Vos dons permettent à Wikipédia de continuer à exister ! Merci de votre soutien.    

Rootkit

Un article de Wikipédia, l'encyclopédie libre.

On nomme rootkit un programme ou ensemble de programmes permettant à un pirate de maintenir - dans le temps - un accès frauduleux à un système informatique. Le pré-requis du rootkit est une machine déjà compromise.

Sommaire

[modifier]

Principe d’un rootkit

Un rootkit utilise des faiblesses du système d'exploitation ou d'un programme ayant des droits particuliers pour, en fin de compte, lancer un shell ou ligne de commande ayant les droits de l’administrateur.

[modifier]

Rôle du rootkit

La fonction principale du « rootkit » est de simplifier, voire automatiser, la mise en place d’une ou plusieurs « backdoors ». Ces « portes dérobées » (utilisables en local ou à distance) permettent au pirate de s’introduire à nouveau au cœur de la machine sans pour autant exploiter une nouvelle fois la faille avec laquelle il a pu obtenir l’accès frauduleux initial, qui serait tôt ou tard comblée.

Certains « rootkit » opèrent une suite de modifications, notamment au niveau des commandes systeme, voire du noyau (kernel), permettant de cacher des fichiers et/ou des processus...

A la différence d'un virus informatique ou un ver de nouvelle génération, un « rootkit » ne se réplique pas.

L’installation d’un « rootkit » nécessite des droits administrateurs sur la machine, notamment à cause des modification profondes du système qu’il engendre. Cela signifie que le pirate doit initialement disposer d’un accès frauduleux, avec les droits du « root » sous linux par exemple, afin de mettre en place son « rootkit ».

Un « rootkit » ne permet pas en tant que tel de s’introduire de manière frauduleuse sur une machine saine. En revanche, certains « rootkit » permettent la collecte des mots de passes qui transitent par la machine « corrompue ». Ainsi, un « rootkit » peut indirectement donner l’accès à d’autres machines.

Certains « rootkit » sont également livrés avec des collections d’« exploits », ces petits bouts de code dédiés à l’exploitation d’une faille bien déterminée. Le but est d’aider les pirates dans leur conquête de machines encore vierges.

Le rootkit automatise l’installation d’une porte dérobée ou d’un cheval de Troie. Le ver automatise l’exploitation d’une vulnérabilité à travers le réseau et peut accessoirement installer la backdoor une fois au cœur d’une machine.

Le « rootkit » n’a de raison d’être que si une faille est présente, si les conditions sont réunies pour que son exploitation soit réussie et si elle permet un accès avec les droits administrateur. Par transitivité, pas de faille, pas de rootkit.

La discrétion est l’essence même du « rootkit ». Il permet à un pirate de cacher son intrusion et sa présence sur une machine. Le meilleur moyen de se protéger des rootkit est donc de se prémunir contre les failles.

Pour finir, les « rootkit » existent depuis plusieurs années. Le projet Chkrootkit dédié au développement d’un outil de détection de « rootkit » pour les plateformes Linux, *BSD, Solaris et HP-UX a été démarré en 1997. Le phénomène n’est donc pas nouveau. En 2002, Securityfocus faisait état des avancements en matière de « rootkit » pour les plate-formes Microsoft Windows.

[modifier]

Rootkit Sony-BMG

En octobre 2005, le spécialiste en sécurité Mark Russinovich (compagnie Sysinternals) a découvert un rootkit installé comme composant de gestion des droits numériques (DRM), lors de son écoute, par un CD audio de marque Sony-BMG.

[modifier]

Liste non exhaustive de rootkits

[modifier]

Programmes de détection de rootkit

[modifier]

Voir aussi

Portail de l'informatique – Accédez aux articles de Wikipédia concernant l’informatique.
Récupérée de « http://fr.wikipedia.org/wiki/Rootkit »