Ce que vous devez savoir sur les rootkits

Une idée qui fait froid dans le dos : il se peut qu’en ce moment votre or­di­na­teur soit plein de virus et de malwares, et qu’il soit peut-être même relié à un botnet utilisé pour réaliser des cy­be­rat­taques et des fraudes au clic de grande envergure. Si c’est le cas, vous ne vous en aper­ce­vrez ab­so­lu­ment pas. Car dans la plupart des cas, un rootkit va faire croire à l’uti­li­sa­teur que tout est en ordre : le rootkit fonc­tionne un peu comme une cape magique sous laquelle ont lieu de manière invisible toutes sortes d’activités cri­mi­nelles. Mais si vous con­nais­sez le risque des rootkits et leur manière de fonc­tion­ner, vous pourrez mieux vous protéger. Vous trouverez ci-dessous les prin­ci­pales choses à savoir sur les rootkits.

Par rootkit, on ne fait pas référence à un logiciel mal­veil­lant isolé. C’est tout un ensemble de pro­grammes mal­veil­lants qui a réussi à entrer dans votre or­di­na­teur en ex­ploi­tant une faille de sécurité qui lui donne un accès à distance (Remote access), per­met­tant ainsi au rootkit d’être manipulé à distance également. Une des par­ti­cu­la­ri­tés du rootkit est de pouvoir se cacher soi-même, mais aussi de dis­si­mu­ler d’autres pro­grammes mal­veil­lants, et de les rendre in­dé­tec­tables par les pro­grammes antivirus et autres solutions de sécurité, à tel point que l’uti­li­sa­teur ignore leur existence.

En fonction du niveau du système où le rootkit s’est installé, l’attaquant pourra s’arroger des droits d’ad­mi­nis­tra­teur im­por­tants (dans ce cas on parle de rootkit en mode noyau) et prendre ainsi un contrôle illimité de l’or­di­na­teur.

Les premiers rootkits sont apparus au début des années 90 et ciblaient au départ es­sen­tiel­le­ment les systèmes d’ex­ploi­ta­tion sur une base Unix, comme par exemple les systèmes Linux. Ils étaient composés prin­ci­pa­le­ment de pro­grammes modifiés, comme par exemple « ps » (une commande Unix per­met­tant de lancer toute une série de processus) et « passwd » (pour modifier le mot de passe de l’uti­li­sa­teur). C’est de là que vient leur ap­pel­la­tion : Le mot « Root » désigne chez Unix l’Ad­mi­nis­tra­teur, et le mot « kit » signifie « Équi­pe­ment » ou « Caisse à outils ». Le mot composé Rootkit désigne donc un ensemble d’uti­li­taires logiciels qui per­met­tant à un hacker de s’arroger des droits d’ad­mi­nis­tra­tion sur un or­di­na­teur (en d’autres mots des rootkits en mode noyau).

Entre temps sont apparus des rootkits sus­cep­tibles d’affecter tous les systèmes d’ex­ploi­ta­tion. Les rootkits affectent désormais les systèmes Windows comme tout autre système d’ex­ploi­ta­tion : Certains rootkits réus­sis­sent à pénétrer jusque dans le noyau, c’est à dire le noyau interne, et donc à la « racine » (en anglais : « root ») du système, où ils dé­ve­lop­pent leur activité.

Bien qu’il existe toute une variété de rootkits, ils ont gé­né­ra­le­ment un mode de fonc­tion­ne­ment commun. La manière dont ils pénètrent dans le système suit elle-aussi le même mode opé­ra­toire.

Une infection de rootkit est gé­né­ra­le­ment précédée par une sorte de Social En­gi­nee­ring (in­gé­nie­rie sociale) : des cyber-criminels ex­ploi­tent pour ce faire l’élément le plus faible du système de sécurité, à savoir le facteur humain. En in­fluen­çant ou en trompant sciemment leurs victimes, les hackers réus­sis­sent souvent à leur extirper les données d’accès et les mots de passe. Munis de ces données, ils se con­nec­tent à l’or­di­na­teur et y ins­tal­lent le rootkit.

On peut aussi être contaminé par un rootkit d’autres manières, par exemple par un Drive-by-Downloads (té­lé­char­ge­ment à la volée) sur un site internet infecté, en té­lé­char­geant un logiciel d’une source non vérifiée ou en cliquant sur un lien ou sur une pièce jointe dans un email de phishing.

Une autre méthode consiste pour un cy­ber­cri­mi­nel à laisser traîner dans un lieu stra­té­gique une clef USB contenant un rootkit. Quelqu’un trouve cette clé et l’emporte avec lui à la maison, curieux de voir ce qu’elle contient. Une fois que la clé est branchée sur son or­di­na­teur, la con­ta­mi­na­tion a lieu. C’est ainsi que se font les attaques de type « Evil Maid Attacks » où le hacker installe de lui-même le rootkit sur un or­di­na­teur laissé sans sur­veil­lance. Cette méthode doit son nom au scénario qui con­sis­te­rait à demander à une femme de chambre dans un hôtel de con­ta­mi­ner les or­di­na­teurs portables de plusieurs clients d’un hôtel.

Une fois introduit dans le système, le rootkit cache son existence. Pour ce faire, il commence à manipuler tous les processus, en in­ter­ver­tis­sant les données des pro­grammes et des fonctions systèmes. De cette manière, un programme antivirus qui fera un scan obtiendra des in­for­ma­tions faussées, dans les­quelles auront été sup­pri­mées toutes les mentions indiquant la présence du rootkit. C’est la raison pour laquelle il est parfois im­pos­sible, même pour les plus grands antivirus, de détecter ces pro­grammes mal­veil­lants au moyen de leur signature ou de leur com­por­te­ment (heu­ris­tique).

Pour continuer, le rootkit se fabrique une « Backdoor », une porte dérobée dans le système, que le hacker peut utiliser au moyen d’un mot de passe espionné ou d’une coquille pour pouvoir accéder à distance à l’or­di­na­teur. Le travail du rootkit consiste à dis­si­mu­ler toutes les con­nexions et toutes les activités sus­pi­cieuses.

Le hacker a ainsi la pos­si­bi­lité d’installer d’autres logiciels, comme par exemple des Keylogger (en­re­gis­treurs de frappe), d’espionner ce que vous tapez au clavier avec des Spyware, de vous dérober des données ou (en fonction du niveau et des droits) de modifier les pa­ra­mètres de votre système. Assez souvent, les or­di­na­teurs con­ta­mi­nés par un rootkit sont reliés à des botnets pour être utilisés à des fins de phishing ou d’attaques DDoS (déni de service).

Pour des raisons évidentes, on appelle aussi les rootkits des virus furtifs, bien qu’ils ne soient of­fi­ciel­le­ment pas classés dans la catégorie des virus. Mais qu’est-ce qui dif­fé­ren­cie pré­ci­sé­ment les rootkits des autres pro­grammes mal­veil­lants ?

• Les virus : un virus se fixe sur un fichier exé­cu­table ou sur un programme (gé­né­ra­le­ment sur un fichier ayant l’extension .exe). Il est certes capable de se répliquer lui-même, mais il ne peut pas se propager tout seul. Pour ce faire, il a besoin de l’as­sis­tance d’une personne ou d’un autre logiciel.
• Les vers : les vers cons­ti­tuent une sous-catégorie des virus capables de s’auto-re­pro­duire en utilisant les fonctions de trans­ferts de données au sein d’un système.
• Les chevaux de Troie : ce ne sont pas des virus, mais des malwares, c’est à dire des logiciels mal­veil­lants qui se font passer pour des ap­pli­ca­tions utiles. Les hackers utilisent les chevaux de Troie pour ouvrir des portes dérobées dans le système.
• Les rootkits : le rootkit est aussi décrit comme une sous-catégorie des chevaux de Troie. Plusieurs chevaux de Troie ont les mêmes ca­rac­té­ris­tiques que les rootkits. La prin­ci­pale dif­fé­rence, c’est que les rootkits se cachent de manière délibérée dans le système et qu’ils aident le hacker à s’attribuer des droits d’ad­mi­nis­tra­teur.

Les rootkits se dis­tin­guent avant tout par la méthode qu’ils emploient pour camoufler les processus des malwares et les activités des hackers. Le plus souvent, ce sont des rootkits en mode noyau ou en mode uti­li­sa­teur. Ces boîtes à outils par­ti­cu­liè­re­ment dan­ge­reuses sont cons­tam­ment dé­ve­lop­pées par les cy­ber­cri­mi­nels, et il est de plus en plus difficile de se protéger contre leur action.

Quand on parle de rootkits, on fait gé­né­ra­le­ment allusion à ce type de rootkit. Les rootkits en mode noyau se glissent dans le noyau du système d’ex­ploi­ta­tion. Cette zone, aussi appelée « anneau 0 » est la zone où vous disposez des droits d’accès les plus pri­vi­lé­giés, et qui vous permet d’accéder à toutes les com­po­santes du matériel, mais aussi de modifier les pa­ra­mètres du système. Con­crè­te­ment : si un hacker réussit à y placer un rootkit, il est en mesure de prendre le contrôle de l'en­semble du système.

De tels rootkits rem­pla­cent des parties du noyau par leur propre code. Dans le cas des systèmes d’ex­ploi­ta­tion basés sur Unix, cela se fait gé­né­ra­le­ment au moyen de modules du noyau qui sont té­lé­char­gés ul­té­rieu­re­ment, d’où l’ex­pres­sion « Rootkits LKM » (abré­via­tion de loadable kernel modules). Dans les systèmes Windows, le noyau est gé­né­ra­le­ment manipulé di­rec­te­ment, en y in­tro­dui­sant de nouveaux pilotes-système. Quelle que soit la procédure : le rootkit en mode noyau peut exploiter sa position pri­vi­lé­giée pour trans­mettre de fausses in­for­ma­tions au programme antivirus de l’or­di­na­teur. Les rootkits de ce type sont donc dif­fi­ciles à déceler et à éliminer. En raison de leur com­plexité, ils sont aussi assez rares.

À la dif­fé­rence des rootkits en mode noyau, cet autre type de rootkit s’implante au niveau de l’uti­li­sa­teur de l’or­di­na­teur, là où se trouvent tous les pro­grammes à exécuter. Ce domaine cons­ti­tuant le niveau le plus bas du CPU (anneau 3), les rootkits en mode uti­li­sa­teur ne peuvent assigner qu’un accès restreint à l’attaquant. Leur structure est cependant moins complexe et on les rencontre plus souvent que les rootkits en mode noyau, en par­ti­cu­lier dans les en­vi­ron­ne­ments Windows.

Les rootkits en mode uti­li­sa­teur se ca­mouflent en détectant l’échange de données entre le système d’ex­ploi­ta­tion et les pro­grammes de sécurité et antivirus installés sur l’or­di­na­teur. Pour ce faire, ils utilisent les méthodes DLL-Injection et le API hooking : une bi­blio­thèque lo­gi­cielle propre (Dynamic Link Library, abrégé en DLL) se glisse dans l’échange de données et détourne les fonctions de certaines in­ter­faces lo­gi­cielles (Ap­pli­ca­tion Pro­gram­ming In­ter­faces, abrégé en API) en direction du rootkit. Il parvient ainsi à effacer ses propres traces dans les listes de processus, comme celles du ges­tion­naire de tâches Windows.

En plus de ces deux types de rootkits, il en existe d’autres, mais qui pré­sen­tent des dangers moindres :

• Les rootkits ap­pli­ca­tion : il s’agit de la forme primitive et initiale des rootkits. Ils rem­pla­cent des pro­grammes systèmes par leurs propres pro­grammes modifiés, et sont donc fa­ci­le­ment dé­tec­tables. C’est la raison pour laquelle les hackers ne les utilisent quasiment plus.
• Les rootkits mémoire : de tels rootkits n’existent que dans la mémoire RAM, et dis­pa­rais­sent donc du système à chaque re­dé­mar­rage.

À l’image de la plupart des logiciels mal­veil­lants, les rootkits font l’objet d’un dé­ve­lop­pe­ment permanent. C’est ainsi que sont apparus par exemple les « Bootkits », une espèce de rootkit en mode noyau dont la spé­cia­lité est de remplacer le chargeur d’amorçage d’un or­di­na­teur pour dé­sac­ti­ver les mé­ca­nismes de sécurité du système d’ex­ploi­ta­tion. Les té­lé­phones portables (surtout ceux qui sont sous Android) sont aussi de plus en plus infectés, la plupart du temps lors d’un té­lé­char­ge­ment d’une ap­pli­ca­tion non certifiée. On parle dans ce cas de « rootkit mobile ».

En 2006, des cher­cheurs de l’Uni­ver­sité du Michigan a fait parler de lui, en faisant part de leur projet intitulé Projet SubVirt : un rootkit implanté sur une machine virtuelle, d’où le nom VMBR (Virtual Machine Based Rootkit). On utilise ha­bi­tuel­le­ment ce type de machines pour pouvoir implanter plusieurs systèmes d’ex­ploi­ta­tion (par exemple Linux et Windows) sur un seul et même or­di­na­teur. À l’aide de cette tech­no­lo­gie, le VMBR devait être capable d’implanter un système d’ex­ploi­ta­tion dans un en­vi­ron­ne­ment virtuel, et ensuite d’agir de manière com­plè­te­ment dis­si­mu­lée. Un an plus tard, des cher­cheurs de l’Uni­ver­sité de Stanford dé­cla­raient être en mesure de détecter les VMBR sans la moindre dif­fi­culté.

Depuis, il ne semble pas qu’on ait eu d’in­no­va­tions majeures en termes de rootkits, ce qui ne veut cependant pas dire que les risques aient reculé. À titre d’exemple, l’Exploit-Kit RIG a donné naissance en 2018 à un nouveau rootkit baptisé CEID­Pa­ge­Lock. Celui-ci s’introduit dans les systèmes d’ex­ploi­ta­tion Windows via certains pilotes et prend le contrôle de l’or­di­na­teur au moyen de votre na­vi­ga­teur Internet. Il redirige ensuite l’uti­li­sa­teur vers des sites falsifiés où sont pra­ti­quées toutes sortes d’ex­tor­sions de données à des fins cri­mi­nelles. Ac­tuel­le­ment, ce sont prin­ci­pa­le­ment des or­di­na­teurs en Chine qui sont affectés (données d’août 2018). Les experts pensent cependant que ce logiciel mal­veil­lant va se propager au-delà de ces fron­tières.

On a identifié des rootkits pour les dif­fé­rents systèmes d’ex­ploi­ta­tion. Ci-dessous, vous avez deux exemples de rootkits qui affectent les en­vi­ron­ne­ments Windows :

• TDSS aka Alureon (découvert en 2007) est classé comme cheval de Troie, ce qui en dit long sur la proximité entre ces deux types d’ap­pli­ca­tions mal­veil­lantes. Le rootkit manipule le registre de Windows, et désactive par exemple le ges­tion­naire de tâches, la fonction de mise à jour, voire les pro­grammes antivirus qui sont installés, et met ensuite en place un botnet.
• Ze­roAc­cess (découvert en 2011) : un autre cheval de Troie avec des attributs de rootkit. Celui-ci infecte le Master Boot Record (MBR) (zone d’amorce) ainsi qu’un pilote système au hasard, et désactive dans la foulée le Centre de sécurité de Windows, le Windows Defender et le pare-feu. Une fois que ceci est fait, l’or­di­na­teur est intégré dans un botnet, utilisé pour du Bitcoin-Mining et de la fraude au clic.

Les rootkits ne servent cependant pas toujours à des activités cri­mi­nelles aussi poussées. Certains ému­la­teurs de CD emploient cette technique pour con­tour­ner les pro­tec­tions des titres. Quant à savoir si c’est légal ou ré­pré­hen­sible, tout dépendra de l’uti­li­sa­tion qui en est faite et du volume de fichiers lus de cette sorte.

Il n’y a d’ailleurs pas que les con­som­ma­teurs qui flirtent avec la légalité des droits d’auteurs au moyen de rootkits : En octobre 2015, le groupe japonais Sony a déclenché un scandale de grande envergure, lorsqu’il a été constaté que la pro­tec­tion XCP (Extended Copy Pro­tec­tion) de plusieurs CD de musique du four­nis­seur avait été camouflée par un rootkit. Le groupe voulait ainsi empêcher la re­pro­duc­tion illégale de ses CD. Le logiciel mal­veil­lant en profitait pour fournir à Sony des in­for­ma­tions sur les goûts musicaux de ses clients, en­freig­nant ainsi le Règlement général sur la pro­tec­tion des données. Les critiques à l’égard de Sony furent par­ti­cu­liè­re­ment sévères parce que les rootkits dis­si­mu­laient leur présence aux pro­grammes antivirus, ouvrant ainsi les portes aux hackers qui en pro­fi­taient à leur entière con­ve­nance.

Des cas si­mi­laires, par exemple celui de la société Kinowelt en 2006 ont fait dire aux experts in­for­ma­tiques qu’il n’y aurait pas seulement les hackers qui uti­li­se­raient les rootkits à l’avenir, mais aussi de grands groupes.

Comme le ca­mou­flage est la spé­cia­lité d'un rootkit, il est gé­né­ra­le­ment difficile, voire im­pos­sible de le détecter et de le supprimer. Il existe cependant quelques mesures pour améliorer votre pro­tec­tion :

Les mesures à prendre pour éviter les rootkits sont les mêmes que pour tous les autres pro­grammes mal­veil­lants :

• Installez un logiciel de sécurité sur votre or­di­na­teur.
• En­tre­te­nez bien votre système avec des mises à jour ré­gu­lières.
• Dé­ve­lop­pez un sens critique pour toutes les formes d’arnaque sur Internet, comme par exemple le Phishing.
• Utilisez des mots de passe sécurisés.

Il existe encore quelques conseils plus spé­ci­fiques pour se prémunir contre les in­fec­tions de rootkits :

• Conseils pour les débutants en in­for­ma­tique : utilisez le moins possible votre compte-ad­mi­nis­tra­teur, et surtout pas lorsque vous êtes sur internet. Le compte-ad­mi­nis­tra­teur est nettement moins protégé que le compte-uti­li­sa­teur ordinaire. Le compte-uti­li­sa­teur d’origine ayant des droits res­treints, vous limiterez les dégâts en cas d’infection par un rootkit.
• Des conseils pour les pros : pour éviter qu’un rootkit ne contamine votre BIOS, et qu’il soit quasiment im­pos­sible à supprimer, il est en­vi­sa­geable d’ajouter une pro­tec­tion physique bloquant l’accès en écriture à votre BIOS. Il s’agit d’un cavalier que l’on insère dans la platine prin­ci­pale.

La plupart des pro­grammes antivirus re­cherchent les rootkits connus au moyen de leurs sig­na­tures et cherchent à en iden­ti­fier de nouveaux en analysant les com­por­te­ments spéciaux, comme la sup­pres­sion de fichiers. Le problème : Sauf si vous êtes face à un rootkit de mode noyau mal programmé, en­gen­drant des écrans bleus à ré­pé­ti­tion, et qui attire votre attention, la plupart des rootkits ne laisse ab­so­lu­ment rien filtrer de leur présence dans votre système.

Comme les rootkits font l’objet d’une pro­gram­ma­tion toujours plus so­phis­ti­quée, il devient de plus en plus difficile de les dénicher. On dispose cependant d’outils tech­niques, spé­cia­le­ment conçus pour s’attaquer aux rootkits : les scans à rootkit. Cette fonction est intégrée dans plusieurs solutions de sécurité, mais elle existe aussi en tant que programme dédié à cette fonction. On trouve entre autres Sophos Anti Rootkit ainsi que le Rootkit Remover de Bit­de­fen­der, deux outils dis­po­nibles gra­tui­te­ment.

Un tel scan à rootkit peut aussi être effectué à partir d’un CD d’amorçage. Un tel CD va démarrer votre or­di­na­teur sans prêter attention au système d’ex­ploi­ta­tion installé. Le rootkit restera donc inactif, ce qui permettra peut-être à un antivirus du CD de le déceler.

Il n’existe mal­heu­reu­se­ment pas de solution fiable à 100 % pour éliminer un rootkit de votre or­di­na­teur. Même les antivirus pro­fes­sion­nels comme AntiVir, Kaspersky et Microsoft laissent passer plusieurs rootkits si l’on veut croire de nombreux rapports de test. Selon certains magazines spé­cia­li­sés, il est pré­fé­rable de combiner l'uti­li­sa­tion de trois de ces pro­grammes.

Et même cette méthode n’est pas efficace à tous les coups face à des rootkits qui sont pro­fon­dé­ment cachés dans le BIOS. Il ne vous reste souvent qu’une seule solution : formater com­plè­te­ment le disque dur et réins­tal­ler le système d’ex­ploi­ta­tion pour enfin éradiquer cet outil mal­veil­lant et ré­cal­ci­trant.

Les rootkits re­pré­sen­tent une menace difficile à contrer, et peuvent ouvrir la porte à des criminels qui prendront le contrôle de votre or­di­na­teur. Prendre cons­cience de ce risque, c’est faire un premier pas vers plus de sécurité. La prin­ci­pale mesure de sécurité consiste comme souvent à empêcher l’in­fil­tra­tion du système, car les rootkits sont dif­fi­ciles à déceler, et encore plus dif­fi­ciles à éradiquer. Le remède est encore souvent de tout réins­tal­ler.

Lors du congrès « Black Hat » en janvier 2006, il a même été fait état de rootkits qui ont pu survivre au formatage d’un disque dur – après avoir manipulé le ACPI (Advanced Con­fi­gu­ra­tion and Power Interface) qui gère l’ali­men­ta­tion élec­trique d'un or­di­na­teur, ou en s’étant logé dans le BIOS de la machine. Aussi longtemps qu’une solution fiable per­met­tant de régler ces problèmes n’aura été trouvée, les rootkits resteront des outils dangereux et ultra-complexes entre les mains des cyber-criminels.