Technologies jusqu’alors réservées aux logiciels espions, les rootkits sont en voie d’adoption par les virus, selon F-Secure.
F-Secure a profité du CeBIT (qui se déroule jusqu’au 16 mars à Hanovre) pour présenter BlackLight Rootkit Elimination Technology. Pour l’heure proposé en version bêta, BlackLight vise à prévenir contre une nouvelle génération de menace virale : les rootkits. Un rootkit est un programme (ou ensemble de programmes) qui permet notamment d’obtenir les droits administrateur d’une machine (et donc d’en prendre le contrôle total) et, plus couramment, de cacher des informations systèmes aux yeux de l’utilisateur (y compris l’administrateur) et devenir indétectable par les applications de sécurité.
En soi, un rootkit n’est pas malveillant. Mais son utilisation peut s’avérer redoutable puisqu’elle permet notamment de rendre invisible des programmes malicieux auprès des antivirus, antispyware et autres applications de sécurité. Autrement dit, une machine peut parfaitement être infectée (servir de serveur d’envoi de spam par exemple) sans que son utilisateur n’en sache rien et que ses systèmes et logiciels antivirus sont à jour. C’est d’autant plus inquiétant que, n’étant pas en mesure de détecter la menace, l’antivirus sera incapable de l’éradiquer.
Une menace marginale … pour le moment
Microsoft lui-même s’est inquiété des rootkits à l’occasion de la récente conférence RSA Security de San Francisco. Pour l’heure, les rootkits sont essentiellement exploités par les spywares. F-Secure en a décelé quelques-uns : Win-Spy, PC Spy, Spector Pro, Invisible Keylogger, ActMon et ProBot SE. Et si, selon l’éditeur, « seulement » deux virus s’appuient sur les technologies de rootkit pour se répandre (Maslan.A et ses variantes B et C, ainsi que Berbew/Padodor), « les rootkits puissants sous Windows sont appelés à devenir un problème majeur dans le futur », selon Mikko Hypponen, responsable du secteur recherches chez F-Secure.
Autrement dit, si la menace est encore marginale, cela ne va pas durer. F-Secure estime notamment que « les auteurs de virus agissent de manière plus professionnelle et […] ont certainement les compétences et la motivation pour supporter la complexité supplémentaire qu’un rootkit introduit dans un virus ou un ver ». Si le phénomène se répand, les antivirus traditionnels basés sur la signature d’un fichier seront bientôt obsolètes.
[source – vnunet.fr] Christophe Lagane