Codes malveillants
Les rootkits, stars des menaces sous Windows
Par Jerome Saiz, le 07 déc 2005 à 17:55:00.
Selon Microsoft, les rootkits Windows font désormais partie des parasites les plus souvent retirés des PC sous Windows XP. Selon les chiffres collectés par son propre outil de désinfection gratuit, plus de 20% des ordinateurs sous Windows XP SP2 et la moitié de ceux sans Service Pack sont ainsi infectés par un rootkit. Leur rôle est le plus souvent de dissimuler la présence d'outils de contrôle à distance ou des spywares.
Nous l'écrivions en début d'année : les rootkits pour Windows seront les prochains grands méchants de l'industrie sécuritaire. Microsoft confirme aujourd'hui la tendance avec des statistiques tirées de l'utilisation de son désinfecteur gratuit.
Fort de plus de 200 millions de lancements chaque mois selon l'éditeur, l'outil constitue une base d'observation d'autant plus intéressante qu'il s'exécute automatiquement au moment de la mise à jour du système, c'est à dire aussi sur des PC qui ne disposent pas d'un antivirus.
Et ce qu'il observe n'est pas franchement rassurant : parmi les Windows XP dotés du Service Pack 2 (les plus récents, donc), 20% d'entre eux seraient infectés par un rootkit. La proportion monte à un incroyable 50% pour les Windows XP dépourvus de tout Service Pack. Et cela, bien sûr, ne concerne que les rootkits connus et surtout que l'on sait détecter (car une fois actif, le rootkit est un animal par nature plus délicat à repérer que les autres codes malicieux).
Le rootkit
FU (qui pourtant ne résiste pas au redémarrage de Windows !) est ainsi dans le top 5 des menaces retrouvées sur les PC, toutes catégories confondues, notamment parce qu'il est inclus à la très prolifique famille de parasites rbot. Viennent ensuite d'autres rootkits bien connus tels ISpro et Hacker Defender. Dans tous les cas, ces parasites sont destinés à cacher la présence d'autres codes malicieux, le plus souvent des spywares ou des clients robots (les fameux bots). Car la recrudescence des rootkits est étroitement liée à l'explosion des réseaux de PC zombies et à leur exploitation commerciale. Le rootkit n'est en réalité qu'un outil destiné à permettre de conserver le contrôle de l'ordinateur en dissimulant les codes malicieux nécessaires aux yeux des antivirus et autres antispywares. On estime ainsi aujourd'hui qu'une grande partie du spam est émise à partir d'ordinateurs familiaux détournés de la sorte à l'insu de leurs propriétaires.
Ces PC sont donc le gagne pain et la matière première des mafias du web, et les rootkits sont les outils idéaux pour s'assurer qu'ils restent infectés. Non pas que leurs utilisateurs, généralement désespérément et béatement incompétents, s'aperçoivent de quoi que ce soit. Les escrocs craignent plutôt la généralisation des contrôles antivirus "inclus" à d'autres opérations, à l'image du désinfecteur de Microsoft qui s'exécute lors des mises à jour, ou l'installation systématique d'antivirus sur les nouveaux PC, par exemple.
Plusieurs initiatives et produits, dont certains gratuits, permettent d'essayer de détecter les rootkits, et des capacités similaires font progressivement leur apparition dans les antivirus. Vous les découvrirez en lisant notre article consacré aux rootkits.
Inutile cependant de paniquer : si vous êtes sous Windows, le meilleur moyen d'échapper aux rootkits (comme aux autres parasites d'ailleurs !) est ne pas cliquer sur n'importe quoi, de garder son PC à jour de ses correctifs de sécurité et d'activer au moins le pare-feu personnel de Windows (qui l'est par défaut depuis le Service Pack 2. Car vous avez le Service Pack 2, n'est-ce pas ?). Un peu de jugeotte vaut tous les anti-tout du marché !
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéLes bénéfices de l'IAM chez Sofinco, deux ans aprèsLes RSSI du monde bancaire à l'aube d'une vague de démissions ?Un nouveau Kerviel chez Morgan Stanley... comme prévuLes banques s'attendent à un nouveau KervielLe Ministre, la maîtresse et les dossiers secretsQuand Safari ouvre la porte de Windows... grâce à Internet ExplorerLe role management suscite l'intérêt des RSSIAntivirus : la révolution in the cloudKaspersky: Stéphane Le Hir monte en grade
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
