Les rootkits font partie des malwares les plus redoutables qui existent. La définition d’un rootkit est qu’il infeste les parties les plus profondes de votre système informatique (la « racine », ou « root » en anglais) afin d’en prendre le contrôle complet et de permettre l’accès à distance. Découvrez comment détecter les rootkits et comment les logiciels de sécurité spécialisés peuvent contribuer à la sécurité de vos appareils.
Un rootkit est une application qui se cache profondément dans votre système de fichiers et donne à un tiers un accès complet à votre ordinateur sans que vous ne le sachiez. Les rootkits se cachent dans les couches les plus basses du système d’exploitation, ce qui les rend presque indétectables par les analyses antimalware courantes.
D’où vient le nom de « rootkit » et quelle est sa définition ? Dans les systèmes d’exploitation Unix et Linux, un compte doté de tous les privilèges et d’un accès illimité (similaire au compte administrateur de Windows), est appelé « root » (racine). Ainsi, un kit qui permet un accès privilégié à un ordinateur ou à un appareil mobile est un rootkit. Il permet à un tiers de contrôler votre appareil à distance sans que vous ne le sachiez.
Les rootkits donnent aux pirates un accès à distance à votre ordinateur, qu’ils peuvent utiliser pour prendre le contrôle de votre système et en extraire autant d’informations que possible. Grâce à un rootkit, un pirate peut voler des données personnelles et des informations financières, installer des malwares ou connecter votre ordinateur à un botnet pour faire circuler des spams ou participer à des attaques par déni de service distribué (DDoS).
Un rootkit n’est pas un virus, car un virus diffuse des copies de lui-même pour endommager un système. Un rootkit ne se reproduit pas : il peut voler vos données et prendre le contrôle sans jamais avoir l’intention de faire des dégâts.
Bien qu’un rootkit ne soit pas un virus, vous pouvez toujours compter sur une application antivirus pour le détecter et le bloquer. Installez AVG Antivirus Gratuit comme première ligne de défense contre les rootkits malveillants et de nombreux autres types de menaces malveillantes.
Oui, un rootkit est un type de malware (abréviation de « malicious software », ou logiciel malveillant) spécifiquement conçu pour conserver un accès administratif privilégié à un système. Les rootkits sont souvent utilisés pour mener d’autres activités malveillantes, comme voler des données, endommager votre ordinateur, demander des rançons ou utiliser vos ressources.
Les virus, les chevaux de Troie, les spywares, les vers et les ransomwares sont d’autres exemples de malwares. Comme ces types de malwares, les rootkits doivent souvent être supprimés manuellement.
Les rootkits proviennent de fichiers malveillants que vous téléchargez par inadvertance lorsque vous cliquez sur un fichier infecté. Ces fichiers contiennent des instructions cachées qui modifient votre ordinateur. Un fichier infecté peut modifier votre noyau, la partie la plus profonde de votre système d’exploitation, et y implanter un rootkit.
Un rootkit s’infiltre généralement dans votre système d’exploitation dans le cadre d’une menace combinée qui contient trois éléments distincts de code malveillant : un dropper, un loader et le rootkit. Ensemble, ces composants permettent à un pirate à distance d’accéder à votre PC à votre insu.
Voici une présentation détaillée de la manière dont un rootkit s’introduit dans votre ordinateur :
Vous cliquez sur un lien infecté.
Le lien infecté peut se trouver dans un e-mail étrange ou sur un site Web infecté. Même si vous n’enregistrez pas le fichier, il est stocké dans vos fichiers temporaires et lance le dropper.
Un script malveillant est intégré au fichier.
Le dropper exécute le code malveillant qui contourne vos défenses de sécurité.
Le script exploite votre machine.
Le dropper active le loader, puis se supprime lui-même. Le loader travaille pour insérer le rootkit dans le système, généralement via un débordement de mémoire tampon, une méthode d’exécution qui consiste à surcharger votre ordinateur avec des instructions de manière à ce qu’elles sortent des limites, puis à faire déborder les instructions vers des emplacements spécifiques.
Le script insère un code malveillant dans les zones sensibles.
Une partie des données ayant débordé « atterrit » dans les zones critiques du système d’exploitation. Le débordement de la mémoire tampon perturbe l’ordinateur, l’amenant à modifier des valeurs à des endroits où il ne devrait pas le faire. Une porte dérobée est ainsi créée pour la charge utile finale du rootkit.
Le code malveillant réussit à accorder l’accès à distance.
Le code du rootkit exécute des actions de niveau administrateur sans passer par les contrôles de sécurité habituels, en modifiant les autorisations et en accordant l’accès à un utilisateur distant.
Un pirate informatique infecte votre ordinateur avec un dropper, un loader et finalement un rootkit.
Voici quelques modes de propagation des rootkits :
Liens suspects dans les e-mails de phishing
Un cheval de Troie ou un autre malware discret.
Logiciel corrompu téléchargé à partir d’un site non officiel
Logiciels malveillants se greffant sur des téléchargements authentiques
Médias piratés, tels que films, PDF, livres électroniques, etc.
Les extensions de navigateur ou les modules complémentaires présentés comme ajoutant des fonctionnalités
Si vous adoptez une bonne hygiène numérique lorsque vous téléchargez et installez des logiciels ou ouvrez des pièces jointes, un rootkit ne devrait pas se retrouver sur votre ordinateur. Comme d’habitude, l’une des meilleures protections est le bon sens.
L’exécution d’une analyse au démarrage, telle que celle de l’outil d’analyse des rootkits d’AVG, est un moyen efficace de détecter les rootkits. Ces analyses vérifient la présence de rootkits et d’autres malwares avant le chargement complet du système d’exploitation. Si vous constatez des modifications inhabituelles du système ou une augmentation inexpliquée du trafic réseau, il peut être utile de rechercher une infection par un rootkit.
Les rootkits peuvent parfois échapper à la détection, notamment en restant invisibles pour les outils antimalware de base intégrés. En effet, les rootkits sont conçus pour modifier les fonctions de sécurité fondamentales intégrées dans votre logiciel.
Dans ce cas, une analyse des images mémoire peut également s’avérer nécessaire. Une image mémoire est un instantané de toutes les données que votre ordinateur utilise actuellement, et son analyse peut révéler des comportements anormaux, notamment des signes d’un rootkit.
Les rootkits sont très doués pour se cacher. Il faut donc parfois être à l’affût des signes avant d’effectuer une analyse d’une image mémoire en conséquence.
Voici quelques signes indiquant la présence d’un rootkit :
Messages d’erreur Windows fréquents ou écrans bleus de la mort
Messages constants vous invitant à redémarrer votre PC
Un comportement inhabituel du navigateur Web (redirections vers des liens Google)
Favoris inconnus
Baisse des performances de l’ordinateur
Blocage de l’appareil ou comportement étrange de la souris ou du clavier
Dysfonctionnement de la page Web ou de l’activité du réseau en raison d’un trafic réseau excessif
Modifications aléatoires des paramètres de Windows sans votre autorisation
Avant de suspecter des rootkits et de lancer des analyses inutiles, vérifiez que la cause des dysfonctionnements n’est pas liée à un disque dur défaillant, un système de fichiers encombré, ou une infection par un autre malware. Si vous rencontrez toujours des problèmes, il se peut que vous ayez un rootkit.
Un outil spécialisé est généralement nécessaire pour supprimer un rootkit. Étant donné qu’un rootkit compromet le système d’exploitation lui-même, vous ne devez pas compter sur les fonctions de sécurité intégrées pour faire le travail. Vous aurez besoin d’un logiciel de sécurité tiers capable de pénétrer là où le rootkit s’est installé.
Les logiciels antivirus sont basés sur des « signatures », c’est-à-dire des modèles de comportement connus qui indiquent la présence de malwares. Ceux-ci sont constamment mis à jour au fur et à mesure que de nouveaux renseignements sur les virus sont découverts, c’est pourquoi nous vous recommandons d’effectuer des analyses régulières. Notez qu’une analyse de rootkit prend généralement plus de temps qu’une analyse classique de malwares et que vous ne pourrez pas utiliser votre ordinateur pendant la durée de l’analyse.
Voici comment supprimer un rootkit de votre PC :
Installez un antivirus fiable, tel qu’AVG Antivirus Gratuit, qui comprend un outil d’analyse et de suppression des rootkits.
Exécutez une analyse au démarrage pour rechercher les rootkits avant que le système d’exploitation Windows ne puisse se charger.
Suivez les instructions qui s’affichent à l’écran pour lancer le processus de suppression des rootkit.
Si l’antivirus ne peut pas supprimer complètement le rootkit, vous pouvez reformater votre disque dur. Cela signifie qu’il faut effacer tout ce qui se trouve sur le disque dur. Considérez donc cette solution comme un dernier recours et assurez-vous de tout sauvegarder au préalable. Dans de très rares cas, un rootkit peut rester dans le BIOS quoi que vous fassiez. Dans ce cas, consultez un expert.
Les types de rootkits diffèrent en fonction de l’accès qu’ils ont au système, des zones du système qu’ils affectent et de la façon dont ils se cachent pour ne pas être détectés. Voici une présentation des types de rootkits les plus courants et de leurs différences :
Les rootkits en mode noyau opèrent au cœur d’un système d’exploitation (niveau noyau) et provoquent de fréquentes pannes du système. C’est souvent de cette manière que le personnel d’assistance de Microsoft détermine que l’appareil d’une victime a été infecté par un rootkit.
Un attaquant exploite d’abord le système d’un utilisateur en chargeant un malware dans le noyau, qui intercepte ensuite les appels système ou ajoute ses propres données, en filtrant toutes les données renvoyées par le malware qui pourraient déclencher une détection. Les malwares basés sur le noyau peuvent être utilisés pour brouiller les pistes et dissimuler les menaces à la fois dans le noyau et dans les composants en mode utilisateur.
Les rootkits en mode utilisateur se lancent sous forme de programme de manière normale lors du démarrage du système, ou sont injectés dans le système par l’intermédiaire d’un dropper. Ils offrent des fonctionnalités similaires à celles des rootkits en mode noyau, telles que le masquage et la désactivation de l’accès aux fichiers, mais opèrent au niveau utilisateur. Les rootkits en mode utilisateur ne sont pas aussi furtifs qu’en mode noyau, mais en raison de la simplicité de leur mise en œuvre, ils sont plus répandus.
Les rootkits en mode utilisateur sont très répandus dans les malwares financiers. Carberp, l’une des souches de malware financier les plus copiées en raison de la fuite de son code source en ligne, a été développée pour voler les identifiants bancaires et les données sensibles des victimes. Méfiez-vous des e-mails de spam qui prétendent être des rappels de paiement ou des factures.
Rootkits hybrides : ils présentent les caractéristiques des deux modes (utilisateur et noyau). Cette approche est l’une des plus populaires parmi les pirates, car elle a un fort de taux de réussite d’introduction dans les ordinateurs.
Bootloaders (chargeurs d’amorçage) : ils ciblent les composants de base de l’ordinateur en infectant le Master Boot Record (MBR ou zone amorce), un secteur fondamental qui ordonne à l’ordinateur de charger le système d’exploitation.
Les rootkits de micrologiciels sont un type de malware qui peuvent se cacher dans les micrologiciels, comme un microprocesseur ou un routeur, lorsque l’ordinateur est éteint. Ensuite, lorsque l’ordinateur redémarre, le rootkit se réinstalle.
Les rootkits basés sur des machines virtuelles transportent un système d’exploitation dans un environnement virtuel de sorte que le rootkit, ainsi que l’environnement virtuel, ne peuvent absolument pas être repérés ou sont extrêmement difficiles à détecter. Un rootkit basé sur une machine virtuelle (VMBR) se charge sous le système d’exploitation existant, puis le fait fonctionner comme une machine virtuelle. De cette manière, un VMBR passe inaperçu, à moins que des outils spéciaux ne soient utilisés pour le rechercher.
Un rootkit d’application modifie les fichiers ordinaires et ne s’active que lorsqu’une application spécifique est exécutée. Pour autant que vous le sachiez, l’application continue de fonctionner normalement. En arrière-plan, le rootkit a obtenu des autorisations sur l’appareil, ce qui permet à une autre personne de faire ce qu’elle veut sur votre ordinateur.
Les rootkits de mémoire existent dans la mémoire vive, qui est effacée chaque fois que vous redémarrez l’ordinateur. En tant que tels, ces rootkits ne sont efficaces que pendant une courte période. Cependant, ils sont tout aussi doués pour se cacher et tout aussi capables de faire des ravages. Ils peuvent être utilisés pour absorber vos ressources et diffuser des malwares dans le cadre d’un réseau de botnets.
Voici quelques exemples d’attaques de rootkits, depuis la naissance de ces malwares jusqu’à aujourd’hui :
Le premier rootkit (1990) : Le premier cas documenté de rootkit a été écrit par Stevens Dake et Lane Davis, pour le compte de Sun Microsystems, pour le système d’exploitation Unix SunOS.
Le Watergate grec (2004–2005) : Un rootkit qui a infecté les centraux téléphoniques Ericsson AXE sur le réseau grec de Vodafone, et qui visait à mettre sur écoute les téléphones des représentants du gouvernement grec et des hauts fonctionnaires.
Le rootkit de protection contre la copie de Sony BGM (2005) : Sony BMG a secrètement installé des rootkits sur des millions de CD pour empêcher les acheteurs de graver des copies de CD et pour informer l’entreprise de ce que ces clients étaient en train de faire. Il a également ouvert involontairement la voie à d’autres malwares qui s’infiltrent dans les PC Windows sans qu’on ne les voie.
Zeus (2007) : Zeus est un cheval de Troie pour voler des identifiants, un rootkit qui vole les données bancaires via la tactique du Man-in-the-browser (littéralement, homme dans le navigateur), les enregistreurs de frappe et la saisie de formulaires.
NTRootkit (2008) : L’un des premiers rootkits malveillants pour Windows, il existe différentes versions de NTRootkit qui agissent différemment. L’un d’entre eux capture les frappes au clavier, ce qui permet aux pirates de voler les noms d’utilisateur et les mots de passe pour accéder à des services sensibles.
Machiavelli (2009) : Machiavelli a été le premier rootkit à cibler Mac OS X, et il a créé des appels système cachés et des threads du noyau.
Stuxnet (2010) : Stuxnet est le premier rootkit connu ciblant un système de contrôle industriel.
Flame (2012) : Flame est un malware attaquant les ordinateurs sous Windows et pouvant enregistrer l’activité du clavier, les captures d’écran, les fichiers audio, le trafic réseau, etc.
LoJax (2018) : LoJax est un rootkit micrologiciel qui peut rester sur un système même après une réinstallation de Windows et un formatage du disque dur.
Scranos (2019) : ce rootkit cible vos données personnelles en extrayant les méthodes de paiement de votre navigateur. Scranos utilise également les ressources de votre ordinateur pour générer des clics, en créant artificiellement des vues sur des vidéos YouTube afin de gagner de l’argent.
CosmicStrand (2022) : ce rootkit est si difficile à détecter que les experts en cybersécurité ne savent pas exactement comment il a pu s’introduire dans les ordinateurs. Il est même possible qu’il existe des versions de CosmicStrand qui n’ont pas encore été trouvées. Il a été utilisé principalement contre des cibles de premier plan, et non contre l’utilisateur moyen d’un ordinateur.
BlackLotus (2022) : apparu pour la première fois en 2022, BlackLotus a réussi à contourner des versions entièrement patchées de Windows 11 et sa fonction Secure Boot.
Chronologie des attaques par rootkit les plus connues.
Vous pouvez contribuer à vous protéger contre les rootkits avec un logiciel antivirus puissant et en suivant les principes de sécurité des sites Web. Le bon sens sur Internet se développe avec le temps. En attendant, voici quelques règles empiriques qui peuvent vous aider à vous protéger contre les rootkits et autres menaces malveillantes :
N’ouvrez pas les pièces jointes des e-mails provenant d’expéditeurs inconnus.
Ne téléchargez pas de fichiers inconnus et ne cliquez pas sur des liens suspects.
Veillez à ce que les logiciels de votre système soient correctement protégés contre les vulnérabilités connues en installant les mises à jour logicielles dès qu’elles sont disponibles.
Téléchargez et installez les nouveaux logiciels avec précaution, en vous assurant qu’ils sont authentiques et que le CLUF (contrat de licence de l’utilisateur final) ne présente aucun signe suspect.
Utilisez les disques externes et clés USB avec précaution, et n’insérez pas de dispositifs de stockage inconnus.
Analysez régulièrement votre système pour vérifier la présence de malwares.
Ne téléchargez des applications et des logiciels qu’à partir de sources fiables, de sites Web officiels et de magasins d’applications agréés.
Soyez attentif à tout changement inhabituel des performances.
Pour éviter les rootkits, il faut prendre des habitudes saines qui vous aideront à protéger votre vie numérique. Vous pouvez renforcer votre défense contre les rootkits en installant un antivirus robuste comme AVG Antivirus Gratuit.
AVG Antivirus Gratuit recherche les malwares sur l’ensemble de votre système, depuis votre navigateur jusqu’aux racines de votre système d’exploitation. De plus, il vous aidera à trouver et à supprimer certains des malwares les plus dangereux et les plus profondément ancrés dans votre appareil, et bien sûr, il vous fournira une protection puissante pour vous aider à éviter une infection par un rootkit.
Confidentialité | Signaler une faille | Contacter la sécurité | Accords de licence | Déclaration sur l’esclavage moderne | Cookies | Déclaration d’accessibilité | Ne pas vendre mes informations personnelles | | Toutes les autres marques commerciales appartiennent à leurs détenteurs respectifs.
