Parmi les nombreux types de logiciels malveillants que vous pouvez rencontrer sur Internet, il existe un type de malware très difficile à détecter et à supprimer que très peu de personnes connaissent : les rootkits.
Qu’est-ce qu’un rootkit ?
De même que les logiciels légitimes, les logiciels malveillants laissent des traces sur le système : les fichiers infectés mais également des clés de registre, des dossiers, des rapports d’activité, etc. Ainsi, les outils servant à répertorier les fichiers du disque ou la base de registre, par exemple l’Explorateur Windows ou Regedit, peuvent révéler la présence d’un malware. C’est là qu’interviennent les rootkits.
Un rootkit est un programme qui, une fois installé sur l’ordinateur de la victime, accède à la couche la plus critique du système d’exploitation, le noyau, et s’y greffe. Il est ainsi capable de prendre le contrôle total d’un ordinateur sans laisser de traces. Il modifie en temps réel les informations de Windows. Il détourne les fonctions de base du système d’exploitation afin de masquer sa présence et celle d’autres malwares. Il peut ainsi se cacher lui-même, et dissimuler absolument toutes traces d’activités malveillantes (fichiers, processus, entrées dans le Registre Windows, adresses mémoire, connexions réseau, etc.) aux yeux de l’utilisateur, du système mais aussi des logiciels de sécurité installés sur sa machine.
L’affichage d’un dossier à l’aide de l’Explorateur Windows peut être manipulé de manière à ce que les fichiers présents qui incluent un code nuisible ne soient pas affichés. Il est possible de faire la même chose lors de l’affichage du registre Windows, du gestionnaire des tâches pour vérifier les processus en cours d’exécution ou lorsque les connexions réseau existantes sont répertoriées.
Une grande partie des programmes malveillant actuels installent des rootkits lors de l’infection afin de cacher leurs activités. Par conséquent de nombreux utilisateurs peuvent être infectés sans le savoir.
Quels sont les différents types de rootkits ?
Les deux principaux types de rootkits sont les rootkits en mode noyau et ceux en mode utilisateur.
Rootkits en mode noyau (Kernel mode rootkits)
Ces rootkits ciblent le cœur même du système d’exploitation de votre ordinateur (c’est-à-dire le niveau du noyau). Les cybercriminels les utilisent pour modifier le fonctionnement de votre système d’exploitation en y ajoutant (insérant) leur propre code. Ainsi, ils peuvent prendre le contrôle de l’ensemble du système.
Les rootkits en mode noyau peuvent exploiter leur position privilégiée pour corrompre l’ordinateur à absolument toutes les échelles, et ainsi même fausser les résultats des analyses et scanners contre les rootkits. Ils peuvent intercepter absolument toutes les informations, y compris les appels système, et ajouter leurs propres données, filtrant toutes les données qui pourraient les rendre visibles.
En résumé, vous ne pouvez plus faire confiance à votre ordinateur pour quoi que ce soit une fois qu’il a été infecté par un rootkit en mode noyau, car tout peut être contaminé, y compris les résultats des analyses anti-rootkits.
Heureusement, vu leur complexité, il est très difficile de créer un rootkit en mode noyau qui puisse fonctionner sans provoquer de plantages du système ni sans trahir sa présence.
Rootkits en mode utilisateur (User mode rootkits)
Un rootkit de ce type infecte le compte administrateur de votre système d’exploitation, ce qui lui accorde tous les privilèges de haut niveau dont il a besoin pour modifier les protocoles de sécurité de votre ordinateur tout en se cachant et en protégeant les éventuels autres malwares qu’il utilise (exploite).
Contrairement au rootkit en mode noyau, ce type de rootkit opère au niveau des applications de l’ordinateur, en détournant les processus, en manipulant les logiciels et en compromettant vos données. Il est plus facile à détecter car il opère (fonctionne) au niveau du software (logiciel) et non du kernel (noyau).
Les programmes anti-malwares peuvent détecter les rootkits en mode utilisateur car le logiciel de détection des rootkits s’exécute à un niveau plus profond, le noyau.
Les rootkits en mode utilisateur se lancent automatiquement à chaque démarrage de votre ordinateur, donc un simple redémarrage ne suffit pas pour s’en débarrasser.
Il existe également d’autres variantes moins courantes, telles que :
Rootkits hybrides (Hybrid rootkits)
Ces rootkits placent certains de leurs composants au niveau utilisateur et d’autres au niveau du noyau. Cela permet aux rootkits hybrides de bénéficier de la stabilité des rootkits en mode utilisateur et de la furtivité améliorée des rootkits en mode noyau. En conséquence, les rootkits hybrides utilisateur/noyau sont actuellement l’un des types de rootkits les plus populaires auprès des cybercriminels.
Rootkits de micrologiciel (Firmware rootkits)
Le micrologiciel est un type de logiciel de bas niveau servant au contrôle de matériel informatique tels que les routeurs, les périphériques de PC, etc.
Les rootkits de micrologiciel ont la particularité de pouvoir se cacher dans le micrologiciel lorsque vous éteignez votre ordinateur. Lorsque vous le rallumez, un rootkit de ce type peut se réinstaller de lui-même et reprendre son travail.
Même si un antivirus parvient à le détecter et à le mettre en quarantaine pendant son fonctionnement, l’utilisateur n’en est débarrassé que pour la session en cours. Il reviendra à la prochaine mise sous tension de votre ordinateur.
Ce ne sont pas les rootkits les plus répandus, mais ils sont à la fois performants, difficiles à détecter et tenaces.
Bootkits
Lorsque vous allumez votre ordinateur, il fait appel à l’enregistrement de démarrage principal (MBR) pour obtenir des instructions sur la façon de charger son système d’exploitation. Les bootkits, également appelés rootkits du chargeur de démarrage, sont une variante de rootkit en mode noyau qui infectent le MBR de votre appareil. Chaque fois que votre ordinateur consulte son MBR, le bootkit se charge lui aussi.
Les bootkits sont ainsi chargés avant que votre système d’exploitation ou tout logiciel antivirus ne commence à fonctionner.
Les programmes anti-malwares ont du mal à détecter les bootkits, comme pour tous les rootkits en mode noyau, car les bootkits ne résident pas du tout dans le système d’exploitation. À l’heure actuelle, les bootkits sont devenus obsolètes, car Windows 8 et Windows 10 les bloquent grâce à la fonction de démarrage sécurisé.
Quels sont les risques ?
Les rootkits sont utilisés pour masquer l’activité des chevaux de Troie et des autres logiciels malveillants. Ils permettent à ceux-ci de ne pas être détectés par les antivirus et de fonctionner en arrière-plan, sans que l’utilisateur le sache.
De plus, une fois présent dans l’ordinateur, les rootkits sont terriblement difficiles à détecter et à supprimer.
Comment pouvez-vous être infecté par un rootkit ?
Les rootkits peuvent être installés sur les machines cibles de plusieurs façons :
Les courriels malveillants. Certains e-mails malveillants se contentent d’une pièce jointe infectée (le plus souvent un fichier PDF, Word, Excel, PowerPoint ou OpenOffice). D’autres, la plupart, optent plutôt pour l’affichage d’un lien vous conduisant vers un site Web infecté qui au travers d’un exploit pousse un rootkit sur votre ordinateur.
Les pages Web infectées. Les rootkits peuvent exploiter une vulnérabilité dans le système d’exploitation ou dans une application s’exécutant sur votre ordinateur. Lorsque vous accédez à un site Web infecté, des exploits peuvent essayer d’utiliser ces vulnérabilités pour infecter votre ordinateur avec un rootkit. Le site Web peut être malveillant ou ce peut être un site Web légitime qui a été compromis ou piraté.
Les téléchargements de fichiers piégés. Certains malwares peuvent être installés en même temps que d’autres programmes que vous téléchargez. D’autre part, les logiciels gratuits ne sont généralement jamais réellement gratuits : vous payez toujours d’une manière ou d’une autre. Enfin, les programmes et fichiers illégaux (cracks, keygens, contenu multimédia piraté…) sont souvent accompagnés d’hôtes indésirables.
Partage P2P et torrents. Les utilisateurs qui partagent des fichiers (souvent des contenus multimédias) via les réseaux P2P et les sites de torrents sont exposés à un important risque d’infection de leur ordinateur. En effet, les fichiers partagés transitent par divers ordinateurs, qui ne disposent probablement pas tous d’un logiciel de sécurité Internet, et sont donc facilement infectés par un malware. En outre, les pirates créent des faux fichiers sur ces réseaux, qui imitent les téléchargements populaires du moment et sont en fait des malwares déguisés.
Les lecteurs amovibles infectés. De nombreux malwares se propagent en infectant des lecteurs amovibles tels que des clés USB ou des disques durs externes. Un rootkit peut être installé automatiquement lorsque vous connectez le lecteur infecté à votre ordinateur.
ATTENTION !
Il est important de noter que l’installation d’un rootkit nécessite les droits administrateurs afin de modifier le cœur du système d’exploitation. La plupart des internautes utilisent un compte administrateur sous Windows au lieu d’un compte limité, ce qui facilite l’installation des rootkits sur leur ordinateur !
Exemples de rootkits
TDSS (2008) : ce rootkit manipule le registre de Windows, et désactive par exemple le gestionnaire de tâches, la fonction de mise à jour, voire les programmes antivirus qui sont installés, et met ensuite en place un botnet.
Stuxnet (2010) : le ver Stuxnet, qui aurait été co-développé par les États-Unis et Israël, a causé des dommages considérables au programme nucléaire de l’Iran en provoquant la destruction des centrifugeuses utilisées pour séparer les matières nucléaires. En plus d’être un ver (il se propageait via des vulnérabilités dans Windows), Stuxnet utilisait un rootkit pour dissimuler sa présence.
ZeroAccess (2011) : ce rootkit télécharge et installe des logiciels malveillants sur la machine infectée et l’intègre dans un botnet utilisé par les pirates pour mener des cyberattaques.
Flame (2012) : ce rootkit a principalement été utilisé pour mener des activités de cyberespionnage au Moyen-Orient. Flame attaque les ordinateurs sous Windows et peut enregistrer l’activité du clavier, les captures d’écran, les fichiers audio, le trafic réseau, etc.
LoJax (2018) : Il s’agit du premier rootkit à infecter l’UEFI d’un ordinateur, le micrologiciel qui contrôle la carte mère, permettant à LoJax de survivre à une réinstallation du système d’exploitation.
Comment puis-je savoir que mon ordinateur est infecté par un rootkit ?
Il est généralement difficile, voire impossible de détecter la présence d’un rootkit sur un ordinateur, car ce type de logiciel malveillant est explicitement conçu pour rester caché.
Vu leur complexité, les rootkits en mode noyau sont très exposés aux erreurs de programmation, qui peuvent parfois rendre très instable un système qui a été contaminé. Dans ce cas, il existe certains signes qui peuvent vous conduire à considérer qu’un logiciel malveillant de type rootkit est présent sur votre ordinateur :
Votre système d’exploitation a un comportement étrange :
- Écran bleu : vous recevez un nombre important de messages d’erreur Windows ou d’écrans bleus avec du texte en blanc (parfois appelés « écrans bleus de la mort »), et votre ordinateur doit constamment être redémarré.
- Pas de réponse : votre ordinateur met du temps à démarrer, fonctionne lentement, se fige souvent ou ne répond à aucune requête de la souris ou du clavier.
Les pages Web ne fonctionnent pas correctement :
Les pages Web ou les activités du réseau semblent interrompues ou ne fonctionnent pas correctement en raison d’un trafic réseau excessif.
Modification des paramètres de Windows sans votre autorisation :
Si vous remarquez des changements dans les paramètres Windows que vous n’avez pas effectués, c’est probablement parce qu’un pirate informatique a accès à vos paramètres via le rootkit.
En conclusion : sauf si vous êtes face à un rootkit de mode noyau mal programmé, engendrant des écrans bleus à répétition et des plantages du système, et qui attire votre attention, la plupart des rootkits ne laisse absolument rien filtrer de leur présence dans votre système.
Comment se protéger contre les rootkits ?
Les rootkits sont l’un des types de logiciels malveillants les plus difficiles à trouver et à supprimer. Comme il est difficile de les détecter, la prévention est souvent la meilleure défense.
Pour réduire au minimum le risque d’infection par un rootkit, vous pouvez suivre les recommandations suivantes :
Installez les mises à jour de votre système d’exploitation et des logiciels installés sur votre ordinateur dès qu’elles sont disponibles. Ces mises à jour corrigent souvent des vulnérabilités récemment découvertes et que les pirates pourraient autrement exploiter pour accéder à votre appareil.
Utilisez un logiciel antivirus fiable et performant pour protéger votre appareil : un antivirus bloque les logiciels malveillants en temps réel et empêche les pirates informatiques de prendre le contrôle de votre ordinateur à distance. Assurez-vous que votre logiciel antivirus soit configuré de manière à se mettre à jour automatiquement.
Utilisez un compte d’utilisateur sans droits d’administrateur : de manière générale, il est recommandé d’utiliser un compte d’utilisateur sans droits d’administrateur lorsque vous utilisez votre ordinateur. Un tel compte doit uniquement être utilisé dans des cas exceptionnels. Comme il est généralement nécessaire de disposer de droits d’administrateur pour modifier les paramètres du système, l’utilisation d’un compte normal diminue le risque qu’un programme malveillant puisse s’infiltrer dans les profondeurs de votre système.
Utilisez les disques externes et clés USB avec précaution. Ne connectez pas n’importe quel périphérique de stockage à votre machine.
Adoptez de bonnes habitudes de sécurité en ligne :
- N’ouvrez aucune pièce jointe à un e-mail à moins de savoir à 100 % de quoi il s’agit.
- Réfléchissez à deux fois avant de cliquer sur un lien. Si vous doutez de la fiabilité d’un lien, ne cliquez pas dessus.
- Évitez les sites Web douteux. N’ignorez pas les avertissements de votre navigateur Web lorsqu’il vous indique qu’un site Web que vous essayez de visiter n’est pas sûr.
- Téléchargez des contenus multimédia (musique, jeux vidéo, films, séries) depuis des sources fiables uniquement, évitez donc les solutions illégales. Idem pour les logiciels, passez directement par le site officiel de l’éditeur.
Attention !
Une fois installé sur votre ordinateur, le seul moyen réellement efficace pour se débarrasser d’un rootkit sous Windows et garantir l’intégrité du système est… de reformater le disque dur et de réinstaller le système d’exploitation !