1
Citation
Rootkit Windows: la prochaine menace sécuritaire?
C'est la nouvelle marotte de l'industrie de la sécurité. Le "rootkit" Windows, code malicieux très difficile à détecter et à éradiquer, mobilise l'attention des techniciens, sous le regard des éditeurs, toujours prompts à flairer une bonne affaire.
Le "rootkit" Windows a tout pour faire peur: c'est un code malicieux vraiment complexe qui se greffe dans le Saint des Saints, le noyau même du système d'exploitation. Il est ainsi capable de prendre le contrôle total d'un PC sans laisser de trace. Sa détection est difficile, parfois même impossible tant que le système fonctionne.
Une fois en place, le rootkit est véritablement le maître du système. À ce titre tous les programmes, y compris les antivirus et anti-spywares, doivent passer par lui avant de faire quoi que ce soit. Ils ne peuvent donc se fier à aucune information collectée sur le système. Une situation diabolique.
En réalité, les rootkits sont loin d'être une nouveauté; ils existent sous Linux depuis très longtemps (noyau ouvert et modulaire oblige). Sous Windows en revanche, ils sont longtemps restés un simple sujet d'étude et de curiosité, souvent abordé durant des rencontres de passionnés telles que la conférence Black Hat.
Microsoft s'en mêle
C'est Microsoft qui a placé le rootkit Windows sur le devant de la scène il y a quelques semaines. Lors de la RSA Conference 2005 à San Francisco, l'éditeur a révélé que ces logiciels "fantômes", selon ses observations, devenaient plus courants sous Windows.
Il estime que les outils de sécurité actuels doivent absolument s'adapter car ils sont inefficaces face à cette menace. Et pour faire bonne mesure, Microsoft a annoncé dans la foulée qu'il travaille à une réponse appropriée: le projet Strider GhostBuster. Encore au stade des publications techniques et des tests en interne, il permet déjà de bien cerner les problèmes auxquels devra faire face l'industrie, lorsqu'elle décidera de lutter contre les rootkits Windows.
À titre d'exemple, le rapport de Microsoft, dont l'approche est jugée «intelligente et élégante» par le célèbre expert en cryptographie Bruce Schneier (également Chief Tedchnology Officer de l'éditeur Counterpane Internet Security), indique que la seule manière sûre de se débarrasser d'un rootkit sous Windows est... de reformater le disque!
Les éditeurs dans la bataille
Du côté des éditeurs de logiciels de sécurité, la réponse ne s'est pas fait attendre. Sysinternals, très connu des passionnés pour ses outils gratuits très pratiques, a récemment diffusé son RootkitRevealer. L'outil, gratuit, utilise une technique similaire à celle décrite par le projet Strider GhostBuster de Microsoft.
Il tente de lire des informations système de plusieurs manières différentes – via des interfaces à haut niveau et des appels presque directs au matériel – et d'en comparer les résultats. Il s'agit d'une technique similaire à celle utilisée il y a fort longtemps pour détecter les virus furtifs sous DOS et qui a largement fait ses preuves.
F-Secure est, selon nos informations, le premier éditeur d'antivirus à annoncer une solution "anti-rootkit" spécifique. D'autres, tel Kaspersky Antivirus, mettent en oeuvre des techniques de comparaison similaires mais seulement afin de détecter certains fichiers cachés sur les disques NTFS. Sa technologie de détection baptisée Blacklight, annoncée lors du dernier CeBIT, est téléchargeable en version bêta sur son site.
Reste que les outils anti-rootkit grand public ne sont pas pour demain. Il suffit d'utiliser RootkitRevealer pour comprendre que l'utilisateur non technicien sera incapable de discerner, parmi toutes les entrées suspectes identifiées (et elles sont nombreuses!), les véritables rootkits.
Pour en savoir plus :
L'anti-spyware de Microsoft sera gratuit pour les utilisateurs de Windows
Jérôme Saiz, ZDNet France
http://fr.news.yahoo...01/7/4ccv1.html
C'est la nouvelle marotte de l'industrie de la sécurité. Le "rootkit" Windows, code malicieux très difficile à détecter et à éradiquer, mobilise l'attention des techniciens, sous le regard des éditeurs, toujours prompts à flairer une bonne affaire.
Le "rootkit" Windows a tout pour faire peur: c'est un code malicieux vraiment complexe qui se greffe dans le Saint des Saints, le noyau même du système d'exploitation. Il est ainsi capable de prendre le contrôle total d'un PC sans laisser de trace. Sa détection est difficile, parfois même impossible tant que le système fonctionne.
Une fois en place, le rootkit est véritablement le maître du système. À ce titre tous les programmes, y compris les antivirus et anti-spywares, doivent passer par lui avant de faire quoi que ce soit. Ils ne peuvent donc se fier à aucune information collectée sur le système. Une situation diabolique.
En réalité, les rootkits sont loin d'être une nouveauté; ils existent sous Linux depuis très longtemps (noyau ouvert et modulaire oblige). Sous Windows en revanche, ils sont longtemps restés un simple sujet d'étude et de curiosité, souvent abordé durant des rencontres de passionnés telles que la conférence Black Hat.
Microsoft s'en mêle
C'est Microsoft qui a placé le rootkit Windows sur le devant de la scène il y a quelques semaines. Lors de la RSA Conference 2005 à San Francisco, l'éditeur a révélé que ces logiciels "fantômes", selon ses observations, devenaient plus courants sous Windows.
Il estime que les outils de sécurité actuels doivent absolument s'adapter car ils sont inefficaces face à cette menace. Et pour faire bonne mesure, Microsoft a annoncé dans la foulée qu'il travaille à une réponse appropriée: le projet Strider GhostBuster. Encore au stade des publications techniques et des tests en interne, il permet déjà de bien cerner les problèmes auxquels devra faire face l'industrie, lorsqu'elle décidera de lutter contre les rootkits Windows.
À titre d'exemple, le rapport de Microsoft, dont l'approche est jugée «intelligente et élégante» par le célèbre expert en cryptographie Bruce Schneier (également Chief Tedchnology Officer de l'éditeur Counterpane Internet Security), indique que la seule manière sûre de se débarrasser d'un rootkit sous Windows est... de reformater le disque!
Les éditeurs dans la bataille
Du côté des éditeurs de logiciels de sécurité, la réponse ne s'est pas fait attendre. Sysinternals, très connu des passionnés pour ses outils gratuits très pratiques, a récemment diffusé son RootkitRevealer. L'outil, gratuit, utilise une technique similaire à celle décrite par le projet Strider GhostBuster de Microsoft.
Il tente de lire des informations système de plusieurs manières différentes – via des interfaces à haut niveau et des appels presque directs au matériel – et d'en comparer les résultats. Il s'agit d'une technique similaire à celle utilisée il y a fort longtemps pour détecter les virus furtifs sous DOS et qui a largement fait ses preuves.
F-Secure est, selon nos informations, le premier éditeur d'antivirus à annoncer une solution "anti-rootkit" spécifique. D'autres, tel Kaspersky Antivirus, mettent en oeuvre des techniques de comparaison similaires mais seulement afin de détecter certains fichiers cachés sur les disques NTFS. Sa technologie de détection baptisée Blacklight, annoncée lors du dernier CeBIT, est téléchargeable en version bêta sur son site.
Reste que les outils anti-rootkit grand public ne sont pas pour demain. Il suffit d'utiliser RootkitRevealer pour comprendre que l'utilisateur non technicien sera incapable de discerner, parmi toutes les entrées suspectes identifiées (et elles sont nombreuses!), les véritables rootkits.
Pour en savoir plus :
L'anti-spyware de Microsoft sera gratuit pour les utilisateurs de Windows
Jérôme Saiz, ZDNet France
http://fr.news.yahoo...01/7/4ccv1.html
