Le danger des rootkits

Qu'est-ce qu'un rootkit ?

Un rootkit fait, da la majorité des cas, partie de malwares qui peut être installé sous Linux, Unix et Windows serveurs mais aussi dans chaque ordinateur d'un internaute. Leur détections est assez difficile et parfois quasiment impossible.
 
Le but d'un rootkit est à permettre à une tierce personne à accéder au système d'exploitation d'un serveur ou d'un ordinateur avec la permission complète à modifier les fichiers existants et d'ajouter d'autres sans que leur action soit "visible". Un rootkit peut être installé et fonctionner pendant des mois sans que l'administrateur du serveur ou l'internaute se rende compte.
 
Un rootkit est capable à cacher d'autres applications comme un cheval de Troie, une backdoor (porte dérobée) ou du spyware de la manière que les antivirus installés dans l'ordinateur ou le serveur seront incapables à les détecter.

Les rootkits utiles

Même si la majorité de rootkits servent aux buts malveillants, il y a aussi de rootkits qu'un utilisateur, un moteur de recherche, un FAI ou même un administrateur de serveurs doit installer pour garantir un fonctionnement correct ou pour empêcher un accès non souhaité.
 
Les nanny programs, les logiciels de monitoring pour la gestion de serveurs et l'application des certains filtres se basent sur les rootkits et même quelques logiciels de support nécessitent leur installation.

Les rootkits malveillants

Les rootkits malveillants sont, en règle générale, installés par un hacker ou un cracker qui utilise l'ordinateur distant dès qu'il soit online ou, un serveur, en permanence. Il installe donc après le rootkit d'autres programmes cachés comme de backdoors ou de keyloggers pour, par exemple, capter les numéros des cartes de crédit ou les mots de passe pour les employer ultérieurement.
 
L'installation d'un rootkit dans un serveur virtuel ou un serveur dédié est souvent le premier pas pour l'utiliser comme serveur spam qui envoie ensuite de millions de spams sans que l'administrateur inexpérimenté du serveur se rende compte.
 
Comme le serveur qui envoi du spam, des virus ou d'autres logiciels malveillantes peut être tracé, le responsable pour le serveur risque même de poursuites judiciaires.
 
La pire méthode des rootkits sert à lier plusieurs centaines, ou même de milliers, d'ordinateurs pour créer un rootkit network, appelé botnet. Le but de ces botnets est souvent l'attaque DDoS, Distributed Denial of Service.

Comment un rootkit s'installe dans une machine

L'installation d'un rootkit dans un ordinateur se passe par de méthodes assez variées. Le plus courant est l'envoi préalable d'un cheval de Troie qui se cache dans un fichier qui est, à la première vue, bénigne. Il s'agit d'une image dans un e-mail, d'une fenêtre pop-up, d'une visite d'un site Web ou par la demande à installer une mise à jour ou un plug-in pour pouvoir voir une page correctement.
 
L'intrusion dans un serveur VPS ou un serveur dédié utilise de failles de sécurité, soit de l'installation du serveur (souvent bon marché), soit par l'utilisation d'un trou dans la base de données, soit par un simple formulaire non protégé. Le rootkit, comme le nom le dit, utilise la root d'un serveur et pet s'installer même dans le kernel et reste, de cette manière presque introuvable.

La protection contre les rootkits

La protection contre l'installation des rootkits dans un ordinateur ou serveur est l'utilisation des logiciels antivirus toujours actuels, la mise à jour des systèmes par l'installation régulière des security patches et l'installation d'un logiciel anti-spyware.
 
Pour empêcher l'installation des rootkits il est aussi nécessaire à ne jamais ouvrir un fichier inconnu, ne jamais installer de logiciels ou mise à jours à partir d'autres sites que celui du créateur du logiciel, ne jamais permettre l'installation de plug-ins inconnues ou non vérifiés, ne jamais utiliser de formulaires non sécurisés ou copiés d'autres sites et ne jamais utiliser de bases de donnés sans les maîtriser profondément.
 
En bref : Chaque action, même un bouton "Non, merci" peut installer un rootkit et mettre les logiciels anitvirus hors fonction.

La détection de rootkits

Il y a de rootkit scanners gratuits pour ordinateurs privés ainsi que pour serveurs, mais malheureusement, il n'y a aucun logiciel qui soit à 100% fiable. Il y a de rootkits qu'aucun programme ne peut détecter et où seulement la réinstallation du système d'exploitation peut mettre fin à l'abus du serveur ou de l'ordinateur.
 
Il est donc important, surtout pour un serveur, à éviter l'installation d'un rootkit et ne jamais se fier aux Webmasters amateurs qui ne sont pas formés en sécurité de serveurs ou qui utiliser de codes trouvés sur Internet pour faire fonctionner un site. Un rootkit installé sur un serveur mène avec certitude vers la liste noire des moteurs de recherche et peut donc même mener à la faillite d'une entreprise.
 
Il est évident que le Webmaster soit responsable pour les dommages, mais, en règle générale, sa responsabilité est limitée ou il ne peut jamais payer les pertes occasionnées.
 
Les liens qui suivent fournissent des explication complémentaires sur les rootkits :
Rootkit, définition Wikipedia, France
Des chercheurs créent un rootkit qui résiste au formatage
What is a rootkit?
How to Get Rid of Rootkits