La menace fantôme
Oui, bon, je sais, le titre est racoleur.
Mais cette menace est tout aussi dangereuse qu'invisible ! elle mérite donc ce titre spatial. On va parler des Rootkits.
Ce sont des programmes qui s'installent dans le noyau de votre système d'exploitation et permettent à un pirate d'accéder quand bon lui semble à votre machine, sans que votre anti-virus ne puisse lui interdire. Le rootkit est placé au point le plus haut du système et donc n'est pas détectable ni destructible par ses voisins du dessous.
Enfin presque. Si on a du mal à le voir on peut dire s'il est présent. Par exemple, en lisant les process ou les données de plusieurs manières différentes, on devrait avoir le même résultat, sauf si quelque chose est intervenu en douce. Et là on sait que l'on a affaire à un rootkit !
Pour en revenir à l'allégorie de l'immeuble, impossible de voir votre voisin du dessus, certes, mais vous pouvez voir que sa boite aux lettres se vide et que sa poubelle est sortie. Vous ne savez pas qui est là, mais, c'est sûr, il y a quelqu'un !
Des infos plus académiques sur le Wikipédia et plus techniques sur Kachouri et pour finir l'article de Kaspersky.
Là pas de passe-droit. Tous les systèmes d'exploitation sont visés, même Linux !
Pour Windows, certains logiciels anti-rootkit commencent à voir le jour, certains gratuits, d'autres pas. Je ne connais pas de banc test de ces logiciels, mais selon les techniques utilisées on peut en dire des choses. Et il reste les "rootkits" fait maison, pour tester les logiciels. Pour ma part je n'aime pas les logiciels payants ! donc je n'en parlerai pas.
- RootkitRevealer de Sysinternals.
Sysinternals est connue pour l'efficacité de ses softs et la technique de repérage utilisée pour Revealer est considérée comme "très élégante". Elle est similaire au projet "GhostBuster" de Microsoft.
- Sophos anti rootkit 1.1 aka Sargui de Sophos
Avec un tutoriel (de Kachouri). Sophos est connu pour son sérieux et ce soft-là est super facile à utiliser, même si il est perfectible.
- Ice sword de JPF, membre de Xfocus Team
Proche de la technique "blacknight", cet anti-root kit est considéré comme une vraie plaie par nombre de pirates "professionnels". Le tutoriel est long et compliqué, car le logiciel est terriblement puissant.
- DarkSpy
Plus simple, pas aussi puissant que le monstre précédent. Avec un petit tutoriel de chez Open Files. Maintenant même le Wikipédia se met au rootkit avec un article/tutoriel sur Darkspy. On vous aura prevenus !!!
- AVG anti-rootkit, on n'en parle pas ici car pour l'instant, c'est une passoire à gros trous !
Pour nos amis les pingouins, dont certains se croient à l'abri de tout, juste parce qu'il fait trop froid sur la banquise pour les pirates, je leur conseille les excellents anti rootkit suivants : Saint Jude, Chkrootkit, Rootkithunter , Rkscan, et bien d'autres...