Qu’est-ce qu’un rootkit ?
Dans la famille des logiciels malveillants, il y a les redoutables rootkit ! Voici l’essentiel à leur sujet.
Rootkit – Définition
Un rootkit est un logiciel malveillant conçu pour accéder à une machine cible, d’en prendre le contrôle et y maintenir une présence cachée et persistante. Un rootkit peut s’attaquer au système d’exploitation (Windows, Linux, etc.) mais également au micrologiciel (firmware) d’une machine.
Les pirates informatiques peuvent utiliser un rootkit pour effectuer diverses activités malveillantes, telles que l’espionnage, le vol de données, le contrôle à distance et la distribution d’autres souches malveillantes. La particularité des rootkits, c’est qu’ils sont furtifs, peuvent être chargés au démarrage du système d’exploitation et sont plus difficiles à détecter. Cela est dû au fait qu’il s’agit d’une infection bas niveau.
Pour déployer un rootkit sur une machine, les pirates ont plusieurs techniques possibles, comme l’exploitation d’une faille de sécurité ou l’utilisation d’un exécutable malveillant.
Exemples de rootkit
Il existe plusieurs rootkits populaires, voici quelques exemples : Zeus, Hacker Defender, Alureon, Rustock, Linux/Snakso.A, ou encore Adore-ng. Aujourd’hui, il existe des rootkits pour tous les systèmes d’exploitation populaires.
Comment se protéger contre les rootkits ?
Voici quelques mesures que vous pouvez prendre pour vous protéger contre les rootkits :
– Maintenir à jour votre système d’exploitation, vos pilotes et vos logiciels : cela va permettre de corriger les failles de sécurité et éviter qu’elles soient exploitables par les cybercriminels.
– Utiliser une solution de sécurité (Endpoint / Antivirus) : de manière à détecter les menaces et les comportements suspects sur votre machine.
– Activer le Secure Boot (UEFI) : une fonctionnalité de sécurité importante qui empêche le chargement de logiciels malveillants pendant le démarrage du système.
– Éviter les téléchargements à partir de sources non fiables : lors du téléchargement d’un logiciel piraté, via un torrent par exemple, celui-ci peut être infecté par un rootkit (ou un autre type de malware).
Si vous avez un doute et que vous pensez que votre machine a pu être infectée par un rootkit, vous pouvez utiliser un logiciel d’analyse. Sous Windows, il y a l’outil TDSSKiller de chez Kaspersky. D’autres éditeurs proposent des alternatives. Il y aussi RootkitRevealer de la suite Sysinternals, mais il y a des chances qu’il ne fonctionne pas sur les versions récentes de Windows.
Sinon, du côté de Linux, il y a rkhunter qui est relativement populaire. Ils vont analyser votre machine à la recherche d’un éventuel rootkit.
