Les rootkits sont un ensemble de logiciels furtifs qui fournissent un accès privilégié dans un système d'exploitation tout en dissimulant leur présence. Se comportant comme des programmes bénins, ils cachent les logiciels malveillants, les enregistreurs de frappe, les voleurs de mots de passe et d'identifiants et les robots conçus pour infiltrer un ordinateur ou un réseau, permettant aux cybercriminels d'accéder aux données protégées et de prendre le contrôle du système sans être détectés.
Les rootkits peuvent être installés via une clé USB ou téléchargés sur un ordinateur via des tactiques d'ingénierie sociale comme le phishing. Une fois installés, les rootkits sont imperceptibles et peuvent bloquer les outils de sécurité comme les antivirus ou les anti-malware. Un rootkit dissimule non seulement sa présence, mais aussi les logiciels malveillants, les virus et autres charges utiles de logiciels pour fonctionner subrepticement. Ils infectent le système, créent une entrée de porte dérobée et fournissent aux pirates des privilèges de niveau administratif pour accéder à un ordinateur ou à un réseau à distance sans que le propriétaire en ait connaissance ou sans son consentement.
Utilisations des rootkits
Les rootkits peuvent être une force pour le bien comme la lutte contre le piratage, l'application de la gestion des droits numériques (DRM), la découverte et la prévention de la triche dans les jeux en ligne et la reconnaissance des attaques dans un pot de miel. Mais généralement, les rootkits sont une plate-forme pour les pirates informatiques pour fournir un accès non autorisé, masquer les programmes logiciels malveillants et transformer le système d'exploitation compromis en un hôte pour attaquer d'autres ordinateurs du réseau.
Types de rootkits
Dès que les rootkits entrent dans le système, ils se comportent avec des privilèges croissants et peuvent agir comme un cheval de Troie, obscurcissant leur existence en subvertissant les outils de sécurité et en modifiant les pilotes et les modules du noyau d'un système d'exploitation. Ils existent en cinq variantes:
- Mode utilisateur fonctionne avec d'autres applications en tant qu'utilisateur et fonctionne au niveau Ring 3 avec un accès limité à l'ordinateur. Mais il peut intercepter, modifier, altérer les processus et écraser la mémoire d'autres applications.
- Mode noyau est le plus difficile à détecter et à supprimer car il se comporte et s'exécute sur Ring 0, partageant les mêmes privilèges avec l'administrateur d'un système d'exploitation.
- Bootkits sont un type de rootkit en mode noyau, qui infecte le code de démarrage ou le secteur de démarrage d'un ordinateur pour attaquer le chiffrement du disque.
- Hyperviseur exploite les fonctionnalités de virtualisation du matériel et intercepte les communications entre le système d'exploitation et le matériel. Il se comporte comme une machine virtuelle qui héberge le système d'exploitation.
- firmware Les rootkits sont cachés dans le BIOS système d'un périphérique ou d'un micrologiciel de plate-forme, tel qu'un disque dur, une RAM, une carte réseau, un routeur et un lecteur de carte.
Détection et suppression
La détection des rootkits peut être difficile, surtout si le système d'exploitation est déjà infecté, subverti et compromis par un rootkit en mode noyau. Mais il existe des moyens de détecter les rootkits, notamment en utilisant un logiciel antivirus, en vérifiant l'intégrité du système, en suivant l'utilisation du processeur et le trafic réseau, en analysant les signatures et en utilisant la détection basée sur les différences.
Tout comme les rootkits peuvent être difficiles à démasquer, ils sont également impossibles à supprimer manuellement. Mais certains rootkits peuvent être détectés et supprimés par un antivirus ou un antimalware. Le moyen le plus simple de se débarrasser des rootkits est de réinstaller le système d'exploitation et ses applications.