Ils voient des rootkit invisibles partout
Ou donc peut se cacher le rootkit qui ne se voit pas ? Depuis 4 ou 5 jours, le syndrome du code malin furtif par exemple, n'a pas complètement disparu... celui qui vient en voisin de la mémoire, « bonjour Mesdemoiselle, au revoir Madame... ». Tout à commencé par un long cri poussé par Secure Computing : les principaux logiciels antivirus ne verraient, estimait cette entreprise, que du feu lors du passage du dernier Troyen à la mode, le sinistre Mespam. Nos confrères de VNU Net en font un rapide historique et rapportent bien sur les dénégations énergiques des éditeurs visés. Ce n'est donc pas là la menace fantôme Mais voilà que Joanna Rutkowksa refait parler d'elle avec deux communications passionnante, sur le site... Invisible Things. D'une part avec une description de son « rootkit virtuel » baptisé Blue Pill, une horrible infection qui n'est pas liée à une architecture processeur particulière, qui n'est pas dépendante d'un exploit quelconque, qui n'est pas issue d'un « concept » technique précis.. en d'autres termes, qui n'est pratiquement pas détectable. Plus récemment, Rukowksa a publié un second article intitulé « Beyond The CPU: Cheating Hardware Based RAM Forensics ». Elle explique comment il est possible de modifier la lecture directe de l'espace mémoire que peuvent « photographier » certaines cartes spécialisée via les canaux DMA. Le rootkit qui s'y cache n'est peut-être pas véritablement invisible, mais il est alors camouflé. Reste que les développements de Rutkowska demeurent d'un niveau de complexité relativement élevé. La meilleure cachette pour un rootkit serait-elle alors dans la ROM d'une carte graphique, par exemple ? C'est la question que se pose Robert Lemos du Focus. Du virus dans l'espace mémoire ACPI, du Troyen dans la mémoire de trame vidéo, voilà une vieille rengaine que l'on entend depuis les premiers « hoax » du virus caché dans les tampons des modems 300 bauds. Techniquement, c'est possible, expliquent les experts, mais pratiquement, c'est une autre histoire. Tiens donc.... Il n'y a pas si longtemps, ne pouvait-on pas lire une histoire à propos d'une attaque en « drive by pharming » découverte par deux universitaires américains et un chercheur de l'équipe Symantec ? Or, ce genre d'attaque n'est possible que si l'on parvient à atteindre la console d'administration du routeur « cible » Et si l'on parvient à ce stade, on bénéficie également d'un accès au mode « console »... autrement dit à la mémoire du routeur. Le Rootkit furtif peut donc aisément se cacher sur un périphérique, indépendant de la machine visée. Il reste cependant visible à tout NIDS lors de ses déplacements sur le réseau. Non, tout compte fait, c'est encore dans le Focus que l'on trouve la véritable réponse : le rootkit -ou virus- invisible, c'est celui qui est caché par la multitude. C'est ce que l'on appelle le camouflage par foisonnement. En d'autres termes, plus la taille des unités de stockage utilisées par les micro-informatisé augmente et tend à dépasser le Teraoctet, moins il est aisé de retrouver une preuve formelle ou un fichier particulier. A plus forte raison si l'aspect extérieur dudit fichier ressemble à s'y méprendre à un document conventionnel. C'est le principe de « la lettre volée » d'Edgar Poe.
