Les pirates cherchent toujours à avoir un coup d’avance sur les logiciels de sécurité. Pour échapper à ces derniers, ils appliquent désormais la technique du camouflage. Même s’il n’est pas complètement nouveau – les
premiers cas remontent à 2002 -, le procédé s’avère de plus en plus sophistiqué.La nouvelle arme porte le nom de ‘ rootkit polymorphe ‘. Derrière cette inquiétante expression se cache deux procédés que l’on peut qualifier de ‘ diaboliques ‘.
D’abord, le rootkit : c’est un programme, ou un ensemble de programmes, permettant à une personne de prendre le contrôle d’un ordinateur et d’y dissimuler ses activités malveillantes (voler des données personnelles, faire
du PC une machine à spam…). Pour s’immiscer dans le disque dur, le pirate s’est servi d’un cheval de Troie, par exemple. Le terme ‘ polymorphe ‘ signifie que le rootkit peut prendre une
apparence anodine pour ne pas être repéré. Pour cela, le virus peut-être codé (par une technique de chiffrement) ou ne pas porter la signature répertoriée d’un virus. L’objectif est de ne pas être repéré par l’antivirus.
‘ Terrible menace ‘
Ces deux propriétés viennent d’être repérées par Symantec et F-Secure. Le rootkit
‘ Backdoor.Rustock.A ‘ est capable de se camoufler à l’intérieur d’un pilote Windows au format SYS,
pour échapper à la vigilance des outils de protection. Selon Symantec, Rustock ‘ cache tous les fichiers et les sous-clés de registre qu’il crée ‘.
et difficiles à détecter ‘. Philippe Brandt, chef du Centre opérationnel de la sécurité des systèmes d’information (Cossi) parle lui d’une ‘ terrible menace ‘.Terrible, car si le rootkit n’est pas repéré par l’antivirus ?” situation d’autant plus probable qu’il masque bien son identité ?”, les dommages peuvent être importants : caché dans les
entrailles de la machine, il permet au pirate d’en prendre le contrôle total et peut empêcher l’action d’un antivirus ou d’un autre programme installé. ‘ Les rootkits ne sont en
général pas détectés et traités par la quasi-totalité des produits [de sécurité, NDLR] malgré ce qui est annoncé. Pour le moment, la gestion générique des rootkits est à attendre. Il vaut mieux se fier à des
outils spécialisés comme RootkitRevealer de SysInternals ‘, indique le lieutenant-colonel Eric Filiol, chef du Laboratoire de virologie et de cryptologie de l’Ecole supérieure et d’application des transmissions à
Rennes.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.