Technologies
Rootkits Windows : la prochaine mode sécuritaire ?
Par Jerome Saiz, le 09 mars 2005 à 14:14:00.
Maintenant que les spywares sont bien à la mode, l'industrie de la sécurité doit se trouver une nouvelle tendance. Et il pourrait bien s'agir des rootkits pour Windows, ces codes malicieux terriblement difficiles à détecter et à éradiquer. Déjà, des anti-rootkits font leur apparition. Menace sérieuse ou nouveau coup de pub ?
Le petit monde de la sécurité s'est trouvé une nouvelle marotte : le rootkit Windows. Maintenant que les spywares sont devenus très "grand public", l'attention des passionnés et des techniciens se tourne ainsi vers une menace moins connue et beaucoup plus technique. Le tout, bien sûr, sous le regard bienveillant des éditeurs, toujours prompts à flairer une bonne affaire.
Car voyez-vous, le rootkit Windows a tous les atouts pour faire peur dans les chaumières : c'est un code malicieux vraiment complexe qui se greffe au plus proche du noyau du système d'exploitation, c'est à dire le Saint des Saints. Il est ainsi capable de prendre le contrôle total d'un PC sans laisser de trace (lorsqu'il est bien programmé, ce qui n'est pas une tâche facile). Sa détection est difficile, parfois même impossible tant que le système fonctionne. Une fois en place, le rootkit (noyau) est véritablement le Maître du système. A ce titre tous les programmes, y compris les antivirus, anti-spywares et autres anti-tout, doivent passer par lui avant de faire quoi que ce soit : ils ne peuvent donc se fier à aucune information collectée sur le système. C'est diabolique.
Maintenant que nous avons nous aussi contribué à médiatiser ces méchants rootkits, revenons sur les fondements de cette mode qui semble s'annoncer. Les rootkits sont en réalité loin d'être une nouveauté. De tels codes existent sous Unix et Linux depuis très longtemps. Sous Windows en revanche, ils sont longtemps restés un simple sujet d'étude et de curiosité, souvent abordé durant des conférences de passionnés tel Black Hat. Car le rootkit (le vrai, celui qui intercepte les appels et se greffe près du noyau du système) est un programme délicat à confectionner. Il provoque souvent l'instabilité du système et apparaît alors dans les fameux "écrans bleus" de Windows. Programmer un rootkit "noyau" propre est une tâche difficile et, jusqu'à présent, plutôt restée dans l'ombre des passionnés.
Microsoft s'en mêleMicrosoft a cependant amené le rootkit Windows sur le devant de la scène il y a quelques semaines à peine. Lors de la RSA Conference 2005 à San Francisco, l'éditeur a révélé que selon ses observations les logiciels "fantômes" -les rootkits, donc- devenaient plus courants sous Windows.
Selon lui les outils de sécurité actuels doivent absolument s'adapter car ils sont inefficaces face à cette menace. Et pour faire bonne mesure, Microsoft annonçait dans la foulée qu'il travaille déjà à une réponse appropriée : le projet Strider GhostBuster. Ce dernier n'est encore qu'au stade des publications techniques et des tests en interne, mais il permet déjà de bien cerner les problèmes auxquels devra faire face l'industrie lorsqu'elle décidera de lutter contre les rootkits Windows. A titre d'exemple, le rapport de Microsoft -pourtant très sérieux et dont l'approche est jugée "intelligente et élégante" par l'incontournable Bruce Schneier) indique que la seule manière d'être vraiment sûr de se débarrasser d'un rootkit noyau sous Windows est... de reformater le disque !
Les éditeurs dans la batailleDu côté des éditeurs spécialistes de la sécurité, la réponse ne s'est pas fait attendre. D'abord par Sysinternals, très connu des passionnés pour ses outils gratuits très pratiques. L'éditeur a récemment diffusé son RootkitRevealer. L'outil, gratuit lui aussi, utilise une technique similaire à celle décrite par le projet Strider GhostBuster de Microsoft : il tente de lire des informations systèmes de plusieurs manières différentes -via des interfaces à haut niveau et via des appels presque directs au matériel- et d'en comparer les résultats. Il s'agit d'une technique similaires à celle utilisée il y a fort longtemps pour détecter les virus furtifs sous DOS et qui a largement fait ses preuves.
Plus d'information
- La page du projet Strider GhostBuster de Microsoft.
- Le RootkitRevealer de Sysinternals.
- Le projet Blacklight de F-Secure
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office AcesssKraken, le poids-lourd des botnetsUne vulnérabilité PDF pour les BlackBerryAvi Chesla : "La nouvelle vague de bots passe à l'Ajax"
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
