Le Savoir est une arme

Rootkit


Mot emprunté au monde Unix / Linux dans lequel il désigne un parasite permettant de s'octroyer des droits "Root", c'est-à-dire :

-les niveaux de droits les plus élevés de l'administrateur de la machine
-afin de prendre le contrôle de cette dernière
-tout en restant furtif (invisible).

A partir de là, sous Unix/Linux, il est possible de faire ce que l'on veut sur cette machine dont implanter des processus parasites.

Il n'est pas aisé de violer les systèmes Unix / Linux et un Rootkit est nécessaire pour le faire.

Les Rootkits remontent à une période antérieure à 1997 puisqu'à cette époque démarre un projet open source (à code public) nommé "ChkRootKit" ("Chek RootKit") destiné à detecter les RootKits dans le monde Linux.

Dans le monde Windows, le viol du système est aisé et un Rootkit au sens de ceux du monde Unix n'est pas nécessaire pour prendre le contrôle des PC et les zombifier, d'autant que la très grande majorité des utilisateurs Windows, malgré les avertissements des sites de sécurité, travaille directement en mode administrateur.

Les Rootkits Windows sont restés, un temps, un travail purement intellectuel et spéculatif des laboratoires de recherches en virologie et des gentils hackers ("Whitehats"). Ils n'avaient aucune charge active ni n'étaient sortis des laboratoires.



Aujourd'hui, un Rootkit, dans le monde Windows (les versions de Windows à base de noyau NT sont concernées - NT, XP, 2000), désigne plutôt une boîte à outils (nous devrions plutôt parler de Tools Kit) insérée par un hacker du monde obscur du Net (les "Blackhats") et qui va l'aider à :

essentiellement cacher des parasites avec des Hooker. La grande activité des RootKits est de rendre un parasite totalement furtif (dont le rootkit lui-même) en interceptant toutes les formes de requêtes faites au système (aux APIs système et programmes de dignostique) par quelque application que ce soit et de perdre la réponse ou de la crétiniser afin qu'un antivirus ou un anti-trojans ou toute autre outil ou recherche n'aboutise jamais (impossibilité de tuer un processus, prétendre qu'un fichier a été détruit ou n'existe pas alors qu'il est bien là, masquer ou modifier le contenu d'un paquet etc. ...) et ne dévoile jamais la présence d'un parasite protégé par le RootKit

compromettre une machine déjà faible (failles non corrigées...) par la mise en place de plusieurs backdoors et autres outils lui "facilitant la vie" par la suite pour, en un second temps, déployer d'autres parasites, implanter de quoi utiliser la machine et en faire un zombie et pouvoir y revenir quand il veut sans avoir à utiliser une faille peut-être corrigée depuis...


Les RootKits sont devenus le problème numéro 1 des malveillances en 2006. Les détecter semble être une barrière à franchir en matière de recherches logiciel. Quant-à les éradiquer, eux et ce qu'ils cachent, c'est d'un tout autre niveau de difficultés - éradiquer un RootKit et restaurer un système stable n'est pas atteint dans 100% des cas. Quelques rootkits capables de pénétrer les BIOS (basic input/output system) les rendent sensibles au point de « planter » l’ordinateur si vous vous êtes débarrassés du rootkit.