En matière de sécurité informatique, l'un des principaux chantiers
de développement des éditeurs en 2005 concerne les rootkits.
Nouvelle menace ? pas vraiment, les rootkits existent depuis
des années sur les environnements Unix et Linux, mais ils refont
aujourd'hui parler d'eux suite aux déclarations de Microsoft,
qui en mars 2005 lors de la conférence RSA, annonçait une multiplication
de ce type de programmes sur les environnements Windows.
Un rootkit, comme son nom l'indique, est un ensemble d'outils
disponibles pour l'administrateur du poste afin de, par exemple,
stopper une tâche en cours, accroître la priorité d'exécution
d'un processus ou bloquer l'installation de programmes. Travaillant
à proximité du noyau dur des systèmes d'exploitation, les
rootkits ne peuvent s'installer qu'avec le consentement de
l'utilisateur puisqu'ils touchent à des tâches critiques.
A
priori non offensifs dans leur définition, ces programmes deviennent
en pratique une solution idéale pour les attaques informatiques
en donnant accès à des commandes bas niveau. Combiné avec
d'autres codes malveillants, les rootkits peuvent empêcher
le lancement d'antivirus ou forcer l'exécution d'un programme
préalablement installé sur le disque dur.
Une menace d'autant plus sérieuse qu'elle se situe au niveau
du système d'exploitation, soit avant la couche de sécurité
traditionnelle offerte par les antivirus. Toutefois, pour
installer ce programme sans le consentement de l'utilisateur,
il faut au préalable avoir infecté une machine. Dans ce domaine,
les vulnérabilités peuvent aider un attaquant à corrompre
totalement la machine.
Un
rootkit comme Adore peut cacher l'exécution de
processus |
L'intérêt d'un rootkit comme Adore (rootkit Linux) se situe
dans sa capacité à pouvoir ajouter des fonctionnalités au
noyau d'origine. Ainsi, selon le cabinet de sécurité FrIST,
Adore peut cacher des fichiers, des processus ou permettre
à l'utilisateur de passer des commandes en tant qu'administrateur.
Un procédé d'autant plus intéressant que ces programmes se
révèlent difficiles à détecter puis à supprimer puisqu'ils
touchent au cur du système.
En effet, le processus de détection consiste dans la plupart
des cas à analyser les changements survenus sur le noyau du
système d'exploitation afin de détecter toute entrée non légale.
Un travail de fourmi difficile d'accès pour des non spécialistes.
Bien connus du monde Unix, ces rootkits ont fait l'objet de
contre mesure comme Chkrootkit, projet initié à la fin des
années 1990 et uniquement dédié au monde Linux et Unix.
Récemment toutefois, les éditeurs de solutions de sécurité
se tournent vers la sécurisation des plate-formes Windows
sous l'impulsion de Microsoft. Via son outil correctif gratuit,
Malicious Software Removal Tool (lire l'article
du 10/01/2005), la société se propose de nettoyer son
système d'exploitation de rootkit comme Hacker Defender. Une
initiative suivie par F-Secure qui compte proposer prochainement
son propre outil de détection, dénommé BlackLight.
L'éditeur F-Secure souligne d'ailleurs, dans une interview
accordée au journal Eweek, le phénomène de convergence entre
rootkits, virus, vers et bots en citant les exemples récents
de Rbot, Sober.P et Myfip.H. Pour s'en protéger et prémunir
toute infection, préalable nécessaire à l'installation du
rootkit, les spécialistes en sécurité recommandent l'application
des correctifs de sécurité, la mise à jour des antivirus et
l'activation d'un pare-feu.
|