 |
|
|
| |
|
|
| Sommaire Sécurité |
|
| Les rootkits : nouvelle plaie de la sécurité informatique |
| Les éditeurs de solutions anti-virus McAfee et Kaspersky Lab mettent en garde contre l'explosion de ces codes malveillants. Capable de prendre le contrôle du système, ils passent inaperçus aux yeux des utilisateurs.
(19/04/2006) |
|
Les rootkits
sont de plus en présents dans l'univers informatique, annonce l'éditeur McAfee. Son laboratoire d'alerte a en effet recensé une hausse de 700 % de ces outils entre les premiers trimestres 2005 et 2006.
Même si les rootkits constituent de plus en plus une arme anti-piratage pour les producteurs de contenus multimédia, l'éditeur de solutions de sécurité met l'accent sur la prolifération des rootkits à vocation frauduleuse.
Plus de 827 technologies furtives ont ainsi été décelées lors du premier trimestre 2006, là où seulement 70 apparaissaient il y a un an. Qu'il s'agisse de vers ou d'applications commerciales masquées, elles font toutes appel à des composants systèmes et attaquent principalement Windows, alors que leur développement est hérité de composants Open Source historiquement réservés à Linux.
Le rootkit a initialement été développé comme un outil réservé à l'administrateur du poste client. Il lui permet de posséder les pleins pouvoirs sur les processus système, afin notamment de pouvoir interrompre une tâche en cours, de définir des priorités d'exécution pour un processus ou même de bloquer l'installation de programmes.
Cette relation très étroite est rendue possible grâce à l'exécution directe du rootkit sur le noyau dur des systèmes d'exploitation, pour lancer des tâches critiques.
Or, ce rôle de "superutilisateur" s'est retourné contre l'industrie informatique elle-même, les pirates parvenant à s'infiltrer dans le système pour en prendre le contrôle, à l'insu des utilisateurs qui ignorent le plus souvent tout de cette intrusion.
| Le rootkit est pré-programmé pour être finalisé en fichier binaire éxécutable |
Les développeurs n'ont pas besoin d'une connaissance système appronfondie, le rootkit étant "pré-programmé" pour être finalisé au gré du développeur qui le transforme en fichier binaire exécutable.
Dès lors, le champ d'action devient large, surtout lorsque des milliers de lignes de codes à recompiler sont publiées en ligne sur des espaces collaboratifs de développeurs. Le cap a été franchi depuis la démonstration de cetaines failles (proofs of concept).
Les premières attaques utilisant des rootkits sont apparues récemment. La porte de sortie Win32.PoeBot, injectant un cheval de Troie dans le système, fut détectée en 2004. L'année suivante, Win32.Bube s'attaquait au fichier système Explorer.exe en téléchargeant un aitre cheval de Troie. D'autres ont suivi pour s'attaquer aux librairies système de Windows (DLL) et ouvrir ainsi le contrôle réseau de l'OS pour le piloter à distance.
Mais les nouvelles menaces ne se résument pas qu'aux rootkits. Kaspersky Lab a de son côté repéré des nouvelles sources d'attaques lors de tests "proof of concept". L'un d'eux parvient à localiser le secteur de chargement (boot) du disque dur et ainsi interagir avec le matériel avant le chargement du système d'exploitation.
L'éditeur russe voit aussi la montée croissante des attaques destinées à Mac OS X d'Apple, système hérité d'Unix et qui devient lui aussi ouvert aux codes malveillants en tout genre.
L'éditeur Symantec a quant à lui tenté l'introduction de rootkits en 2005. Sa solution SystemWorks hébergeait alors un rootkit - dissimulé - servant à son système de corbeille protégée.
Toutefois, il fut rapidement contrait de corriger le tir au vu des risques de vulnérabilités encourus. Sony-BMG, qui s'était aventuré dans cette voie en insérant un rootkit en guise de système de protection sur des CD audio, a dû également faire marche arrière fin 2005.
Le mouvement anti-rootkit est donc aujourd'hui une réalité (lire l'article du 19/05/2005). Microsoft a même récemment conseillé à tout administrateur de parc informatique de ré-installer tout simplement le système sur un PC contaminé, le pouvoir des rootkits est tellement fort qu'il n'y a aucune possibilité de retrouver l'OS normalement configuré et opérationnel.
|
| |
| |
|
|
|
|
|
|
Dossier 
