Les experts en sécurité et les utilisateurs intéressés connaissent les rootkits, mais la plupart des utilisateurs ne savent pas du tout qu'il existe ce type de logiciel malveillant, qui se cache habilement et dissimule ses activités sur un PC infecté. Cependant, vous devriez en savoir plus, car il y a de fortes chances que, tôt ou tard, vous fassiez personnellement connaissance avec un tel logiciel malveillant. En effet, les cybercriminels développent constamment de nouvelles méthodes pour les logiciels malveillants cachés et vendent ces méthodes à d'autres criminels ou les utilisent eux-mêmes. La possibilité de se cacher permet à un rootkit de rester actif sur l'ordinateur d'une victime pendant des mois, parfois même des années. Le hacker derrière le rootkit peut alors utiliser l'ordinateur infecté à ses propres fins. Même si aucune information précieuse n'est trouvée sur l'ordinateur lui-même ce qui est très peu probable, elle peut toujours être utilisée pour générer de l'argent numérique Bitcoins, envoyer du spam ou participer à une attaque DDoS. Les fonctions de rootkit permettent de dissimuler ces activités malveillantes, non seulement aux modules de surveillance intégrés au système d'exploitation, mais aussi aux programmes antivirus et aux capteurs de pare-feu. On vous recommande donc de vérifier votre programme antivirus ou votre suite de sécurité installés pour voir s'ils offrent des fonctions anti-rootkit et si elles fonctionnent bien.
Mais pourquoi les rootkits sont-ils invisibles ?
La raison n'est pas difficile à expliquer : les programmes malveillants tentent d'intégrer profondément leur code dans le système d'exploitation de l'ordinateur et interceptent toutes les requêtes standard telles que la lecture de fichiers ou la récupération de la liste des programmes en cours d'exécution. Les rootkits traitent ces demandes et suppriment de celles-ci toute mention de fichiers, de processus ou d'autres fonctions liées à leurs propres activités. Mais d'autres techniques sont également utilisées : par exemple, les rootkits peuvent injecter leur propre code dans des processus légitimes et utiliser la mémoire de ces processus pour effectuer leurs propres tâches malveillantes. Par conséquent, le rootkit reste invisible pour les solutions antivirus moins avancées, car celles-ci ne fonctionnent généralement qu'aux niveaux supérieurs du système d'exploitation et ne pénètrent pas plus profondément dans le noyau du système d'exploitation et les structures matérielles de bas niveau. Si un programme antivirus détecte un rootkit, il peut tenter de désactiver la protection, et même de supprimer certains composants critiques de l'antivirus. Un rootkit plutôt rusé a même utilisé un appât vivant en enregistrant un fichier spécial que la solution antivirus était censée détecter. Une fois que le programme de protection a accédé au fichier, le rootkit a essayé de désactiver le programme antivirus et de bloquer tout nouveau démarrage.
Mais comment se protéger de ces vilains parasites ?
Tout d'abord, votre solution antivirus doit surveiller les fichiers système critiques au plus profond du système d'exploitation pour détecter les activités suspectes, comme les logiciels malveillants qui tentent de modifier la structure du disque dur. Il est même possible de détecter de nouveaux rootkits, auparavant inconnus, en comparant l'activité de l'ordinateur au niveau du système d'exploitation avec les résultats de l'analyse approfondie de bas niveau. Deuxièmement, il est important que le programme de protection contienne une auto-protection efficace afin que les logiciels malveillants ne puissent pas désactiver la solution de sécurité. Enfin, la solution antivirus devrait être capable de supprimer 100 % des composants du rootkit, même ceux qui ont été introduits dans des fichiers critiques du système d'exploitation. Parce qu'il n'est pas possible de supprimer simplement ces fichiers, cela rendrait le système d'exploitation inutilisable. Le programme antivirus doit être capable de réparer ces fichiers sans affecter le fonctionnement du système d'exploitation. Assurez-vous donc que votre solution de sécurité installée gère ces points, puis vous pourrez dire : on sait ce qu'est un rootkit, et on est sûr que la solution antivirus protégera efficacement l'ordinateur contre lui.