Protégez votre appareil Android contre les rootkits et autres malwares avec Avast One
- Sécurité
- Confidentialité
- Performances
Un rootkit est un type de programme malveillant furtif et dangereux qui permet aux pirates d’accéder à votre ordinateur à votre insu. Heureusement, il est possible de détecter et d’éliminer ces petits logiciels quasi invisibles. Découvrez les différents types de rootkits, comment les détecter et comment les éliminer de votre appareil à l’aide d’un logiciel anti-rootkits intelligent comme Avast One, qui comporte un outil intégré de détection et de suppression des rootkits.
Un rootkit est un package de logiciels malveillants conçu pour permettre à un intrus d’obtenir un accès non autorisé à un ordinateur ou à un réseau. Les rootkits sont difficiles à détecter et peuvent dissimuler leur présence dans un système infecté. Les pirates utilisent les rootkits pour accéder à distance à votre ordinateur, le manipuler et vous voler des données.
Cette article contient :
Lorsqu’un rootkit s’installe, le système agit comme un ordinateur zombie et le pirate dispose alors d’un contrôle absolu à distance sur votre appareil. C’est cet aspect qui confère aux rootkits tout leur pouvoir de nuisance.
Tout comme les malwares sans fichiers qui utilisent des programmes tout à fait légitimes sans laisser aucune trace, les rootkits peuvent eux aussi passer pour tout à fait légitimes, le pirate disposant d’un accès privilégié aux fichiers système et aux processus de l’ordinateur. Les rootkits poussent votre ordinateur, et parfois même votre antivirus et vos logiciels de sécurité, à vous mentir.
Les rootkits dissimulent du code malveillant dans votre appareil. Lorsque le rootkit attaque, il accorde un accès administrateur distant à votre système d’exploitation tout en échappant à la détection.
Quels sont les éléments que modifient les rootkits ? Son objectif étant d’obtenir un niveau d’accès administrateur, c’est-à-dire un accès privilégié à votre ordinateur, le rootkit est susceptible de modifier tous les éléments que l’administrateur est autorisé à modifier. Voici une petite liste de ce que les rootkits peuvent faire ou modifier.
Masquer des malwares : les rootkits masquent d’autres types de malwares sur votre appareil et compliquent leur suppression.
Obtenir un accès à distance : les rootkits offrent un accès à distance à votre système d’exploitation tout en échappant à la détection. L’installation de rootkits est de plus en plus souvent associée aux arnaques avec accès à distance.
Modifier ou désactiver les programmes de sécurité : certains rootkits peuvent échapper aux programmes de sécurité de votre ordinateur, voire les désactiver, ce qui complique encore plus la détection et la suppression du malware.
Voler des données : la plupart du temps, les cybercriminels ont recours aux rootkits pour voler des données. Certains pirates ciblent les individus et récupèrent leurs données personnelles à des fins d’usurpation d’identité ou de fraude. D’autres prennent pour cibles des entreprises pour les espionner ou commettre des délits financiers.
Créer une porte dérobée permanente : certains rootkits peuvent créer des portes de cybersécurité dérobées dans votre système, portes qui restent ouvertes pour que le pirate puisse revenir plus tard.
Vous espionner : les rootkits peuvent être utilisés comme outils de surveillance, qui permettent aux pirates de vous espionner.
S’immiscer votre vie privée : avec un rootkit, le pirate peut intercepter votre trafic Internet, enregistrer ce que vous tapez au clavier et même lire vos e-mails.
La suppression des rootkits est une entreprise délicate. Comme les rootkits sont capables de s’enterrer très profondément dans le système d’exploitation, il peut même être difficile de les détecter. Mais une fois que vous savez que vous avez été infecté, il est crucial d’éliminer l’infection de votre ordinateur zombie.
Ne vous fiez pas uniquement à Windows Defender ou autres logiciels de sécurité intégrés, car la plupart des rootkits peuvent facilement contourner les protections de base. Pour bénéficier d’une protection complète, utilisez un logiciel spécialisé comme Avast One. Avast combine le plus grand réseau de détection des menaces au monde et une protection anti-malwares basée sur l’apprentissage automatique, le tout dans un outil léger, capable de détecter et d’éliminer les rootkits et de vous défendre contre tous les types de menaces en ligne à venir.
Avast One propose toute une gamme d’analyses pour vous assurer que les rootkits et autres types de malwares ne s’approchent pas de votre ordinateur.
Avast One sait comment supprimer les rootkits et les bloquer par la suite. Alors avant qu’un pirate puisse voler vos données ou s’octroyer un accès privilégié à votre ordinateur, laissez Avast effectuer son analyse et supprimer définitivement le malware.
Les malwares récents ont recours à des techniques sophistiquées pour échapper à la détection par les antivirus. Lorsque le système d’exploitation est en cours d’exécution, les rootkits présents sur l’appareil peuvent déjouer les analyses antivirus automatiques.
Si un programme antivirus demande au système d’exploitation d’ouvrir un fichier de malware, le rootkit peut modifier les informations données et ouvrir un fichier tout à fait inoffensif à la place. Il peut aussi modifier le code d’énumération du fichier du malware (un élément qui sert à stocker et à partager des informations sur les malwares) qui autrement pourrait le laisser passer au travers de l’analyse.
C’est pour cela qu’une analyse au démarrage, comme celle que propose Avast One, est si pratique. Les analyses au démarrage s’exécutent pendant la procédure de démarrage de l’ordinateur et détectent les rootkits avant qu’ils ne puissent agir. L’avantage de l’analyse au démarrage est que normalement, le rootkit est encore inopérant et n’est pas en mesure de se cacher dans le système.
Si le logiciel antivirus et l’analyse au démarrage ne réussissent pas à éliminer le rootkit, essayez de sauvegarder vos données, de nettoyer votre appareil et d’effectuer une réinstallation complète. C’est parfois le seul moyen d’éliminer le rootkit s’il agit au niveau du démarrage, du microprogramme ou de l’hyperviseur.
Tout d’abord, vous devez savoir comment formater un disque dur et comment cloner un disque dur pour sauvegarder vos fichiers importants. Vous devrez peut-être effacer complètement le disque C:, mais vous pouvez conserver la majorité de vos données. C’est le dernier recours pour supprimer un rootkit.
Le meilleur moyen de supprimer les virus de rootkit est tout simplement d’éviter d’en avoir à supprimer. Vous pouvez effectuer certaines actions pour éviter dès maintenant d’avoir à vous poser la question de savoir comment supprimer un rootkit. Adoptez de bonnes habitudes de sécurité en ligne et vous ferez un pas de géant pour éviter les rootkits.
Méfiez-vous des fichiers inconnus : examinez tous les fichiers que vous recevez avant de les ouvrir, même ceux qui vous ont été envoyés par des contacts en qui vous avez toute confiance. N’ouvrez jamais les pièces jointes qui vous ont été envoyées par des contacts inconnus, il pourrait s’agir d’attaques de phishing.
Téléchargez vos logiciels uniquement auprès de sources de confiance : dans l’idéal directement auprès du fabricant ou sur l’App Store ou le Google Play Store. Vérifiez attentivement les conditions générales pour vous assurer que personne n’essaie de glisser un rootkit dans votre appareil.
Installez les mises à jour système le plus tôt possible : ces mises à jour corrigent souvent des vulnérabilités récemment découvertes et que les pirates pourraient exploiter pour accéder à votre appareil.
Lorsqu’un rootkit fait son travail correctement, vous ne le remarquez pas. Le meilleur moyen pour détecter et éliminer les rootkits est d’utiliser un logiciel de détection et de suppression de rootkits comme Avast One. Cet outil gratuit de détection des rootkits repère et élimine les rootkits installés sur votre appareil et empêche les autres de s’y installer.
Pour ceux qui souhaitent se débrouiller par eux-mêmes, voici quelques conseils pour détecter les rootkits. Ce ne sera pas aussi simple que de choisir le meilleur logiciel antivirus gratuit, et même si vous réussissez à détecter vous-même un rootkit, vous ne serez peut-être pas en mesure de l’éliminer. Mais nous sommes là pour vous aider.
Certains symptômes peuvent trahir la présence d’un rootkit sur votre appareil :
Votre système agit de manière étrange : les rootkits permettent aux pirates de manipuler le système d’exploitation de votre ordinateur. Si votre ordinateur se comporte de façon étrange, c’est peut-être l’œuvre d’un pirate qui agit via un rootkit.
Des changements dans les paramètres : en général, votre ordinateur ne doit pas agir sans qu’on le lui demande, et dans l’idéal, c’est vous qui êtes aux commandes. Avec l’accès à distance que permet le rootkit, quelqu’un d’autre peut intervenir sur vos paramètres et configurations. Si quelque chose semble avoir changé, il peut y avoir de quoi s’inquiéter.
Activités intermittentes de pages web/réseau : si votre connexion Internet est soudain plus irrégulière que d’habitude, cela pourrait être davantage qu’un simple problème du service. Si un pirate utilise un rootkit pour générer ou recevoir beaucoup de trafic sur votre ordinateur, cela peut fortement ralentir votre connexion Internet.
Si vous pensez que votre ordinateur a été infecté, les techniques suivantes peuvent vous aider à repérer le rootkit :
Recherche de signatures : les ordinateurs se servent des chiffres pour fonctionner. La signature d’un logiciel est l’ensemble de chiffres qui le représentent en langage informatique. Vous pouvez analyser votre ordinateur par rapport à une base de données de signatures de rootkits connues et voir si l’une d’entre elles apparaît.
Analyse des fichiers d’image mémoire : lorsque votre ordinateur Windows tombe en panne, il génère un fichier de vidage de la mémoire ou de vidage sur incident. Un technicien qualifié peut examiner ce fichier pour identifier la source de la panne et voir si elle était due à un rootkit.
Recherche dans la mémoire système : faites une recherche dans la mémoire système de votre ordinateur pour voir si quelque chose ne va pas. Pendant cette recherche, vérifiez tous les points d’entrée (accès) pour détecter les signes de processus appelés et suivez tous les appels de bibliothèque importés à partir de fichiers DLL (bibliothèques de liens dynamiques). Certains peuvent être rattachés à d’autres fonctions ou réorientés vers ces dernières.
Contrairement aux vers informatiques et aux virus, mais de façon similaire aux chevaux de Troie, l’infection de votre ordinateur par le rootkit a besoin d’un petit peu d’aide.
Les pirates associent leurs rootkits à deux programmes partenaires (un « injecteur » et un « chargeur ») qui collaborent pour installer le rootkit. Ces trois malwares réunis composent ce que l’on appelle une menace mixte. Examinons de plus près les outils que les rootkits utilisent pour s’installer :
Injecteur : il importe le rootkit dans l’ordinateur de la victime. L’injecteur constitue la première étape du processus d’installation. Lorsque la victime active l’injecteur, celui-ci active le chargeur.
Chargeur : pendant l’exécution de l’injecteur, le chargeur passe à l’action, installant le rootkit sur le système cible. Les chargeurs procèdent souvent en déclenchant un dépassement de mémoire tampon. Il s’agit là d’un exploit de sécurité courant qui permet au pirate de placer le code dans des zones normalement inaccessibles de la mémoire d’un ordinateur.
Les rootkits sont accompagnés d’un « injecteur » et d’un « chargeur » qui collaborent pour mener l’attaque à son terme.
Le problème qui se pose au cybercriminel est d’arriver à mettre en place ce package de menaces mixtes. Le pirate peut recourir à différentes techniques pour installer le rootkit sur votre ordinateur :
Détournement de programmes de messagerie : menace mixte qui peut détourner les clients de messagerie instantanée pour se répandre dans les contacts de la victime. Dès que le destinataire clique sur le lien malveillant dans le message, son ordinateur est lui aussi infecté. Ce type d’attaque par ingénierie sociale est une méthode de propagation des rootkits très efficace.
Greffon sur un logiciel de confiance : les pirates peuvent insérer le rootkit dans un programme ou une application digne de confiance, puis charger cette application empoisonnée sur divers portails de téléchargement. Lorsque vous installez l’application infectée, vous installez involontairement aussi le rootkit.
Avec un autre malware : les virus et les chevaux de Troie peuvent aussi être utilisés pour diffuser les rootkits, car tous deux sont très efficaces pour accéder à votre ordinateur. Lorsque vous exécutez le programme contenant le virus ou que vous exécutez le cheval de Troie, il installe le rootkit sur votre appareil.
Caché dans des fichiers riches en contenu : avec l’avènement des fichiers riches en contenu comme les PDF, les pirates n’ont plus besoin de sites web ni de programmes dédiés pour cacher les malwares. Ils peuvent tranquillement intégrer des rootkits dans de simples fichiers à contenu riche. Lorsque vous ouvrez le fichier infecté, l’injecteur de rootkit s’exécute automatiquement.
Les experts en sécurité classent les rootkits en six catégories, en fonction de l’endroit qu’ils choisissent pour infecter votre machine et de la profondeur de cette infection.
Les rootkits en mode utilisateur infectent le compte administrateur du système d’exploitation, ce qui leur accorde tous les privilèges de haut niveau dont ils ont besoin pour modifier les protocoles de sécurité de votre ordinateur, tout en se cachant et en protégeant les éventuels autres malwares qu’il utilise.
Ces rootkits se lancent automatiquement au démarrage de votre ordinateur ; un simple redémarrage ne suffit donc pas pour vous en débarrasser. Les programmes de détection et de suppression des malwares comme Avast One peuvent détecter les rootkits en mode utilisateur, car le logiciel de détection des rootkits s’exécute à un niveau plus profond, appelé noyau.
Pour parer les analyseurs de rootkits au niveau du noyau, les pirates ont créé des rootkits en mode noyau. Ils se trouvent au même niveau que le système d’exploitation de votre ordinateur et par conséquent compromettent l’ensemble du système d’exploitation.
Une fois qu’il a été infecté par un rootkit en mode noyau, vous ne pouvez plus faire confiance à votre ordinateur pour quoi que ce soit, car tout peut être contaminé, y compris les résultats des analyses anti-rootkits. Heureusement, il est très difficile de créer un rootkit en mode noyau qui puisse fonctionner sans provoquer de plantages du système ni sans trahir sa présence.
Les rootkits hybrides placent certains de leurs composants au niveau utilisateur et d’autres au niveau du noyau. Cela permet aux rootkits hybrides de bénéficier de la stabilité des rootkits en mode utilisateur et de la furtivité de leurs cousins qui résident dans le noyau. En conséquence, les rootkits hybrides utilisateur/noyau sont l’un des types de rootkits les plus en vogue chez les cybercriminels.
Les micrologiciels sont un type de logiciel de bas niveau servant au contrôle du matériel informatique. Certains rootkits sont capable de se cacher dans le micrologiciel lorsque vous éteignez votre ordinateur. Lorsque vous le rallumez, le rootkit de micrologiciel peut se réinstaller et reprendre son travail.
Si une analyse de rootkit repère et désactive un rootkit de micrologiciel pendant son fonctionnement, ce rootkit reprendra son activité dès le prochain démarrage de votre ordinateur. Les rootkits de micrologiciel sont extrêmement difficiles à purger des systèmes informatiques.
Lorsque vous allumez votre ordinateur, il fait appel à l’enregistrement de démarrage principal (MBR) pour obtenir des instructions sur la façon de charger son système d’exploitation. Les bootkits (également appelés rootkits du chargeur de démarrage) sont une variante de rootkit en mode noyau qui infectent le MBR de votre ordinateur. Chaque fois que votre ordinateur consulte son MBR, le bootkit se charge lui aussi.
Les programmes anti-malwares ont du mal à détecter les bootkits, car comme pour tous les rootkits en mode noyau, les bootkits ne résident pas du tout dans le système d’exploitation. Heureusement, les bootkits sont désormais obsolètes, car Windows 8 et Windows 10 les bloquent grâce à la fonction de démarrage sécurisé.
Hébergée sur un ordinateur physique, une machine virtuelle est l’émulation logicielle d’un autre ordinateur. Les machines virtuelles permettent d’utiliser plusieurs systèmes d’exploitation sur une même machine ou de tester des programmes dans un environnement isolé.
Les rootkits virtuels, ou rootkits basés sur des machines virtuelles (VMBR), se chargent sous le système d’exploitation d’origine, puis placent ce système d’exploitation dans une machine virtuelle. Ils sont très difficiles à détecter dans la mesure où ils s’exécutent séparément du système d’exploitation de l’ordinateur.
Lorsqu’un nouveau rootkit fait son apparition, il est aussitôt considéré comme un problème extrêmement urgent dans le domaine de la cybersécurité. Jetons un coup d’œil à certains des exemples de rootkits les plus connus de l’histoire, certains créés par des pirates informatiques, et d’autres fabriqués et utilisés, étonnamment, par de grandes entreprises.
Chronologie des attaques par rootkit les plus connues.
1990 : Lane Davis et Steven Dake de Sun Microsystems créent le premier rootkit connu et destiné au système d’exploitation SunOS Unix.
1999 : Greg Hoglund publie un article décrivant la création d’un cheval de Troie appelé NTRootkit, le premier rootkit pour Windows. Il s’agit d’un exemple de virus rootkit qui fonctionne en mode noyau.
2003 : le rootkit en mode utilisateur HackerDefender fait son apparition sur Windows 2000 et Windows XP. Commence alors un jeu du chat et de la souris entre ce rootkit et l’outil anti-rootkits RootkitRevealer.
2004 : un rootkit est utilisé pour pirater plus de 100 téléphones mobiles sur le réseau Vodafone Grèce, y compris le téléphone du Premier ministre du pays, lors d’une attaque qui sera connue sous le nom de Greek Watergate.
2005 : Sony BMG fait l’objet d’un énorme scandale après avoir distribué des CD qui installent des rootkits en tant qu’outils anti-piratage sans avoir obtenu le consentement préalable des consommateurs.
2008 : le bootkit TDL-4, alors connu sous le nom de TDL-1, alimente le tristement célèbre cheval de Troie Alureon utilisé pour créer et entretenir des réseaux de botnets.
2009 : le rootkit Machiavelli cible macOS (alors appelé Mac OS X), véritable de preuve de concept démontrant que les Mac sont eux aussi vulnérables face aux malwares comme les rootkits.
2010 : le ver Stuxnet, qui aurait été co-développé par les États-Unis et Israël, utilise un rootkit pour dissimuler sa présence alors qu’il prend pour cible le programme nucléaire iranien.
2012 : un logiciel malveillant modulaire massif de 20 Mo connu sous le nom de Flame (massif par rapport à de nombreux malwares dont la taille ne dépasse pas 1 Mo) fait des ravages dans les infrastructures au Moyen-Orient et en Afrique du Nord.
2018 : LoJax est le premier rootkit à infecter l’UEFI d’un ordinateur, le micrologiciel qui contrôle la carte mère, permettant à LoJax de survivre à une réinstallation du système d’exploitation.
2019 : cette récente attaque de rootkit est le fait de Scranos, un rootkit qui vole les mots de passe et les informations de paiement enregistrés dans votre navigateur. Pire encore, il transforme votre ordinateur en ferme à clics pour générer en toute discrétion des revenus vidéo et gonfler le nombre d’abonnés sur YouTube.
Approuvé par plus de 400 millions d’utilisateurs, Avast vous défend contre tous les types de malwares, y compris les rootkits. Lorsque vous installez Avast One, vous vous équipez de l’un des outils de détection et de suppression des rootkits les plus efficaces qui soient. Vous bénéficiez de l’une des meilleures protections contre les rootkits, avec en plus de nombreuses fonctionnalités de sécurité et de protection de la vie privée, le tout gratuitement.