Plus fort qu'un virus, le rootkit

A entendre le monde parlé, on a parfois l'impression que le rootkit est le dernier virus à la mode. Bien que le rootkit se comporte parfois comme un virus, il n'en est pas tout à fait un. Et il n'y a pas une, mais plusieurs catégories de rootkit.
La première est la plus semblable à un virus, puisqu'il sera installé par l'utilisateur lui-même, parfois même souvent, à l'insu de son plein gré lors de visite à des sites que l'on pourra qualifier de bizarres. Où, il va se distinguer d'un virus « simple », c'est par sa propension à essayer de gagner des privilèges, d'où son nom. Un nom qui ne signifie pas grand-chose pour les Windowsiens, mais veut dire beaucoup pour les unixiens ou linuxiens de tous poils. Root étant l'utilisateur ayant tous les droits sur la machine (un administrateur pour les windowsiens qui n'aurait pas compris), et même s'il ne les a pas, saura les récupérer... La plupart des anti virus à jour détecteront assez facilement cette catégorie.

La deuxième catégorie est à l'heure actuelle la plus prisée, il s'agit des rootkits en mode noyau. Tous les systèmes d'exploitation existants ou à exister en ont ou en auront... Ils sont par nature difficilement détectables puisqu'ils arrivent à dérouter certaines interruptions systèmes. Si votre anti malware ne fonctionne pas au niveau du noyau, ce n'est même pas la peine d'aller plus loin. Si vous avez la chance qu'il fonctionne au niveau kernel (noyau), installer celui-ci lors de l'installation du système d'exploitation. Sinon après, vous risquez de ne plus rien voir (système d'exploitation déjà compromis).

Ces deux premières catégories sont des comiques virtuels par rapport aux dernières catégories, qui sont, Ô joie, beaucoup moins répandues. Ces super méchants travaillent à la fois au niveau du noyau et du matériel, pouvant se charger en Bios, ou dans le firmware, et réapparaitre à chaque démarrage de la machine (c'est la cas du rootkit Gamebit) !! Il n'y a pas grand-chose à faire pour ce type de rootkit, malgré des technologies émergentes comme l'Intel TPMTBC (Trusted Platform Module Trusted Boot Process) permettant de signer les drivers. Cerise sur la gateau, il existe des rootkits purement matériels pouvant contrôler le ventilateur, la température ....

Pour finir à tous seigneur tout honneur, puisque la virtualisation a le vent en poupe, elle a aussi ses rootkits virtuels, mais qui pour l'instant n'existe qu'en concept, heureusement. Nous reviendrons dans un autre article sur la sécurité de la virtualisation.
Nicolas Jacquey
Philippe Maltere

_