Joueb.com
Envie de créer un weblog ?
Soutenez le Secours populaire
ViaBloga
Le nec plus ultra pour créer un site web.
Débarrassez vous de cette publicité : participez ! :O)

Les rootkits (Qu'est ce? Comment? Pourquoi?)
--> Un danger bien plus grand que les spywares et pourtant très largement ignoré du grand public.

Cet article est écrit pour Windows mais peut être une version pour linux par exemple pourrait suivre.
Car ces outils ne sont pas uniquement une plaie pour Windows mais pour tous les systèmes.

Alors qu'est ce donc qu'un rootkit?
Malgré la recrudescence de ces outils peu de sites en parlent...
Peu de sites vous préviennent et vous fournissent de l'information à ce sujet.

Donc que sont les rootkits?
Ce sont des malwares (donc des méchants programmes fait dans le but de nuire) bien plus sournois que les habituels virus ou spywares.
Ils s'installent sur la machine, se copient et se cachent. Souvent ils remplacent certains fichiers du système par des versions corrompus leurs permettant de passer inaperçu même aux yeux des antivirus ou des antispywares.
En effet ils remplacent certaines API (Application Programming Interface = les fonctions du système sur lesquelles repose tout le fonctionnement de celui ci) et peut donc très facilement se cacher et faire en sorte de ne pas être détectable par des programmes utilisant celles ci.
Bon ok vous allez me dire que je suis bien gentil avec ma technique mais que de toute manière vous ne voyez pas ce que vous risquez.
Et que de toute façon je suis surement alarmiste et que peu de gens doivent être touchés.

D'abord que risquez-vous concrètement?
Il existe plusieurs types de rootkits, en gros deux familles ceux qui résistent au reboot et les autres.
Ceux qui résistent au reboot, sont donc sur votre système en permanence.
A ce propos CTRL+ATL+SUPPR n'est pas infaillible et certaines APIs justement permettent de cacher un processus du gestionnaire de taches.
Si vous avez un rootkit qu'est ce que cela veut dire?
Le rootkit permet dans la majorité des cas, d'avoir un accès direct à votre machine. A distance à n'importe quel moment.
C'est une backdoor (porte dérobée) sur votre machine, sur son contenu, sur vos fichiers...
Vos fichiers sont corrompus (dans le sens où ils peuvent être lus et vus par tous ceux qui ont un accès au rootkit)
Votre machine peut être utilisée à votre insu pour pirater une autre machine, ou pour servir de couverture et de relais.

En bref tout ce que les pirates font sur les machines qu'ils utilisent pour leurs méfaits.
Bon je suis certain que là vous commencez à vous dire que puisque c'est comme ça vous allez déconnecter votre machine et puis allez acheter une console.

N'y allez pas de suite.
Il existe quelques solutions ou du moins quelques pistes.
Bon d'abord ne pas installer ou lancer n'importe quoi. En effet les rootkits qui s'installent sans action de l'utilisateur doivent être en nombre limité.
Bien que l'on ait peu d'informations sur les rootkits existants et surtout sur ceux dans la nature réellement en activité...
A ce propos des informations sur ce site:
www.rootkit.com

La détection des rootkits n'est pas chose facile mais des solutions sont en cours de développement et certaines sont utilisables bien qu'elles ne puissent pas être considérées comme des solutions à part entière actuellement.
Tout d'abord Microsoft a lancé un projet de détection des rootkits. Le projet "Strider GhostBuster", il est disponible sur le site research de Microsoft ici:
http://research.microsoft.com/rootkit/
Cette solution compare votre machine à une installation vierge et propre du système.
Pour l'instant cette solution est en développement et seuls quelques documents sont disponibles sur le site pour vous en apprendre plus sur les rootkits ou sur la manière dont est conçue cette solution.

Une autre solution existe qui elle peut être téléchargée.
Cette solution vérifie les fichiers qui sont bizarres APIement parlant.
Ceux qui n'apparaissent pas comme il le faut, ou bien qui sont rendus inaccessibles.
Cette solution se trouve ici chez SysInternals (à ce propos fouillez le site c'est véritablement rempli de pépites en tout genre et gratuites tout simplement => http://www.sysinternals.com/ ):
http://www.sysinternals.com/Utilities/RootkitRevealer.html

La documentation bien qu'en anglais est très claire et facile d'accès.

Voilà un petit topo rapide sur un des risques les plus dangereux de l'internet à l'heure actuelle.
Peut être que le manque d'informations et les difficultés à détecter et nettoyer ces rootkits les rendent si dangereux, mais si une chose est sure, si les gens restent obnubilés par les spywares et virus et pensent que les protections à base d'antivirus ou d'antispyware leurs suffisent, il y a fort à penser que dans quelques temps des déploiements massifs de ces outils risquent d'entrainer des corruptions majeures du réseau et des machines connectées.

Venez réagir sur le forum:
http://antredesloups.info/viewtopic.php?t=130

Ecrit par lonewolf_v, le Jeudi 4 Août 2005, 00:11 dans la rubrique Informatique.

Commentaires :

zesquale
05-08-05 à 14:56

Merci

Merci pour l'info, je n'avait jamais entendu parler de ce genre de truc.....
Qu'est ce qu'ils vont encore nous inventer pour pourrir encore un peu plus non machine :(

Encore une raison de faire bien attention à ce qui se télécharge sur le net......

 
lonewolf
05-08-05 à 15:05

Re: Merci

Disons qu'au départ on en entendait pas mal parler à propos des systèmes Unix pour gagner des droits root par exemple.
Mais que depuis quelques semaines ça s'agite tellement autour de ces outils dans le monde Windows que mieux vaut prévenir que guérir...


 
neigerome
06-08-05 à 08:19

salut,

après spy, mal que vas tu nous trouver comme vilennie sur nos pc (serpi)

très intéressant article, tu fais bien d'insister sur la méconnaissance de ces nouveaux venus.


 
lonewolf
08-08-05 à 00:28

Re:

Le but est toujours de survoler les sujets et d'ouvrir les pistes de réflexions ou les débuts de réponses.
Pas de micro Mc'Do ;-)


 
Bernie38
07-08-05 à 18:36

sacré loulou !

voila que maintenant tu m'aides à cultiver ma parano ! Alors du coup, mon firewall Netgear, mon antivirus et mes anti-spyware sont devenus des passoires :(
Vivement que des outils contrant ce truc soient disponibles ! En attendant, j'exécute RootKitRevealer en serrant les fesses...

 
lonewolf
08-08-05 à 00:30

Re: sacré loulou !

Pour l'instant je n'ais pas découvert de rootkit avéré dans les machines que je gère.
Malheureusement, rien n'indique que rootkit revealer permette de tous les découvrir...
A priori il permet juste de voir ceux qui utilisent certaines techniques pour se cacher.