academy
Sécurité
Confidentialité
Performance
Choisir la langue
Avast Academy Sécurité Autres menaces Présentation des rootkits et guide pour les supprimer

Définition des rootkits : ce qu’ils font, comment ils fonctionnent et comment les supprimer

Les rootkits sont un type de programme malveillant furtif et dangereux qui permet aux pirates d’accéder à votre ordinateur à votre insu. Découvrez comment vous pouvez détecter ces logiciels presque invisibles avec un analyseur de rootkit et comment utiliser un outil anti-rootkits pour supprimer une fois pour toutes les rootkits de votre appareil.

Rootkit-Hero

Qu’est-ce qu’un rootkit ?

Un rootkit est un progiciel conçu pour rester caché sur votre ordinateur tout en permettant l’accès et le contrôle à distance de ce dernier. Les pirates utilisent des rootkits pour manipuler votre ordinateur à votre insu ou sans votre consentement.

Hamburguer menu icon

Cette article contient :

    Pour définir les rootkits, coupons le mot en deux. La première moitié, « root » (racine), fait référence au compte administrateur d’un appareil. Puisque ce compte peut accéder à tous les niveaux de l’appareil et à tous les privilèges utilisateur, il détient le niveau de contrôle le plus important, comme les racines d’une plante. Les rootkits permettent au pirate de s’enraciner dans les profondeurs de votre système, comme un cochon qui creuserait le sol pour trouver une délicieuse truffe.

    La partie « kit » décrit la manière dont cet accès « racine » est déverrouillé : grâce à un pack logiciel qui offre le contrôle administrateur au pirate. Le pirate crée un kit logiciel qui lui accorde des privilèges de niveau racine sur le système cible.

    Un rootkit est-il la même chose qu’un virus ?

    Les rootkits et les virus fonctionnent souvent ensemble, au point qu’un« virus de rootkit » est un type de virus reconnu. Cependant, il existe une distinction claire entre les deux. Les rootkits accordent un accès de niveau administrateur à un système, tandis que la signature d’un virus est sa capacité à modifier les fichiers sur un ordinateur afin de se répliquer.

    Les pirates informatiques diffusent généralement leurs rootkits grâce à des chevaux de Troie, un type de logiciel malveillant qui semble sûr, afin de vous inciter à le télécharger ou à l’ouvrir. Une fois que vous l’avez fait, le cheval de Troie (aussi appelé trojan) libère à son tour le rootkit. Pour cette raison, si vous ne vous protégez pas contre tous les types de malwares, vous déroulez le tapis rouge aux pirates et à leurs rootkits.

    Avast Antivirus Gratuit offre une défense de haut niveau contre les logiciels malveillants, et notamment une protection contre les chevaux de Troie que les cybercriminels utilisent pour diffuser des rootkits. Faites confiance à l’outil antivirus (et l’anti-rootkits) qui a et déjà gagné la confiance de plus de 400 millions de personnes.

    D’accord, mais un rootkit est-il un malware ?

    Les rootkits sont qualifiés de malwares uniquement lorsqu’ils sont utilisés à des fins préjudiciables ou illégales. Certaines personnes choisissent d’installer des rootkits sur leurs propres appareils dans le cadre d’un processus appelé « jailbreaking » par le biais duquel l’utilisateur contourne les restrictions intégrées par le fabricant. Les gouvernements et les organismes chargés de l’application des lois utilisent parfois des rootkits dans le cadre d’enquêtes sur des activités criminelles, ce qui ne constitue pas une utilisation légitime à nos yeux.

    Le « Stalkerware » est une nouvelle catégorie de malwares qui désigne des rootkits chargés de surveiller l’activité d’une personne ou de contrôler les contenus auxquels elle accède. Les Stalkerware sont fréquemment vendus à des parents, des employeurs et même à des personnes cherchant à surveiller leur conjoint. De telles pratiques sont illégales dans de nombreux pays.

    Seul, un rootkit n’est qu’un outil, mais comme de nombreux autres outils, il revient à son utilisateur d’en faire une arme légale ou criminelle.

    Que fait un rootkit ?

    Les rootkits permettent à d’autres malwares de se cacher dans votre appareil et peuvent rendre la désinfection difficile, voire impossible. Une fois un rootkit installé sur votre appareil, il permet l’accès à distance de pratiquement toutes les fonctions de votre système d’exploitation tout en évitant la détection.

    Les rootkits opèrent dans les tréfonds de la programmation de votre ordinateur où ils sont capables de couvrir la plupart de leurs propres traces. Cette subtilité est en grande partie ce qui les rend si dangereux. Certains rootkits peuvent même altérer ou désactiver les programmes de sécurité de votre ordinateur, ce qui rend beaucoup plus difficiles leur détection et leur suppression.

    La plupart du temps, les cybercriminels utilisent des rootkits pour voler des informations. Certains pirates informatiques ciblent des individus en utilisant des rootkits pour collecter des données personnelles afin d’usurper une identité ou de frauder. D’autres prennent pour cibles des entreprises pour les espionner ou perpétrer des délits financiers.

    Les pirates peuvent personnaliser leurs rootkits en fonction de l’objectif qu’ils se sont fixé. Certains rootkits créent des « portes dérobées » permanentes dans votre système, qui restent alors ouvertes pour que le pirate puisse revenir ultérieurement. D’autres permettent aux pirates de vous espionner lorsque vous utilisez votre ordinateur. Avec ces rootkits, le pirate peut intercepter votre trafic Internet, suivre vos saisies clavier et même lire vos e-mails.

    Comment puis-je savoir que mon ordinateur est infecté par un rootkit ?

    Lorsqu’un rootkit fait son travail correctement, vous ne le remarquez pas du tout. Les pirates informatiques utilisent des rootkits lorsqu’ils veulent perpétrer un cybercrime sous votre nez. Si vous êtes capable de savoir qu’un rootkit a été installé sur votre appareil, alors il ne sera pas d’une grande utilité au pirate qui l’a placé là.

    Un analyseur de rootkit peut être votre meilleur ami lorsqu’il s’agit de détecter et de supprimer un rootkit. Un outil anti-malwares performant est le meilleur moyen de garder une longueur d’avance sur les rootkits et autres menaces. Mis à part ça, il existe plusieurs autres moyens de détecter la présence d’un rootkit sur votre appareil :

    • Votre système agit de manière étrange : Les rootkits permettent aux pirates de manipuler le système d’exploitation de votre ordinateur. Si votre ordinateur semble faire quelque chose qu’il n’est pas censé faire, cela pourrait être l’œuvre d’un pirate via un rootkit.

    • Recherche de signature : Les ordinateurs se servent des chiffres pour fonctionner. L’ensemble des données, des programmes et des fichiers, la totalité du contenu de votre ordinateur est stockée sous forme de série de chiffres. La « signature » d’un logiciel est l’ensemble de nombres le représentant en langage informatique. Vous pouvez analyser votre ordinateur par rapport à une base de données de signatures de rootkits connues et voir si l’une d’entre elles apparaît.

    • Analyse des fichiers de vidage : Lorsque votre Windows tombe en panne, il génère un fichier de vidage de la mémoire ou de vidage sur incident. Un technicien qualifié peut examiner ce fichier pour identifier la source de la panne. Si un rootkit en est à l’origine, c’est une façon de le savoir.

    • Vos paramètres Windows changent : En général, votre ordinateur ne doit agir sans qu’on le lui demande, et dans l’idéal, c’est vous qui êtes aux commandes. Avec l’accès à distance que permet le rootkit, quelqu’un d’autre peut intervenir sur vos paramètres et configurations. Si quelque chose semble avoir changé, il peut y avoir lieu de s’inquiéter.

    • Des pages Internet/activités réseau intermittentes : Si votre connexion Internet est soudain plus irrégulière que d’habitude, cela pourrait être davantage qu’un simple hoquet du service. Si un pirate utilise un rootkit pour générer ou recevoir beaucoup de trafic sur votre ordinateur, cela peut gêner vos activités Internet habituelles.

    • Recherche dans la mémoire système : Votre ordinateur utilise sa mémoire système pour faire fonctionner tous les programmes et autres données en cours d’utilisation. Vous pouvez passer en revue la mémoire système pour voir si quelque chose ne va pas. Pendant cette recherche, vérifiez tous les points d’entrée pour détecter des signes de processus appelés et suivez tous les appels de bibliothèque importés à partir de fichiers DLL. Certains peuvent être rattachés à d’autres fonctions ou réorientés vers ces dernières.

    Si tout cela vous semble fastidieux et/ou difficile, c’est parce que ça l’est. Épargnez-vous des maux de tête en utilisant un outil anti-malwares avec recherche de rootkits.

    Rootkits bury themselves deep into the root of your computer, avoiding detection.

    D’où les rootkits viennent-ils ? Comment se propagent-ils ?

    Par rapport à certains malwares très mobiles, les rootkits sont quasiment immobiles. Contrairement aux vers et aux virus, et à l’instar des trojans, les rootkits ne peuvent pas arriver sur votre ordinateur sans un petit coup de pouce.

    Les pirates regroupent leurs rootkits avec deux programmes partenaires (un « injecteur » et un « chargeur ») qui collaborent pour réaliser l’installation des rootkits. Ces trois malwares réunis composent ce que l’on appelle une « menace mixte ». Voyons cela de plus près :

    • Injecteur : le travail de l’injecteur consiste à « déposer » ou à importer le rootkit dans l’ordinateur de la victime. Ci-dessous, nous expliquons certaines des techniques les plus courantes utilisées par les pirates pour amener l’injecteur sur votre appareil. L’injecteur constitue la première étape du processus d’installation. Lorsque la victime active l’injecteur, ce dernier active à son tour son acolyte, le chargeur.

    • Chargeur : pendant l’exécution de l’injecteur, le chargeur passe à l’action, installant le rootkit sur le système cible. Les chargeurs procèdent souvent en déclenchant un débordement de mémoire tampon. Il s’agit d’un exploit de sécurité courant qui permet aux pirates de positionner leur code dans des zones autrement inaccessibles de la mémoire d’un ordinateur.

    Le défi du cybercriminel consiste à placer le package de menaces mixtes sur votre ordinateur. Voici quelques manières dont ils peuvent surmonter cet obstacle :

    • Programmes de messagerie : si un pirate parvient à déposer sa menace mixte sur un ordinateur, et si cet ordinateur est équipé d’une messagerie instantanée, la menace mixte peut détourner la messagerie pour se propager. Il envoie un message avec un lien malveillant à tous les contacts de la victime et, au moment où lesdits contacts cliquent dessus, leurs ordinateurs sont infectés à leur tour. Ce type d’ingénierie sociale s’est avéré être une méthode de propagation des rootkits très efficace.

    • Greffon sur un logiciel de confiance : les pirates peuvent insérer leurs rootkits dans des programmes et applications dignes de confiance, puis charger ces applications empoisonnées sur divers portails de téléchargement. Lorsque vous installez l’application infectée, vous installez involontairement le rootkit en même temps.

    • Avec un autre malware : les virus et les trojans peuvent être utilisés comme diffuseurs de rootkits, car les deux sont très efficaces lorsqu’il s’agit d’accéder à votre ordinateur. Lorsque vous exécutez le programme contenant le virus ou que vous exécutez le trojan, ils installent le rootkit sur votre appareil.

    • Fichiers riches en contenu : Avec l’avènement des fichiers riches en contenu tels que les PDF, les pirates n’ont plus besoin de sites Web ou de programmes dédiés pour dissimuler leurs logiciels malveillants. Ils peuvent tranquillement intégrer des rootkits dans de simples fichiers à contenu riche. Lorsque vous ouvrez le fichier infecté, l’injecteur de rootkit s’exécute automatiquement.

    Quels sont les différents types de rootkits ?

    Les experts de la sécurité classent les rootkits en six catégories, en fonction de l’endroit qu’ils choisissent pour infecter votre machine, et de la profondeur de cette infection.

    Rootkits en mode utilisateur

    Un rootkit de ce type infecte le compte administrateur de votre système d’exploitation. Cette position lui accorde tous les privilèges de haut niveau dont il a besoin pour modifier les protocoles de sécurité de votre ordinateur tout en se cachant et en protégeant les éventuels autres malwares qu’il exploite. Les rootkits en mode utilisateur se lancent automatiquement à chaque démarrage de votre ordinateur, donc un simple redémarrage ne suffit pas pour s’en débarrasser.

    Les programmes anti-malwares peuvent détecter les rootkits en mode utilisateur car le logiciel de détection des rootkits s’exécute à un niveau plus profond, appelé noyau.

    Rootkits en mode noyau

    Pour parer les analyseurs de rootkits au niveau du noyau, les pirates ont créé des rootkits en mode noyau. Ils vivent au même niveau que le système d’exploitation réel de votre ordinateur et par conséquent compromettent l’ensemble du système d’exploitation. En résumé, vous ne pouvez plus faire confiance à votre ordinateur pour quoi que ce soit une fois qu’il a été infecté par un rootkit en mode noyau, car tout peut être contaminé, y compris les résultats des analyses anti-rootkits.

    Heureusement, il est très difficile de créer un rootkit en mode noyau qui puisse fonctionner sans provoquer de dommages notables pour la victime. Les pannes excessives du système et les autres hoquets qu’ils provoquent sont des signaux d’alerte efficaces pour les détecter.

    Rootkits hybrides

    Plutôt que de fonctionner en un seul endroit, ils placent certains de leurs composants au niveau utilisateur et d’autres dans le noyau. Cela permet aux rootkits hybrides de bénéficier de la stabilité des rootkits en mode utilisateur et de la furtivité améliorée de leurs cousins qui résident dans le noyau. En conséquence, les rootkits utilisateur/hybrides sont actuellement l’un des types de rootkits les plus en vogue chez les cybercriminels.

    Rootkits de micrologiciel

    Le micrologiciel est un type de logiciel de bas niveau servant au contrôle de matériel informatique. Certains rootkits ont la particularité de pouvoir se cacher dans le micrologiciel lorsque vous éteignez votre ordinateur. Lorsque vous le rallumez, un rootkit de ce type peut se réinstaller et reprendre son travail. Si une analyse de rootkit parvient à le trouver et à le désactiver pendant son fonctionnement, le rootkit du micrologiciel reprend dès la prochaine mise sous tension de votre ordinateur. Ceux-ci sont extrêmement difficiles à purger d’un système informatique.

    Bootkits

    Lorsque vous allumez votre ordinateur, il fait appel à l’enregistrement de démarrage principal (MBR) pour obtenir des instructions sur la façon de charger son système d’exploitation. Les bootkits, également appelés rootkits du chargeur de démarrage, sont une variante de rootkit en mode noyau qui infectent le MBR de votre appareil. Chaque fois que votre ordinateur consulte son MBR, le bootkit se charge lui aussi.

    Les programmes anti-malwares ont du mal à détecter les bootkits, comme pour tous les rootkits en mode noyau, car les bootkits ne résident pas du tout dans le système d’exploitation. À l’heure actuelle, les bootkits sont devenus obsolètes, car Windows 8 et Windows 10 les bloquent grâce à la fonction de démarrage sécurisé.

    Rootkits virtuels

    Hébergée sur un ordinateur physique, une machine virtuelle est l’émulation logicielle d’un autre ordinateur. Les machines virtuelles sont couramment utilisées pour permettre à plusieurs systèmes d’exploitation de s’exécuter sur un même ensemble de matériel ou pour tester des programmes dans un environnement isolé.

    Les rootkits virtuels, ou rootkits basés sur des machines virtuelles (VMBR), se chargent sous le système d’exploitation d’origine, puis placent ce système d’exploitation sur une machine virtuelle. Ils sont très difficiles à détecter dans la mesure où ils s’exécutent séparément du système d’exploitation de l’ordinateur.

    Exemples de rootkits intéressants

    L’émergence d’un nouveau rootkit devient immédiatement un problème d’extrême urgence pour la communauté de la cybersécurité. En raison de la difficulté à les gérer, quand un gros rootkit frappe, il fait de grosses vagues. Jetons un coup d’œil à certains des rootkits les plus connus de l’histoire, certains créés par des pirates informatiques, et d’autres fabriqués et utilisés, étonnamment, par de grandes entreprises.

    • 1990 : Lane Davis et Steven Dake de Sun Microsystems créent le premier rootkit connu et destiné au système d’exploitation SunOS Unix.

    • 1999 : Greg Hoglund publie un article détaillant sa création d’un cheval de Troie appelé NTRootkit, le premier rootkit pour Windows. Il s’agit d’un exemple de virus rootkit qui fonctionne en mode noyau.

    • 2003 : le rootkit HackerDefender arrive sur Windows 2000 et Windows XP. Il s’agit d’un rootkit en mode utilisateur. Commence alors un jeu du chat et de la souris entre ce rootkit et l’outil anti-rootkits RootkitRevealer.

    • 2004 : un rootkit est utilisé pour pirater plus de 100 téléphones mobiles sur le réseau Vodafone Grèce, y compris le téléphone du Premier ministre du pays, lors d’une attaque qui sera connue sous le nom de Greek Watergate.

    • 2005 : Sony BMG essuie un scandale massif après avoir distribué des CD qui installent des rootkits en tant qu’outils anti-piratage sans avoir obtenu le consentement préalable des consommateurs.

    • 2008 : le kit de démarrage TDL-4, alors connu sous le nom de TDL-1, alimente le tristement célèbre trojan Alureon utilisé pour créer et maintenir des réseaux de zombies.

    • 2009 : le rootkit Machiavelli cible macOS (alors appelé Mac OS X), une véritable de preuve de concept démontrant que les Mac sont également vulnérables aux rootkits.

    • 2010 : le ver Stuxnet, qui aurait été co-développé par les États-Unis et Israël, utilise un rootkit pour dissimuler sa présence alors qu’il est lancé sur le programme nucléaire iranien.

    • 2012 : un logiciel malveillant modulaire massif de 20 Mo connu sous le nom de Flame (massif par rapport à de nombreux malwares dont la taille ne dépasse pas 1 Mo) est découvert alors qu’il faisait des ravages dans les infrastructures au Moyen-Orient et en Afrique du Nord. 

    • 2018 : LoJax est le premier rootkit à infecter l’UEFI d’un ordinateur, le micrologiciel qui contrôle la carte mère, permettant à LoJax de survivre à une réinstallation du système d’exploitation.

    A timeline of notable rootkits throughout history

    Parades contre les rootkits

    Les rootkits pouvant être un véritable casse-tête à supprimer, votre meilleure tactique anti-rootkits consiste à éviter d’en installer en premier lieu. Adoptez de bonnes habitudes de sécurité en ligne et vous ferez un pas de géant pour éviter tout rootkit.

    Méfiez-vous des fichiers inconnus que vous recevez, même d’un contact de confiance, et confirmez ces fichiers avec votre contact avant de les ouvrir. N’ouvrez jamais les pièces jointes d’e-mails provenant d’expéditeurs inconnus.

    Procurez-vous votre logiciel à partir de sources fiables, si possible directement auprès du fabricant , ou sur l’App Store ou Google Play. Vérifiez attentivement les conditions générales pour vous assurer que personne n’essaie de glisser un rootkit dans votre appareil.

    Installez les mises à jour du système dès qu’elles sont disponibles. Ces mises à jour corrigent souvent des vulnérabilités récemment découvertes et que les pirates pourraient autrement exploiter pour accéder à votre appareil.

    Ne vous fiez pas uniquement à Windows Defender ou à un autre logiciel de sécurité intégré si votre appareil en est équipé, car la plupart des rootkits peuvent facilement contourner ces protections de base. Pour une protection complète, tournez-vous vers des logiciels spécialisés.

    Protégez-vous avec un logiciel anti-rootkits

    Vous n’êtes pas seul dans la lutte contre les rootkits. Avec plus de 400 millions d’utilisateurs, Avast vous défend contre tous les types de malwares, y compris les rootkits. Équipez-vous de l’un des analyseurs et suppresseurs de rootkit les plus puissants d’Internet, absolument gratuit, en installant Avast Antivirus Gratuit

    .

    Protégez votre iPhone des menaces
    avec Avast Mobile Security gratuit

    INSTALLATION GRATUITE

    Protégez votre appareil Android des menaces
    avec Avast Mobile Security gratuit

    INSTALLATION GRATUITE