Cet article est écrit pour Windows mais peut être une version pour linux par exemple pourrait suivre.
Car ces outils ne sont pas uniquement une plaie pour Windows mais pour tous les systèmes.
Alors qu'est ce donc qu'un rootkit?
Malgré la recrudescence de ces outils peu de sites en parlent...
Peu de sites vous préviennent et vous fournissent de l'information à ce sujet.
Donc que sont les rootkits?
Ce sont des malwares (donc des méchants programmes fait dans le but de nuire) bien plus sournois que les habituels virus ou spywares.
Ils s'installent sur la machine, se copient et se cachent. Souvent ils remplacent certains fichiers du système par des versions corrompus leurs permettant de passer inaperçu même aux yeux des antivirus ou des antispywares.
En effet ils remplacent certaines API (Application Programming Interface = les fonctions du système sur lesquelles repose tout le fonctionnement de celui ci) et peut donc très facilement se cacher et faire en sorte de ne pas être détectable par des programmes utilisant celles ci.
Bon ok vous allez me dire que je suis bien gentil avec ma technique mais que de toute manière vous ne voyez pas ce que vous risquez.
Et que de toute façon je suis surement alarmiste et que peu de gens doivent être touchés.
D'abord que risquez-vous concrètement?
Il existe plusieurs types de rootkits, en gros deux familles ceux qui résistent au reboot et les autres.
Ceux qui résistent au reboot, sont donc sur votre système en permanence.
A ce propos CTRL+ATL+SUPPR n'est pas infaillible et certaines APIs justement permettent de cacher un processus du gestionnaire de taches.
Si vous avez un rootkit qu'est ce que cela veut dire?
Le rootkit permet dans la majorité des cas, d'avoir un accès direct à votre machine. A distance à n'importe quel moment.
C'est une backdoor (porte dérobée) sur votre machine, sur son contenu, sur vos fichiers...
Vos fichiers sont corrompus (dans le sens où ils peuvent être lus et vus par tous ceux qui ont un accès au rootkit)
Votre machine peut être utilisée à votre insu pour pirater une autre machine, ou pour servir de couverture et de relais.
En bref tout ce que les pirates font sur les machines qu'ils utilisent pour leurs méfaits.
Bon je suis certain que là vous commencez à vous dire que puisque c'est comme ça vous allez déconnecter votre machine et puis allez acheter une console.
N'y allez pas de suite.
Il existe quelques solutions ou du moins quelques pistes.
Bon d'abord ne pas installer ou lancer n'importe quoi. En effet les rootkits qui s'installent sans action de l'utilisateur doivent être en nombre limité.
Bien que l'on ait peu d'informations sur les rootkits existants et surtout sur ceux dans la nature réellement en activité...
A ce propos des informations sur ce site
La détection des rootkits n'est pas chose facile mais des solutions sont en cours de développement et certaines sont utilisables bien qu'elles ne puissent pas être considérées comme des solutions à part entière actuellement.
Tout d'abord Microsoft a lancé un projet de détection des rootkits. Le projet "Strider GhostBuster", il est disponible sur le site research de Microsoft ici
Cette solution compare votre machine à une installation vierge et propre du système.
Pour l'instant cette solution est en développement et seuls quelques documents sont disponibles sur le site pour vous en apprendre plus sur les rootkits ou sur la manière dont est conçue cette solution.
Une autre solution existe qui elle peut être téléchargée.
Cette solution vérifie les fichiers qui sont bizarres APIement parlant.
Ceux qui n'apparaissent pas comme il le faut, ou bien qui sont rendus inaccessibles.
Cette solution se trouve ici chez SysInternals (à ce propos fouillez le site c'est véritablement rempli de pépites en tout genre et gratuites tout simplement => SysInternals )
La documentation bien qu'en anglais est très claire et facile d'accès.
Voilà un petit topo rapide sur un des risques les plus dangereux de l'internet à l'heure actuelle.
Peut être que le manque d'informations et les difficultés à détecter et nettoyer ces rootkits les rendent si dangereux, mais si une chose est sure, si les gens restent obnubilés par les spywares et virus et pensent que les protections à base d'antivirus ou d'antispyware leurs suffisent, il y a fort à penser que dans quelques temps des déploiements massifs de ces outils risquent d'entrainer des corruptions majeures du réseau et des machines connectées.
Aucun commentaire:
Enregistrer un commentaire