Cet article a été mis à jour le 1 avril 2023
Les rootkits sont les malwares les plus sournois et les plus difficiles à trouver. La plupart du temps, vous apprendrez assez rapidement que votre ordinateur est équipé d’un malware. Bien que certains types de malwares doivent être subtils, la plupart d’entre eux annoncent leur présence d’une manière ou d’une autre. Mais pas les rootkits.
Ces logiciels sournois se cachent dans les parties les plus reculées de votre ordinateur et vous causent toutes sortes de problèmes. Lisez ce qui suit pour en savoir plus à leur sujet.
Qu’est-ce qu’un rootkit ?
La caractéristique principale des rootkits est qu’ils échappent à la détection en se masquant à l’utilisateur et aux autres logiciels, y compris les antivirus. La définition d’un rootkit ne précise donc pas ce que le malware fait réellement, mais seulement sa stratégie de dissimulation aux yeux des utilisateurs.
Le terme « rootkit » se compose de deux mots : « root » (qui, dans ce contexte, désigne le compte privilégié sur les systèmes d’exploitation Linux et Unix) et « kit » (composants logiciels qui mettent en œuvre l’outil). Bien qu’ils ne soient pas intrinsèquement malveillants, les rootkits sont généralement associés à divers types de malwares et permettent au pirate d’accéder à votre ordinateur avec des droits d’administration.
Ainsi, les rootkits peuvent fournir une porte dérobée aux criminels, voler directement vos données (comme les mots de passe et les détails de votre carte de crédit) ou enrôler votre ordinateur dans un réseau de zombies. Quoi qu’il en soit, un rootkit vous empêchera de le découvrir et de le supprimer.
Types de rootkits
Les spécialistes de la sécurité classent les rootkits en différentes catégories en fonction du niveau d’accès qu’ils compromettent :
- Les rootkits en mode utilisateur s’exécutent comme des processus normaux, à l’instar des applications que vous pourriez lancer vous-même. Les rootkits en mode utilisateur se cachent avec des techniques moins sophistiquées. S’ils peuvent se faufiler plus facilement, ils sont aussi plus faciles à détecter et à supprimer.
- Les rootkits en mode noyau remplacent ou injectent du code dans les composants du système d’exploitation de votre ordinateur. Par conséquent, ces types de rootkits sont beaucoup plus avancés et peuvent se dissimuler plus efficacement. Il est difficile, voire impossible, de supprimer un rootkit en mode noyau d’un système en cours d’exécution.
- Les bootkits sont un type particulier de rootkits qui infectent le Master Boot Record ou le code UEFI d’un ordinateur. Il s’agit en fait d’un des premiers logiciels qui s’exécutent après que vous ayez appuyé sur le bouton d’alimentation. Par conséquent, les bootkits s’exécutent sous le système d’exploitation et ne peuvent être supprimés sans reformater le disque dur.
- Les rootkits de micrologiciel ou de matériel compromettent des composants tels que le coprocesseur Intel Management Engine ou le micrologiciel de votre carte réseau. Ce type de rootkit est le plus difficile à installer, mais aussi à supprimer. Parfois, les victimes doivent jeter et remplacer le matériel infecté.
Comment détecter les malwares de type rootkit ?
La détection des rootkits est souvent très difficile, les pirates les conçoivent pour qu’ils soient aussi difficiles à trouver que possible. Toutefois, si vous avez un rootkit, il ne s’agit probablement pas d’une variété inédite. Les criminels ciblent généralement les rootkits les plus puissants et les plus difficiles à trouver sur des cibles telles que les grandes entreprises, et non les particuliers.
Certains logiciels anti-programmes malveillants peuvent rechercher et supprimer les rootkits comme les autres types de programmes malveillants. Cela dit, l’analyse antivirus peut ne pas suffire. En plus de rechercher des fichiers malveillants sur votre disque, un logiciel antivirus de qualité recherche des heuristiques. En d’autres termes, il recherche les comportements qui sortent de l’ordinaire et qui peuvent indiquer une infection.
Outre l’utilisation d’un logiciel antivirus doté de fonctions heuristiques, vous devez également être attentif aux symptômes d’une infection par un malware. Si votre ordinateur est soudainement lent ou se comporte de manière étrange même après l’avoir redémarré, il se peut que vous ayez des malwares, y compris des rootkits.
Il existe également des logiciels anti-rootkits spécifiques. Ce type de logiciel anti-programme malveillant spécialisé peut être un excellent moyen de vérifier la présence d’un rootkit connu sur votre ordinateur si vous le soupçonnez déjà. Toutefois, il n’est pas nécessaire d’installer ce logiciel sur votre ordinateur pour bénéficier d’une protection préventive.
Comment protéger votre PC contre les rootkits ?
- Soyez prudent avec les pièces jointes et les sites web inconnus. C’est par ces vecteurs d’attaque que la plupart des malwares se retrouvent sur votre ordinateur. N’ouvrez pas les pièces jointes que vous n’attendez pas et n’autorisez jamais l’exécution de macros Office à partir de pièces jointes inconnues. Faites attention aux publicités en ligne qui contiennent de faux liens de téléchargement ainsi qu’aux téléchargements inattendus.
- Utilisez une solution anti-programme malveillant puissante, dotée d’une analyse permanente et de fonctions heuristiques. Un logiciel antivirus puissant peut souvent détecter les installateurs et les chargeurs de rootkits avant qu’ils ne se retrouvent sur votre machine.
- Restez à l’affût des mises à jour. De nombreux malwares, y compris les rootkits en mode noyau, s’appuient sur des failles de sécurité pour s’infiltrer dans votre système. Par conséquent, en le maintenant à jour, vous pouvez vous assurer que bon nombre de ces attaques ne seront pas couronnées de succès.
Exemples de rootkits
Les rootkits sont sans doute le type de malware le plus connu, même si les gens ne les appellent pas nécessairement par ce nom, en raison du grand nombre de cas qui ont défrayé la chronique. Voici quelques-uns des plus grands exemples de rootkits :
- Stuxnet. Parfois considéré comme la première véritable cyberarme, Stuxnet était un malware sophistiqué utilisé par les gouvernements américain et israélien pour détruire une installation nucléaire iranienne. En plus d’être un ver (il s’est propagé via des vulnérabilités de Windows), Stuxnet s’est caché des utilisateurs, ce qui en fait un rootkit. Il est arrivé sur les ordinateurs des victimes par l’intermédiaire de clés USB et a ensuite attaqué des contrôleurs logiques programmables, provoquant l’autodestruction de centrifugeuses utilisées pour séparer les matières nucléaires.
- Protection contre la copie chez Sony BMG. En 2005, après des années de baisse des ventes de musique due à la montée en puissance de Napster et d’autres systèmes de piratage, Sony BMG avait besoin d’une solution. Pour rendre plus difficile le transfert de la musique des CD vers les ordinateurs, ils ont utilisé une série de programmes pour interférer avec les logiciels de copie de CD. Ces programmes se cachaient des utilisateurs et du système d’exploitation, ce qui a conduit les chercheurs en sécurité à les classer dans la catégorie des rootkits.
- Attaques par swiper de cartes de crédit en 2008. Ce rootkit s’est installé peu de temps après que les dispositifs à puce et à code PIN des cartes de crédit ont quitté l’usine en Chine. Le réseau pakistano-chinois de criminalité organisée qui a conçu le logiciel a reçu les données des cartes de crédit au Pakistan. Les informations financières ont ensuite été utilisées pour cloner des cartes de crédit et vider les comptes bancaires des victimes.
FAQ Rootkit
Qu'est-ce qu'une attaque par rootkit ?
Lors d’une attaque de malwares par un rootkit, votre ordinateur est infecté par un malware dont vous ne pouvez pas vous débarrasser facilement. Avec les rootkits les plus avancés, il se peut que vous ne sachiez même pas que vous avez été infecté. Contrairement à d’autres types de malwares, les rootkits utilisent diverses approches pour se dissimuler.
Les antivirus peuvent-ils détecter les rootkits ?
Peut-être, peut-être pas. Étant l’un des types de malwares les plus avancés, les rootkits échappent souvent à la détection, même par les meilleurs antivirus. Toutefois, si vous n’êtes pas une cible de grande valeur, les rootkits que vous rencontrerez ne seront probablement pas aussi avancés.
Peut-on se débarrasser d'un rootkit ?
Oui, même si ce n’est pas facile. Vous aurez peut-être besoin d’un programme antivirus avancé ou d’un outil spécial. Dans certains cas, vous devrez même réinstaller votre système d’exploitation.
Comment se forment les rootkits ?
Les rootkits peuvent infecter votre ordinateur de différentes manières. Par exemple, ils peuvent être transmis par des pièces jointes à des courriels ou se cacher dans des sites web suspects. Vous pouvez également en obtenir un avec un logiciel infecté.