Qu'est-ce qu'un rootkit?
Un rootkit est un ensemble d'outils logiciels qui, lorsqu'il est installé sur un ordinateur, fournit un accès à distance à des ressources, des fichiers et des informations système à l'insu du propriétaire. Les «programmes de nounou» parentaux et répressifs utilisent divers types de rootkits pour surveiller secrètement les activités sur les ordinateurs à des fins de surveillance, mais les pirates informatiques malveillants peuvent également installer des rootkits sur les ordinateurs de victimes sans méfiance.
Le mot «rootkit» vient du système d'exploitation UNIX ™ qui prévalait avant Microsoft ™ Windows ™. Linux et BSD (Berkeley Software Distribution) sont des dérivés d’UNIX. Le niveau «racine» d'un système UNIX s'apparente aux privilèges d'administrateur de Windows. L'ensemble de logiciels de contrôle à distance a été qualifié de «kit», ce qui nous a donné un «rootkit» parfois appelé «root kit».
Les rootkits créent un engouement depuis le début des années 1990. Le type de rootkits qui attaquent les machines Windows ™ s’intègre dans le noyau du système d’exploitation. À partir de là, le rootkit peut modifier le système d'exploitation lui-même et intercepter des appels au système (demandes d'informations du système), en fournissant de fausses réponses pour dissimuler la présence du rootkit. Comme le rootkit cache ses processus dans le système d'exploitation et les journaux système, il est difficile à détecter.
Un pirate informatique malveillant peut obtenir un rootkit sur un ordinateur par différents moyens. Les rootkits peuvent être livrés à un cheval de Troie ou même cachés dans un fichier apparemment bénin. Cela pourrait être un graphique ou un programme idiot distribué par courrier électronique. Les victimes n'ont aucun moyen de savoir qu'un rootkit sera installé en cliquant sur le graphique ou le programme. Les rootkits peuvent également être installés en naviguant sur le Web. Une fenêtre contextuelle peut par exemple indiquer qu’un programme est nécessaire pour visualiser le site correctement, en déguisant un rootkit en un plugin légitime.
Une fois qu'un rootkit est installé, le pirate informatique peut secrètement communiquer avec l'ordinateur ciblé chaque fois qu'il est en ligne. Le rootkit est généralement utilisé pour installer plus de programmes cachés et créer des «portes dérobées» vers le système. Si le pirate informatique souhaite obtenir des informations, un programme keylogger peut être installé. Ce programme enregistrera secrètement tous les types de victimes, en ligne et hors ligne, et transmettra les résultats à l'intrus à la prochaine occasion. Les programmes Keylogger peuvent révéler des noms d'utilisateur, mots de passe, numéros de carte de crédit, numéros de compte bancaire et autres données sensibles configurant la victime en cas de fraude ou de vol d'identité.
Parmi les autres utilisations malveillantes des rootkits, mentionnons la compromission de plusieurs centaines voire de centaines de milliers d'ordinateurs pour former un «réseau de rootkit» distant appelé réseau de botnet . Les botnets sont utilisés pour envoyer des attaques de type DDoS (Distributed Denial of Service), du spam, des virus et des chevaux de Troie à d’autres ordinateurs. Cette activité, si elle est retracée aux expéditeurs, peut potentiellement entraîner la saisie légale des ordinateurs de propriétaires innocents qui ne savaient pas que leurs ordinateurs étaient utilisés à des fins illégales.
Pour se protéger contre les rootkits, les experts recommandent que les logiciels de sécurité, y compris les antivirus et les logiciels espions, soient régulièrement mis à jour. Installez les correctifs logiciels (correctifs de sécurité du système d’exploitation) dès qu’ils deviennent disponibles et supprimez le spam sans l’ouvrir. Lorsque vous surfez sur Internet, n'autorisez que les sites de confiance à installer des logiciels et évitez de cliquer sur des bannières ou des popups inconnus. Même un bouton «non merci» peut être un stratagème pour télécharger un rootkit.
Il est également sage d'utiliser un ou plusieurs logiciels anti-rootkit pour rechercher des rootkits toutes les semaines, puis sauvegarder le système. Bien que certains rootkits puissent apparemment être supprimés en toute sécurité, il est généralement recommandé de reformater le disque et de reconstruire le système pour être sûr que tout le rootkit et tous ses processus ont disparu. Si cela devait arriver, une sauvegarde récente et propre facilitera grandement le travail.