Les professionnels et les passionnés de la sécurité connaissent les rootkits, mais le grand public ne connait pas ce type de malware qui est surtout conçu pour se cacher dans un système infecté. Mais cette menace vaut la peine d’être connue du public car il a de grandes chances de la rencontrer un jour. Les cybercriminels développent constamment de nouvelles méthodes pour voler vos données et ils vendent activement ces méthodes à d’autres.
Leur capacité à pouvoir se cacher permet aux malwares de rester dans le système de leurs victimes pendant des mois et même des années, permettant ainsi aux pirates d’utiliser les ordinateurs pour faire ce qu’ils veulent. Même si l’ordinateur ne contient pas d’informations de valeur (ce qui est peu probable), il pourra toujours être utilisé pour produire de la monnaie électronique (« bitcoins »), pour envoyer des courriers indésirables et participer à des attaques DDoS. La fonctionnalité rootkit permet de cacher des activités malveillantes non pas seulement aux outils de surveillance intégrés dans le système d’exploitation, mais aussi aux détecteurs de virus et au pare-feu. C’est pourquoi nous vous conseillons de vérifier si votre logiciel antivirus dispose d’une fonctionnalité anti-rootkit et d’en vérifier également l’efficacité.
Qu’est-ce qui rend un rootkit invisible ? Ce n’est pas si compliqué à expliquer : le malware essaie d’intégrer son code assez profondément dans la structure du système d’exploitation afin de pouvoir intercepter toutes les requêtes standard de lecture de fichiers, obtenir la liste des processus en cours d’utilisation, etc. Le rootkit analyse de telles requêtes et supprime toutes les mentions de fichiers, de processus et autres traces liés à son activité. D’autres techniques sont également utilisées – le rootkit peut, par exemple, injecter un code dans un processus légitime et utiliser celui-ci pour faire son sale boulot. Cela permet au rootkit de ne pas être détecté par les solutions antivirus les moins avancées qui travaillent sur les requêtes OS situées à des niveaux supérieurs et n’essaient pas d’aller plus en profondeur, jusqu’aux noyau et structures les plus profondes du système d’exploitation. Si l’antivirus réussi à détecter le rootkit, le virus pourrait essayer de désactiver la protection et de supprimer des composants antivirus critiques. L’un des rootkits les plus avancés avait même élaboré une technologie d’appât – il avait créé un fichier spécial afin qu’ils soient détectés par l’antivirus. Dès que l’antivirus a accédé à ce fichier, le rootkit a essayé de désactiver ce dernier et de bloquer sa prochaine exécution.
Comment empêcher tout cela ? Premièrement, pour détecter toute activité suspecte, l’antivirus doit surveiller les fichiers système situés à des niveaux inférieurs, afin de détecter les malwares qui essaient de modifier les structures du disque dur. De plus, il est possible de trouver de nouveaux rootkits, encore inconnus des antivirus, en comparant l’activité de l’ordinateur telle qu’elle est enregistrée au niveau du système d’exploitation avec les résultats de la surveillance à bas niveau. Deuxièmement, il est essentiel d’avoir une protection antivirus suffisante, afin que le malware ne puisse pas désactiver votre produit. Et enfin, l’antivirus doit supprimer 100% des composants du rootkit, même ceux injectés dans des fichiers critiques du système d’exploitation. Il est impossible de solutionner le problème en supprimant les fichiers – le système d’exploitation ne pourrait plus fonctionner, l’antivirus doit donc être capable de restaurer ces fichiers sans en affecter la fonction d’origine.
Assurez-vous donc que votre protection répond à ces nécessités avant de dire « je sais ce qu’est un rootkit et je suis sûr que mon antivirus me protège efficacement de cette menace« .