Lors de la conférence internationale InfoSec, organisée aux Etats-Unis début avril, Mike Danseglio, Program Manager du Security Solutions Group de Microsoft, a surpris plus d’un
observateur en conseillant aux administrateurs de réseaux d’entreprise de reformater les disques durs des machines infectées par des rootkits plutôt que d’essayer de les nettoyer.Il faut dire que ces programmes malveillants sont aujourd’hui considérés comme la principale menace pour l’univers Windows. Ils ont la particularité de cacher le code malicieux (un spyware par exemple) qu’ils
protègent tout en se camouflant eux-mêmes. Cette dissimulation est totale : le programme n’apparaît pas dans la barre des tâches, ni dans le gestionnaire des tâches, ses fichiers sont masqués aussi bien sous l’explorateur que sous
l’invite de commande (un ‘ Dir ‘ ne les affiche pas) et, même, son trafic réseau est invisible pour votre pare-feu.
Des parasites difficiles à déloger
Selon Mike Danseglio, les derniers rootkits sont si sophistiqués et si ancrés dans les zones système de Windows que leur éradication est simplement trop longue et complexe pour être réalisable si plusieurs postes de
l’entreprise sont infectés. D’après lui, les entreprises doivent désormais préparer des plans de reformatage et de réinstallation automatique des PC au cas où une infection massive se déclarerait. Une solution, certes, plus radicale mais à la
fois plus efficace, plus rapide et moins coûteuse qu’une longue intervention manuelle sur chaque poste infecté.Pour François Paget, chercheur antivirus de McAfee, ‘ les antivirus 2006 sont de plus en plus performants contre les rootkits. Ils détectent et préviennent efficacement leur intrusion sur
les systèmes. Mais, ils se montrent parfois impuissants à les éradiquer lorsqu’ils sont déjà installés sur le PC. Même manuellement, équipés de nombreux outils comme RootkitRevealer de SysInternals, le processus d’éradication se révèle
long et compliqué, et l’on ne peut jamais être certain d’avoir effacé toutes les menaces ‘.Des propos nuancés par Marc Blanchard, directeur du laboratoire européen Kaspersky, pour qui, ‘ un nettoyage efficace de ces codes malveillants reste encore possible en redémarrant le PC depuis le CD-Rom
d’un antivirus dernière génération (à l’instar du tout nouveau KIS 6 qui sera disponible fin avril en France), qui agit dès le démarrage du PC sans chargement de Windows ‘.Pour Mike Danseglio, il est simplement trop coûteux voire irréalisable, dans les parcs de plusieurs milliers de machines, de passer un tel CD-Rom sur chaque ordinateur. D’où la nécessité pour l’entreprise de mettre en
?”uvre des processus permettant, à distance, de formater automatiquement un disque dur et de réinstaller le PC, notamment à l’aide des fonctions de déploiement d’images (comme la fonction RIS de Windows Server 2003).
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.