Qu’est-ce qu’un rootkit ?

Il existe aujourd'hui de nombreux types de logiciels malveillants, et les logiciels malveillants rootkit sont parmi les plus courants. Les rootkits sont également particulièrement gênants, car ils sont conçus pour rester cachés sur votre système.

Alors comment définir un rootkit ? Qu'est-ce qu'une attaque rootkit ? Et comment peut se protéger contre eux?

Qu'est-ce qu'un rootkit ?

Un rootkit est un type de logiciel malveillant conçu pour attaquer les systèmes informatiques en exploitant des vecteurs d'intrusion avancés pour contourner les protocoles de sécurité standard. Les rootkits utilisent également des techniques d'obscurcissement sophistiquées pour se cacher à la vue de tous dans les noyaux du système.

Habituellement, les logiciels malveillants rootkit sont utilisés pour espionner les activités du système, voler des données, contrôler les opérations vitales de la machine et installer d'autres types de logiciels malveillants. Ceci est généralement accompli en obtenant des privilèges d'administration système de haut niveau.

En tant que tels, beaucoup d'entre eux sont difficiles à éliminer. Dans certains cas, un reformatage complet du disque dur et une réinstallation du système d'exploitation sont nécessaires pour supprimer cette classe de vers informatiques. Dans les cas extrêmes, le remplacement du matériel est la solution ultime.

Types de rootkits malveillants

Il existe de nombreux types de logiciels malveillants rootkit. Voici quelques-uns des types de rootkits les plus courants.

1. Rootkits de micrologiciel

Les rootkits les plus avancés sont les rootkits de firmware. En effet, ils ciblent les secteurs à privilèges élevés tels que le système d'entrée/sortie de base (BIOS) et les composants UEFI (Unified Extensible Firmware Interface).

Le BIOS et l'UEFI sont des cibles principales car ils hébergent des composants système vitaux qui ont au-delà des privilèges Ring 0. Le BIOS et l'UEFI sont également responsables du chargement de tous les microprogrammes, logiciels et systèmes matériels de base lors du démarrage de l'ordinateur.

Connexes : Qu'est-ce que l'UEFI et comment vous protège-t-il davantage ?

Corrompre ces composants du système permet aux pirates d'avoir un meilleur contrôle sur les ressources du système.

2. Rootkits matériels

Les rootkits matériels sont conçus pour cibler les périphériques matériels tels que les routeurs Wi-Fi, les webcams et les disques durs.

Ils sont généralement appelés malwares matériels car ils sont capables de contrôler les composants matériels du système, d'intercepter toutes les données utiles qui les traversent et de les envoyer aux pirates.

3. Rootkits du chargeur de démarrage

Le rootkit du chargeur de démarrage cible le segment Master Boot Record dans un système. Le Bootloader est responsable du démarrage du système d'exploitation.

Il localise où le système d'exploitation est stocké sur le disque dur pour permettre le démarrage via la mémoire vive (RAM). En remplaçant le chargeur de démarrage par défaut par un créé par des pirates, les attaquants peuvent accéder à la plupart des modules du système.

4. Rootkits d'applications

Les rootkits d'applications sont le type de rootkit le plus courant. Ils ciblent les applications sous Windows, en particulier celles qui sont généralement utilisées pour saisir des données sensibles.

Les applications les plus ciblées sont généralement les navigateurs et les applications Windows natives telles que Microsoft Word et Excel.

Comment Rootkit Malware pénètre dans un système

Les logiciels malveillants rootkit infectent généralement un système informatique via différents modes.

1. Supports de stockage de données portables

Les infections via les supports de stockage de données tels que les clés USB et les disques durs externes sont parmi les plus courantes. C'est parce qu'ils sont populaires, peu coûteux et portables. Parce qu'ils sont régulièrement utilisés pour transférer des données entre ordinateurs, ils sont fréquemment ciblés dans les campagnes d'infection.

Dans la plupart des cas, les logiciels malveillants conçus pour se propager via des clés USB sont capables de détecter lorsque l'appareil est connecté à un ordinateur. Une fois cela établi, il exécute un code malveillant qui s'intègre sur le disque dur. Cette technique d'attaque aide les pirates à acquérir de nouvelles victimes séquentielles.

2. Pièces jointes infectées

L'autre vecteur d'infection qui aide à propager les rootkits est les pièces jointes infectées. Dans ces types de stratagèmes, des e-mails d'apparence légitime avec des pièces jointes de logiciels malveillants sont envoyés à des cibles, généralement déguisés en notifications urgentes. La séquence d'infection par les logiciels malveillants commence une fois les e-mails ouverts et les pièces jointes téléchargées.

Si l'infection réussit, les pirates utilisent des rootkits pour modifier les répertoires du système d'exploitation et les clés de registre. Ils peuvent également intercepter des données et des communications sensibles sur l'ordinateur, telles que des messages de discussion.

Connexes : Comment repérer les pièces jointes non sécurisées

Pour contrôler à distance les fonctions informatiques, les intrus utilisent des rootkits pour ouvrir des ports TCP dans Windows et écrire des exceptions de pare-feu.

3. Téléchargement d'applications non signées sur des sites torrent

Le téléchargement d'applications non signées à partir de sites torrent est un autre moyen de favoriser la propagation des nouvelles infections par rootkit. Étant donné que les fichiers sont dans la plupart des cas corrompus, il n'y a généralement aucun moyen de s'assurer de leur sécurité.

En tant que telles, de nombreuses applications sont chargées de logiciels malveillants, notamment de rootkits.

Comment prévenir et supprimer les rootkits malveillants

Les rootkits sont extrêmement dangereux une fois qu'ils s'emparent d'une machine. Voici quelques-uns des moyens par lesquels vous pouvez prévenir les infections par les rootkits.

1. Utilisez un logiciel antivirus réputé

L'utilisation d'un logiciel antivirus réputé fait partie des premières mesures à prendre pour tenter de prévenir les infections par rootkit. Parmi les meilleures suites antivirus pour ces types d'infections figurent Avast, Kaspersky, Bitdefender, ESET Nod32 et Malwarebytes.

Kaspersky dispose d'un outil dédié rapide appelé Kaspersky TDSSKiller, conçu pour détecter et supprimer la famille de rootkits TDSS. La numérisation ne prend généralement que quelques minutes. McAfee dispose également de son outil autonome RootkitRemover qui peut se débarrasser des rootkits Necurs, ZeroAccess et TDSS.

2. Évitez d'ouvrir des e-mails provenant de sources inconnues

Les rootkits se propagent parfois par le biais de pièces jointes dans des e-mails et des applications de chat. Habituellement, les pirates incitent une cible à ouvrir un e-mail contenant une offre douteuse ou une notification urgente.

Une fois la pièce jointe ouverte, la séquence d'infection démarre.

Ne téléchargez pas les pièces jointes et ne cliquez pas sur les liens dans les e-mails dont vous n'êtes pas sûr.

3. Mettre à jour le logiciel

De temps en temps, les pirates ciblent des applications obsolètes pleines de bugs. C'est l'une des principales raisons pour lesquelles Windows publie régulièrement des correctifs système et recommande d'activer les mises à jour automatiques.

En règle générale, les applications sensibles telles que les navigateurs doivent être régulièrement mises à jour car ce sont des passerelles vers Internet. En tant que tel, leur sécurité est primordiale pour protéger l'ensemble du système d'exploitation.

Connexes : Comprendre les logiciels malveillants : types courants que vous devez connaître

Les dernières versions ont généralement des fonctionnalités de sécurité mises à jour telles que des anti-cryptojackers, des bloqueurs de fenêtres contextuelles et des mécanismes anti-empreintes digitales. Les logiciels antivirus et pare-feu installés doivent également être régulièrement mis à jour.

4. Utilisez des scanners de détection de rootkits

Il est préférable d'utiliser une variété d'outils de détection de rootkits pour prévenir ces types d'infections. Tous les rootkits ne peuvent pas être détectés à l'aide de certains logiciels antivirus. Étant donné que la plupart des rootkits sont déclenchés au début des processus système, les scanners qui fonctionnent lorsque le système démarre sont essentiels.

Dans ce cas, le scanner de démarrage Avast est parmi les meilleurs pour cela. Il commence à rechercher les logiciels malveillants et les rootkits juste avant le démarrage de Windows et est très efficace pour les détecter avant qu'ils ne se cachent dans les noyaux du système via l'émulation.

Protégez-vous contre les virus rootkits

L'analyse du système en mode sans échec est une autre astuce utilisée pour attraper la plupart des virus sous leur forme inactive. Si cela ne fonctionne pas, le formatage du disque dur et la réinstallation du système d'exploitation vous aideront.

Pour une protection avancée contre les rootkits, il est conseillé de remplacer les ordinateurs standard par des ordinateurs Secured-core. Ils disposent des mécanismes de prévention des menaces les plus récents et les plus élaborés.