Les utilisateurs particuliers comme les entreprises doivent prendre très au sérieux tous les types de virus et malwares qui ciblent les ordinateurs. Mais parmi toutes les malwares actuels, les rootkits sont sans doute les plus dangereux. Non seulement parce qu’ils peuvent créer des dommages importants, mais aussi parce qu’il peut être très difficile de les identifier et de les supprimer.
Le mot « rootkit » est dérivé du concept Unix deroot access, qui accorde à un utilisateur l’accès le plus large et le plus privilégié à un système. Le détenteur d’un root access peut ainsi modifier les paramètres et les fichiers d’un système. Les applications malveillantes contenues dans un rootkit sont appelées « kit ».
Cet article explore la nature des rootkits, leurs capacités et comment ils se dissimulent dans un système. Nous évoquerons ensuite comment les supprimer ainsi que les mesures que vous pouvez prendre pour vous protéger contre ces outils malveillants des hackers.
Les rootkits permettent aux cybercriminels de faire fonctionner votre ordinateur à distance et peuvent inclure plusieurs outils différents. Ils peuvent laisser les hackers voler des mots de passe ou des informations financières. Ils peuvent installer des keyloggers qui suivent vos touches sur le clavier, en permettant aux hackers de collecter facilement vos données personnelles. Les rootkits peuvent aussi désactiver votre logiciel de sécurité pour que votre système ne puisse ni les trouver, ni les supprimer.
Une fois qu’un rootkit a obtenu un accès autorisé à un ordinateur, il peut installer d’autres malware pour que votre ordinateur fasse partie d’une autre attaque, comme un botnet ou une attaque DDoS (par déni de service distribué). Et étant donné que n’importe quel appareil utilisant un système d’exploitation peut être ciblé par un rootkit, cela peut devenir un problème plus grand en raison du développement de l’Internet des Objets (IdO).
Une autre raison pour laquelle les rootkits sont si nuisibles est le fait qu’ils soient conçus pour fonctionner à proximité de ou au sein du kernel, où il difficile de les voir. Cela leur permet de se déguiser efficacement dans le système d’exploitation pour lancer des ordres. Étant donné qu’ils sont très difficiles à identifier, ils peuvent rester longtemps sur un appareil, en créant toujours plus de dommages.
Les Rootkits peuvent être installés sur un appareil cible de plusieurs manières différentes.
Ingénierie sociale
Par le biais du phishing ou d’autres types d’ingénierie sociale, les victimes de rootkits peuvent sans le savoir installer ou télécharger un rootkit qui se cache dans d’autres processus. (L’authentification multifacteur (MFA) est une manière fiable de se protéger contre l’ingénierie sociale.)
Exploitation des vulnérabilités
Si un programme logiciel ou un système d’exploitation sur votre ordinateur a une faiblesse non corrigée ou n’a pas installé les dernières mises à jour en terme de sécurité, les vulnérabilités qui en résultent peuvent permettre aux hackers de forcer un rootkit sur cet appareil.
Fichiers infectés
Les rootkits et d’autres malwares sont parfois regroupés avec d’autres fichiers qui semblent légitimes, comme des téléchargements de PDF. Ils peuvent également être joints à des médias piratés ou des fournisseurs d’applis tiers illicites.
Téléchargements furtifs
Cela se produit lorsqu’un site web installe automatiquement un malware sur un appareil sans que ayez à cliquer sur quoi que soit ou à interagir du tout avec le site. Cela peut provenir de sites web malveillants ou de sites légitimes qui sont vulnérables à l’injection d’un code malveillant.
Il existe plusieurs types de rootkits différents qui se comportent assez différemment.
Ces rootkits peuvent être installés sur votre disque dur, votre routeur ou le BIOS de votre système. Au lieu de manipuler votre système d’exploitation comme d’autres malwares le feraient, les rootkits hardware ou firmware cibleront le firmware de votre appareil et installeront le malware qui échappe au radar du logiciel antivirus.
Étant donné que ce type de rootkit affecte votre hardware, il peut suivre les touches de votre clavier ainsi que vos activités en ligne pour voler vos informations privées.
Les rootkits de mémoire sont installés dans la RAM (random access memory) de votre appareil. Ils agissent en arrière-plan, exécutent leurs comportements malveillants et réduisent les performances de votre ordinateur.
La bonne nouvelle, c’est que puisque les rootkits sont contenus dans la RAM, ils ne sont pas capables d’insérer de code permanent. Leur durée de vie se termine généralement lorsque vous redémarrez, bien qu’un peu de travail supplémentaire soit nécessaire pour les éliminer entièrement.
Votre chargeur d’amorçage est comme son nom l’indique le mécanisme qui charge votre système d’exploitation dès que votre ordinateur est alimenté. Les rootkits de chargeur d’amorçage remplacent votre chargeur d’amorçage autorisé avec un chargeur malveillant.
Si un rootkit est installé dans votre chargeur d’amorçage, il sera activé avant que votre système d’exploitation (OS) ne soit complètement chargé.
Ils figurent parmi les rootkits les plus dangereux, car ils compromettent le cœur du système d’exploitation de votre ordinateur au niveau du kernel. Par le biais d’un rootkit de kernel, les hackers ajoutent leur propre code pour subvertir le code légitime au sein du kernel, en modifiant la fonction de votre système d’exploitation.
Les cybercriminels les utilisent pour accéder aux fichiers qui sont sur votre disque dur, potentiellement en volant des données privées, telles que des documents financiers.
Les rootkits d’application remplacent les fichiers de programmes légitimes avec des fichiers de rootkit, en leur permettant de modifier le comportement standard des applications. Ils peuvent être injectés dans le logiciel que vous utilisez tous les jours, comme les logiciels de traitement de texte, les tableurs ou les programmes de gestion de projet. À chaque fois que vous lancez le programme infecté, l’attaquant peut accéder à votre ordinateur.
Les programmes infectés semblent continuer de fonctionner normalement, ce qui rend les rootkits difficiles à détecter. Mais étant donné qu’ils fonctionnent au niveau de l’application, des programmes antivirus fiables peuvent généralement les identifier.
Les rootkits virtuels peuvent subvertir votre système d’exploitation sans modifier le kernel. Cela est dû au fait qu’ils se chargent en-dessous du système d’exploitation cible et l’hébergent ensuite comme un ordinateur virtuel. Une fois qu’un rootkit virtuel est installé, il peut détourner les appels du hardware passés par le système d’exploitation original.
Comme indiqué précédemment, il peut être difficile d’identifier les rootkits, car ils sont précisément conçus pour rester cachés. Le fait qu’ils puissent désactiver les logiciels de sécurité les rend encore plus évasifs. Au lieu de chercher le rootkit même, il peut être plus utile de s’intéresser au comportement de votre appareil pour que vous puissiez saisir tout signe qu’il y a un problème.
Voici quelques clés sur le comportement de votre ordinateur susceptibles d’indiquer une possible infection par un rootkit.
Fenêtres « L’écran bleu de la mort » - Vous êtes souvent confrontés à ce texte blanc sur fond bleu qui vous oblige à redémarrer.
Ralentissements - Votre appareil met beaucoup de temps à démarrer, exécute lentement des tâches simples, se fige ou ne répond pas aux entrées.
Comportement inattendu du navigateur – Vous remarquez des signets inhabituels, des redirections non demandées ou d’autres actions étranges.
Réglages Windows modifiés - Comportement de la barre des tâches, écran de veille, heure/date, fond d’écran ou autres changements des réglages, alors que vous n’avez rien changé.
Fonctions étranges du réseau - Les pages web ou d’autres activités du réseau ne sont pas fiables et risquent d’aller et venir.
Si vous remarquez l’un de ces comportements, pensez à faire une analyse pour chercher des rootkits. Votre logiciel antivirus pourrait être capable de le lancer, mais il est préférable d’éteindre l’appareil infecté et de lancer l’analyse depuis un système que vous savez propre.
L’élimination des rootkits est complexe et requiert généralement des outils spécifiques, conçus pour s’en débarrasser. Pour éliminer totalement un rootkit d’un appareil, il peut être nécessaire de reconstruire à zéro le système d’exploitation de l’appareil ou de reformater le disque dur. Dans certains cas, cela ne pourrait pas suffire à éliminer complètement le problème.
Toutefois, si vous soupçonnez qu’il y a un rootkit sur votre appareil, voici par où commencer.
L’élimination d’un rootkit sur un appareil Windows commence généralement avec une analyse. Si le rootkit est profondément installé, il peut être supprimé avec une installation propre de Windows. Il est plus sûr d’utiliser un outil externe pour l’installation que d’utiliser l’installateur Windows.
Si le rootkit a infecté votre BIOS, une réparation professionnelle sera nécessaire. Si cela ne suffit pas à l’éliminer, vous n’aurez peut-être pas d’autre choix que de changer d’ordinateur.
Les systèmes Apple ont des caractéristiques de sécurité intégrées conçues pour vous protéger contre les malwares. Commencez par exécuter la dernière mise à jour OS, car en plus d’ajouter des options, elle peut supprimer des malwares, y compris des rootkits.
Toutefois, MacOS n’inclut pas de mécanismes spécifiques pour détecter les rootkits, donc si vous pensez que vous êtes infecté par des rootkits, réinstaller le système d’exploitation devrait éliminer la plupart d’entre eux. Toutefois, en cas de rootkit dans le BIOS,vous aurez besoin d’une réparation professionnelle et probablement d’un nouvel appareil.
La nature dangereuse et évasive des rootkits rend cruciale la prévention. Vous devriez envisager de mettre en place tout ce qui suit pour réduire vos risques.
Veillez à ce que les systèmes d’exploitation et les programmes logiciels aient les dernières mises à jour installées. Elle sont fondamentales pour corriger les faiblesses qui permettraient à des hackers d’injecter tout type de malware, y compris des rootkits. Dans un environnement professionnel, demandez à ce que les mises à jour soient installées automatiquement ou à des intervalles réguliers.
Le phishing et les autres attaques par ingénierie sociale sont des méthodes courantes que les hackers utilisent pour infecter les ordinateurs et les entreprises avec des rootkits ou d’autres attaques malveillantes. Assurez-vous que tous ceux qui utilisent votre système soient formés sur la manière de reconnaître et d’éviter ces arnaques, qui sont souvent exécutées à travers des emails suspects ou de faux liens. Adoptez des politiques pour empêcher les emails suspects d’atteindre vos employés.
Formez vos collaborateurs pour être sûr que toutes les pièces jointes sur lesquelles ils cliquent proviennent d’émetteurs de confiance et pour éviter qu’ils téléchargent des logiciels depuis des sites web non familiers. Si un navigateur web émet un avertissement au sujet d’un site, tous les utilisateurs devraient croire cet avertissement et quitter ce site avant d’interagir avec celui-ci.
Envisagez d’adopter une solution complète de sécurité suivant les bonnes pratiques de vérification des identités (comme le Zero Trust et le Single Sign-On), la détection des fraudes, l’authentification multifacteur (MFA), l’accès au(s) web/API, et autres. Cela peut rendre efficace et simple la protection de votre entreprise contre toutes sortes de menaces, sans sacrifier l’expérience utilisateur.
Ping Identity peut vous aider à fournir à chaque membre de votre organisation un accès sans friction qui sécurise vos collaborateurs contre les menaces. Téléchargez le guide complet en cliquant sur le lien.
Lancez-vous dès Aujourd'hui
Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.
Démonstration Gratuite