disposent alors d'un accès distant au système d’exploitation et peuvent utiliser l’ordinateur infiltré pour envoyer des spams, lancer des attaques de pharming ou par déni de service (DDoS) à grande échelle, ou voler des données sensibles.

Types de rootkits

Certains rootkits peuvent être tenaces, d’autres non. Les rootkits tenaces peuvent s’activer tous seuls à chaque démarrage de l’ordinateur. Ceux qui ne sont pas tenaces s'installent dans la mémoire et trépassent au redémarrage de l’ordinateur.

On peut identifier un rootkit selon la zone du système affectée et à sa façon de se cacher.

  1. Rootkits en mode noyau (kernel) : ils opèrent dans le noyau du système d’exploitation et causent fréquemment des bugs système. C’est souvent l’élément qui permet au support de Microsoft de déterminer si l’appareil est infecté par un rootkit.

    L’attaquant exploite d’abord le système en chargeant un malware dans le noyau, qui intercepte alors les appels système ou ajoute ses propres données, filtrant toutes les données qui pourraient le rendre visible. Les malwares en mode noyau peuvent être utilisés pour couvrir des pistes et cacher des menaces à la fois dans le noyau et dans les composants du mode utilisateur. Mesquin !
  2. Rootkits en mode utilisateur : soit ils se lancent comme un programme au démarrage du système, soit ils sont injectés dans le système par un dropper. Ils ont des fonctionnalités similaires aux rootkits en mode noyau (masquer et désactiver l’accès à des fichiers) mais opèrent au niveau de l’utilisateur. Ils ne sont pas aussi furtifs mais leur facilité de mise en œuvre explique leur expansion.

    Ils sont populaires pour les malwares financiers. Carberp, l'une des souches de malware financier les plus copiées, a été conçu pour voler des identifiants bancaires et des données sensibles aux utilisateurs. Alors méfiez-vous des spams de type factures ou rappels de paiement !
  3. Rootkits hybrides : il présentent les caractéristiques des deux modes (utilisateur et noyau). Cette approche est l'une des plus populaires parmi les pirates car elle a un fort de taux de réussite d'introduction dans les ordinateurs.
  4. Bootloaders (chargeurs d’amorçage)  : ils ciblent les composants de base de l’ordinateur en infectant le Master Boot Record (MBR ou zone amorce), un secteur fondamental qui ordonne à l’ordinateur de charger le système d’exploitation.
  5. Rootkits micrologiciel : ils peuvent se cacher dans les micrologiciels (comme un microprocesseur ou un routeur) à l’arrêt de l’ordinateur. Au redémarrage de l’ordinateur, ils se réinstallent alors tous seuls.
  6. Rootkits implantés sur une machine virtuelle (VMBR) : ils transportent le système d’exploitation dans un environnement virtuel afin d’empêcher ou de compliquer leur détection. Ils se chargent sous le système d’exploitation existant, puis exécutent celui-ci comme une machine virtuelle. Les VMBR peuvent ainsi passer inaperçus, à moins qu'un logiciel spécial ait été formé à les détecter. C'est toujours le même principe.

Sony BMG’s infamous rootkit became a cultural phenomenon as a punchline in comic strips like Foxtrot.Image Source : https://hyperbear.blogspot.com

Rootkits tristement célèbres

  • Le premier cas documenté de rootkit a été écrit en 1990 par Stevens Dake et Lane Davis, pour le compte de Sun Microsystems, pour SunOS Unix OS.
  • En 2005, quand on utilisait encore les CD, Sony BMG Music Entertainment a secrètement installé des rootkits sur des millions de CD pour empêcher les consommateurs de faire des copies via un ordinateur et pour prévenir l’entreprise en cas de tentative de copiage. Le rootkit, qu’aucun antivirus ou anti-spyware ne pouvaient détecter, a ouvert les vannes à d’autres malwares pour infiltrer les PC Windows en toute discrétion. C’est devenu un phénomène culturel, entre les dessins de la bande dessinée FoxTrot et les logos sur des T-shirts.
  • NTRootkit (2008) : c’est l'un des premiers rootkits malveillants pour Windows NT. Selon ses versions, il fait diverses choses. Par exemple, l'un capture les frappes des pour que les pirates obtiennent les noms d’utilisateurs et mots de passe et accèdent à certains services.
  • Machiavelli (2009) : c'est le premier rootkit ciblant Mac OS X. Il crée des appels système cachés et des instances de noyau.
  • Greek Watergate (2004-2005) : c’est un rootkit développé pour les centraux téléphoniques Ericsson AXE sur le réseau grec de Vodafone, visant à écouter les conversations téléphoniques du gouvernement grec.
  • Zeus (2007) : c’est un cheval de Troie pour voler des identifiants, un rootkit qui vole les données bancaires via la tactique du man-in-the-browser (littéralement, homme dans le navigateur), les enregistreurs de frappe et la saisie de formulaires.
  • Stuxnet (2010) : c'est le premier rootkit connu ciblant un système de contrôle industriel.
  • Flame (2012) : ce malware pour ordinateur attaque les ordinateurs sous Windows et peut enregistrer l’activité du clavier, les captures d’écran, les fichiers audio, le trafic réseau, etc.

Voici une histoire de fou : gagner environ 15 millions d’euros au loto est incroyable, non ? Pas lorsque c’est le responsable de la sécurité de la Multi-State Lottery Association qui a truqué la loterie. Eddie Tipton a confessé avoir créé le rootkit Quantum Vision Random Number Generator (partiellement copié d'une source Internet), qui lui a permis de gagner de nombreuses fois à la loterie et aussi d’en faire profiter ses amis, sa famille et même des inconnus. Il lui suffisait d’insérer une clé USB dans la pièce où étaient tirés les numéros. Cela a pris 10 ans et un expert en sciences informatiques pour attraper le voleur.

Comment se protéger contre les rootkits

Les rootkits sont sournois et insidieux mais vous pouvez y échapper de nombreuses façons. De nombreuses stratégies pour éviter les rootkits permettent aussi de vous protéger contre tous types de menaces :

  • N’ouvrez pas les pièces jointes des e-mails provenant d’expéditeurs inconnus 
  • Ne téléchargez pas de fichiers dont vous ne connaissez pas la teneur
  • Assurez-vous que votre système est bien à jour et qu’il dispose des correctifs contre les vulnérabilités connues
  • Installez vos logiciels avec prudence, assurez-vous qu’ils sont légitimes et que le Contrat de licence utilisateur final (CLUF) est normal
  • Utilisez les disques externes et clés USB avec précaution

En plus de suivre ces règles de bon sens, vous pouvez renforcer votre défense contre les rootkits en installant un puissant antivirus. Certains antivirus ne suffisent pas toujours à les détecter mais AVG Antivirus Gratuit détecte et supprime les rootkits les plus insidieux et les plus cachés, pour la modeste somme de zéro euro.

Télécharger AVG Antivirus Gratuit

 

AVG AntiVirus FREE

Téléchargement GRATUIT
AVG AntiVirus FREE Téléchargement GRATUIT