Rootkit - Définition et Explications

Source: Wikipédia sous licence CC-BY-SA 3.0.
La liste des auteurs de cet article est disponible ici.

Introduction

Un rootkit (en français : « outil de dissimulation d'activité »), parfois simplement « kit », est un ensemble de techniques mises en œuvre par un ou plusieurs logiciels, dont le but est d'obtenir et de pérenniser un accès (généralement non autorisé) à un ordinateur (Un ordinateur est une machine dotée d'une unité de traitement lui permettant d'exécuter des programmes enregistrés. C'est un ensemble de circuits électroniques permettant de...) de la manière la plus furtive possible, à la différence des autres logiciels malveillants. Le terme peut désigner la technique de dissimulation ou, par métonymie, un ensemble (En théorie des ensembles, un ensemble désigne intuitivement une collection d’objets (les éléments de l'ensemble), « une multitude qui peut être comprise comme un tout »,...) particulier d'objets informatiques mettant en œuvre cette technique.

Leur furtivité (La furtivité est la caractéristique d'un engin militaire conçu pour avoir une signature réduite ou banale et donc pour être moins détectable, classifiable ou...) est assurée par plusieurs mécanismes de dissimulation () : effacement de traces (TRACES (TRAde Control and Expert System) est un réseau vétérinaire sanitaire de certification et de notification basé sur internet sous la responsabilité de la Commission...), masquage de l'activité (Le terme d'activité peut désigner une profession.) et des communications, etc. Un rootkit (Un rootkit (en français : « outil de dissimulation d'activité »), parfois simplement « kit », est un ensemble de techniques mises en œuvre par un ou plusieurs logiciels,...) peut s'installer dans un autre logiciel (En informatique, un logiciel est un ensemble d'informations relatives à des traitements effectués automatiquement par un appareil informatique. Y sont inclus les instructions de traitement,...), une bibliothèque ou dans le noyau d'un système d'exploitation. Certains peuvent modifier l'hyperviseur fonctionnant au-dessus des systèmes, ou le micrologiciel (En informatique, un micrologiciel (ou firmware en anglais) est un logiciel qui est intégré dans un composant matériel (en anglais hardware).) intégré dans un matériel. La plupart des rootkits servent (Servent est la contraction du mot serveur et client.) à installer des logiciels malveillants sur les machines où l'accès est obtenu. Certains fournisseurs de matériels informatiques, tel Sony, les utilisent pour s'assurer du respect des conditions d'utilisation de leurs produits par leurs clients. Certains kits ne jouent pas sur la discrétion mais sur le fait qu'enlever le kit serait une opération ardue.

Pour l'« attaquant », l'utilité d'un rootkit est soit de mettre à disposition des ressources système (temps processeur (Le processeur, ou CPU (de l'anglais Central Processing Unit, « Unité centrale de traitement »), est le composant de l'ordinateur...), connections réseaux, etc.) sur une, voire plusieurs machines (), parfois en utilisant la « cible » comme intermédiaire pour une autre attaque ; soit d'espionner, d'accéder aux données (Dans les technologies de l'information (TI), une donnée est une description élémentaire, souvent codée, d'une chose, d'une transaction d'affaire, d'un événement, etc.) stockées ou en transit sur la machine cible.

Ils sont généralement classés parmi les logiciels malveillants, mais pas toujours ; ils peuvent utiliser des « techniques virales » pour se transmettre (par exemple, en utilisant un virus (Un virus est une entité biologique qui nécessite une cellule hôte, dont il utilise les constituants pour se multiplier. Les virus...) ou un cheval (Le cheval (Equus ferus caballus ou equus caballus) est un grand mammifère herbivore et ongulé appartenant à l'une des sept espèces de la famille des équidés. Il a évolué au...) de Troie). Il existe des outils de détection et des méthodes de protection pour les contrer mais elles ne sont pas absolument efficaces.

Historique

Dès 1989 sont apparus des programmes manipulant les logs système (« journaux des opérations », sorte de livre de bord où sont enregistrés les informations concernant l'état et l'activité d'un ordinateur) pour cacher leur présence. D'autres programmes permettaient de se dissimuler en manipulant les outils servant à vérifier les informations sur les utilisateurs, telles que les commandes who, w, ou last, et ainsi paraître invisibles pour les administrateurs des machines.

Les premiers rootkits sont apparus en 1994 sur Linux (Au sens strict, Linux est le nom du noyau de système d'exploitation libre, multitâche, multiplate-forme et multi-utilisateur de type UNIX créé par Linus Torvalds, souvent...) et SunOS ; en 1998 sous Windows (Windows est une gamme de systèmes d'exploitation produite par Microsoft, principalement destinées aux machines compatibles PC. C'est le remplaçant de MS-DOS. Depuis les années 1990, avec la sortie de Windows 95, son succès commercial pour...), avec le célèbre Back Orifice (Back Orifice est un logiciel d'administration et de prise de contrôle à distance de machines utilisant le système d'exploitation Windows. Il a été créé par un groupe de pirates,...) () ; et en 2004 apparaissait le premier rootkit sous Mac OS X (Mac OS X est une ligne de systèmes d’exploitation propriétaire développés et commercialisés par Apple, dont la version la plus récente (Mac OS X 10.5...), WeaponX.

Les analyses et les recherches sur les rootkits ont commencé dès 1997, avec la publication par le webzine Phrack d'un cheval de Troie détournant une partie du noyau Linux (Le noyau Linux est un noyau de système d'exploitation de type UNIX. Le noyau Linux est un logiciel libre développé essentiellement en C par une large communauté...) (le LKM, qui permet d'ajouter des modules au noyau pendant son fonctionnement) et ouvrant la porte aux techniques des rootkits actuels. Depuis, de nombreuses recherches et analyses ont été conduites : Phrack et plusieurs autres sites web publient régulièrement des travaux sur les rootkits. Certains projets se sont spécialisés dans ce domaine, comme chkrootkit initié en 1997, dédié au développement d’un outil (Un outil est un objet finalisé utilisé par un être vivant dans le but d'augmenter son efficacité naturelle dans l'action. Cette augmentation se traduit par la simplification des actions entreprises, par une plus grande rentabilisation de...) de détection de rootkits pour les plateformes Linux, *BSD, Solaris et HP-UX (HP-UX est un système d'exploitation propriétaire de type Unix (System V et BSD), développé par Hewlett-Packard, utilisé sur des serveurs et des stations de travail. C'est un...).

La mise au jour (Le jour ou la journée est l'intervalle qui sépare le lever du coucher du Soleil ; c'est la période entre deux nuits, pendant laquelle les rayons du Soleil éclairent le ciel. Son début (par...) de rootkits passe par leur publication, ou se fait grâce aux honeypots (en français « pots de miel »), des machines sciemment vulnérables utilisées par les professionnels de la sécurité pour analyser le mode opératoire (Un mode opératoire consiste en la description détaillée des actions nécessaires à l'obtention d'un résultat. On parle aussi de process ou de processus. Le mode...) d'un attaquant. Les résultats obtenus sont régulièrement évoqués lors de conférences sur la sécurité, comme la conférence Black Hat (Dans l'argot de la sécurité informatique, le terme black hat désigne les hackers qui ont de mauvaises intentions, contrairement aux white hats qui sont...).

Certains rootkits peuvent être légitimes, pour permettre aux administrateurs de reprendre le contrôle (Le mot contrôle peut avoir plusieurs sens. Il peut être employé comme synonyme d'examen, de vérification et de maîtrise.) d'une machine défaillante, pour suivre un ordinateur volé, ou dans certains outils comme des émulateur de disque (Le mot disque est employé, aussi bien en géométrie que dans la vie courante, pour désigner une forme ronde et régulière, à l'image d'un palet — discus en latin.) (DAEMON Tools, Alcohol (Alcohol 120% (lire « 120 degrés ») est un logiciel de sauvegarde/copie de disque externe (CD/DVD) fonctionnant sous Windows.) 120%). Mais le terme a perdu ce sens (SENS (Strategies for Engineered Negligible Senescence) est un projet scientifique qui a pour but l'extension radicale de l'espérance de vie humaine. Par une évolution progressive allant du ralentissement du...) historique et évoque essentiellement des outils à finalité malveillante.

Page générée en 0.010 seconde(s) - site hébergé chez Amen
Ce site fait l'objet d'une déclaration à la CNIL sous le numéro de dossier 1037632
Ce site est édité par Techno-Science.net - A propos - Informations légales
Partenaire: HD-Numérique