Les six types de rootkits et comment s'en protéger
Les rootkits sont susceptibles de s'installer à différents niveaux d'une machine en conjonction éventuelle avec d'autres formes d'infection. On en trouve depuis les niveaux applicatifs jusqu'aux firmwares les plus intimes, au plus près du matériel. 1. Les rookits en mode utilisateur. Ce type de rootkit est installé par l'action de l'utilisateur lui-même, lorsqu'il clique sur des liens proposés par phishing, ou en naviguant sur des pages Web infectées. Le rootkit comprend fréquemment un mode d'escalade des privilèges afin d'obtenir un accès plus profond au noyau de la machine. Se défendre : utiliser un navigateur dont les protections sont à jour, installer des anti-virus et de la prévention d'intrusion sur son terminal et des passerelles de protection sur le réseau. 2. Les rootkits en mode noyau. Les rootkits pour noyau existent pour les principaux systèmes d'exploitation. La possibilité d'un rootkit pour l'IOS de Cisco a même été démontrée. Se défendre : les anti-virus peinent à détecter ce type de rootkit, car ils fonctionnent au niveau applicatif, alors que le rootkit s'exécute au niveau du noyau. Afin de placer l'anti-malware à un niveau de privilèges supérieur à celui du noyau, on peut regarder l'anti-malware basé sur le gestionnaire de machine virtuelle récemment proposé par VMware sous le nom de VMSafe. 3. Les packages. Les rootkits tels que Rustock.C se diffusent comme des virus agissant au niveau du noyau, et lancent des « spam bots » (PC transformés en émetteurs de spam à leur insu). Ce packaging crée une certaine confusion entre ce qui est un rootkit et ce qui est un « bot » (un ordinateur contrôlé à distance). Se défendre : utiliser les outils de surveillance des performances du PC et du réseau afin de détecter les signes de virus, de bot et d'autres malwares qui effectuent des appels, ouvrent des connexions, etc ...Etant donné que ces packages peuvent désactiver les défenses des postes de travail, il faut surveiller les performances des passerelles. Il faut traquer toutes les activités anormales entrantes et surtout tous les comportements sortants. Regarder aussi le trafic chiffré, qui est utilisé afin de commander les bots via le protocole IRC. 4. Les rootkits en mode noyau et matériel. Ces rootkits persistants s'exécutent au niveau du noyau, puis ils se dissimulent dans le processeur une fois le PC éteint. Le rootkit défini par l'expert John Heassman se cache dans le firmware de l'APCI (Advanced Computer and Power Interface) et se recharge au Bios. Les packages de rootkit Gamebit utilisent cette technologie. Se défendre : à ce niveau, les technologies actuelles de protection des terminaux sont inutilisables, et un nettoyage est difficile car le rootkit se réinstalle lors du pré-boot, à la mise sous tension de la machine. Des technologies comme Trusted Platform Module Trusted Boot Process d'Intel procurent une sécurité avancée en signant les drivers. 5. Rootkits matériels.Des rootkits peuvent agir sur le système de contrôle des fonctions de base comme le mode « sleep » ou les ventilateurs (le SMM ou System Management Mode). Se défendre : En effectuant le monitoring et les diagnostics au niveau du processeur. On observe un mouvement du marché dans cette direction. 6. Les rootkits virtuels.La preuve que ce genre de rootkit peut être créé a été donnée par Joanna Rutkowska avec son « BluePill » pour les processeurs AMD. Mais on n'en a pas trouvé dans la réalité. On estime qu'ils créent plus de soucis qu'ils n'ont d'intérêt parce que les rootkits en mode noyau sont très efficaces. Se défendre : Novell et les autres fournisseurs de machines virtuelles disposent d'outils de gestion qui peuvent attraper ces machines « espions ».