Rootkit
Un article de Wikipédia, l'encyclopédie libre.
 |
| Cet article fait partie de la série Programmes malveillants |
| Virus |
| Cabir - MyDoom.A Tchernobyl - Yamanner |
| Ver |
| Bagle - Blaster Code Red - I love you Melissa - Morris NetSky - Nimda SQL Slammer - Santy Sasser - Sobig |
| Cheval de Troie |
| Back Orifice - SubSeven ByteVerify - XXXDial |
| Logiciel espion |
| CoolWebSearch - Cydoor Gator - New.net SaveNow |
| Composeur d’attaque |
| ToneLoc |
| Voir aussi |
| Logiciel malveillant Sécurité informatique Programmation |
On nomme rootkit un programme ou ensemble de programmes permettant à un tiers (un pirate informatique, par exemple, mais pas nécessairement) de maintenir - dans le temps - un accès frauduleux à un système informatique. Le pré-requis du rootkit est une machine déjà compromise.
Sommaire |
[modifier] Principe d’un rootkit
Un rootkit s'utilise après une intrusion et l'installation d'une porte dérobée afin de camoufler tous les changements effectués lors de l'intrusion. C'est comme cela que l'on peut préserver l'accès à la machine un maximum de temps. Les rootkits sont ainsi difficilement détectables et seule une analyse forensique approfondie peut en révéler la présence.
[modifier] Rôle du rootkit
La fonction principale du « rootkit » est de camoufler la mise en place d’une ou plusieurs « portes dérobées ». Ces portes dérobées (utilisables en local ou à distance) permettent au pirate de s’introduire à nouveau au cœur de la machine sans pour autant exploiter une nouvelle fois la faille avec laquelle il a pu obtenir l’accès frauduleux initial, qui serait tôt ou tard comblée.
Les « rootkit » opèrent une suite de modifications, notamment au niveau des commandes système, voire du noyau (kernel).
À la différence d'un virus informatique ou un ver de nouvelle génération, un « rootkit » ne se réplique pas.
L’installation d’un « rootkit » nécessite des droits administrateur sur la machine, notamment à cause des modifications profondes du système qu’il engendre. Cela signifie que le pirate doit initialement disposer d’un accès frauduleux, avec les droits du « root » sous Linux par exemple, afin de mettre en place son « rootkit ».
Un « rootkit » ne permet pas en tant que tel de s’introduire de manière frauduleuse sur une machine saine. En revanche, certains « rootkit » permettent la collecte des mots de passe qui transitent par la machine « corrompue ». Ainsi, un « rootkit » peut indirectement donner l’accès à d’autres machines.
Certains « rootkit » sont également livrés avec des collections d’« exploits », ces petits bouts de code dédiés à l’exploitation d’une faille bien déterminée. Le but est d’aider les pirates dans leur conquête de machines encore vierges.
Un «rootkit» a pour but principal la furtivité, il permet par exemple de cacher certains processus, certains fichiers et clefs de registre, etc. Il opère au niveau du noyau (la plupart du temps chargé en tant que driver) et peut donc tromper à sa guise les programmes qui sont exécutés en mode utilisateur (antivirus, firewalls). Le rootkit est souvent couplé à d'autres programmes tel qu'un sniffeur de frappe, de paquets...
Le « rootkit » n’a de raison d’être que si une faille est présente, si les conditions sont réunies pour que son exploitation soit réussie et si elle permet un accès avec les droits administrateur. Donc pas de faille, pas de rootkit.
Le meilleur moyen de se protéger des rootkit est de se prémunir contre les failles.
Les « rootkit » existent depuis plusieurs années. Le projet Chkrootkit dédié au développement d’un outil de détection de « rootkit » pour les plateformes Linux, *BSD, Solaris et HP-UX a été démarré en 1997. Le phénomène n’est donc pas nouveau. En 2002, Securityfocus faisait état des avancements en matière de « rootkit » pour les plate-formes Microsoft Windows..
[modifier] Exemples de rootkits
[modifier] Rootkit Sony-BMG
En octobre 2005, le spécialiste en sécurité Mark Russinovich (compagnie Sysinternals) a découvert un rootkit installé comme composant de gestion numérique des droits (DRM), lors de son écoute, par un CD audio de marque Sony-BMG [1],[2],[3] . Ce rootkit permettait une fois chargé de cacher au niveau du noyau tous les fichiers dont le nom commençait par $sys$. Cette fonctionnalité a été exploitée par des virus pour cacher leur code malveillant et échapper ainsi aux programmes anti-virus. Cette affaire a fait un tort important à Sony, aussi bien au niveau de sa réputation, que financièrement. Dans plusieurs pays, Sony a été obligé de reprendre ses CD avec rootkit et de dédommager les clients [4].
[modifier] Rootkit clé USB Sony
En 2007, Sony révèle la présence d'un rootkit dans ses clés usb biométrique [5],[6],[7]. Cela a été développé par leur sous-traitant FineArt Technology (http://www.fineart-tech.com/en/) à la demande de Sony. La faille a été découverte par F-Secure.
Sony se défend et affirme qu'il n'aurait pas eu pour objectif de fournir des renseignements à certains organismes, ou leur permettre d'accéder aux informations des entreprises... D'après plusieurs éditeurs de solutions anti-virus, cette affaire est en effet moins grave que celle du rootkit se trouvant sur leurs CD Audio. Le principal risque et reproche est que ce rootkit crée un répertoire caché du système, l'endroit idéal pouvant être exploité par des virus pour échapper aux moyens de détections habituels.
[modifier] Autres rootkits
- Ducoci rootkit
- MonKit
- OpticKit
- LOC rootkit
- Romanian rootkit
- Suckit rootkit
- Volc rootkit
- Gold2 rootkit
- Annonoying rootkit
- ZK rootkit
- ShKit rootkit
- AjaKit rootkit
- zaRwT rootkit
- Hacktool.Rootkit
- t0rn rootkit
[modifier] Programmes de détection de rootkit
- Windows
- Avast!
- Kaspersky
- RootkitRevealer de Windows Sysinternals
- IceSword
- DarkSpy
- RkU
- NOD32
- AVG Anti-Rootkit
- Avira AntiVir
- Blacklight F-secure
- Rootkit Hook Analyzer
- Spybot S&D (Safer Networking)
- RootAlyser (Safer Networking)
- UNIX / Linux
- chkrootkit de Nelson Murilo et Klaus Steding-Jessen (UNIX/Linux)
- rkhunter de Michael Boelen (UNIX/Linux)
- Zeppoo de ZeppooTeam (UNIX/Linux), renomé kernsh le 15 mai 2007, ce projet est maintenant intégré dans le framework ERESI (18 septembre 2007).
[modifier] Voir aussi
[modifier] Articles connexes
[modifier] Notes et références
- ↑ Sony patche votre système pour protéger ses CD
- ↑ Un rootkit dans les DRM de Sony
- ↑ Sony intègre puis retire un rootkit de ces CD audio protégés
- ↑ Affaire rootkit : Sony BMG règle son conflit avec la FTC
- ↑ Rootkit sur clé USB: l'incroyable 'erreur' de Sony
- ↑ Un rootkit pour ses clés USB biométriques ? Sony s'explique
- ↑ Un nouveau rootkit chez Sony sur les clés USB ?
[modifier] Liens externes
- (en) rootkit.com : Articles, rootkits de démonstration et logiciels antirootkits
- (en) Rootkit Detection, Removal and Prevention : Liste d'anti-rootkit pour tous les OS
- (fr) Rootkits et antirootkits Les différentes catégories de rootkits et logiciels pour les combattre (Infomars)
