![](\"\/blog\/rootkit.png\")
<\/div>\n\nEt pour les non-informaticiens, voici l’explication : ce sch\u00e9ma repr\u00e9sente de fa\u00e7on simplifi\u00e9e comment fonctionne votre ordinateur. Je vais me limiter \u00e0 Windows puisque c’est sur ce syst\u00e8me que les rootkits se multiplient. Tout en bas, en noir, il y a le mat\u00e9riel qui compose votre PC, c’est \u00e0 dire tous les p\u00e9riph\u00e9riques (clavier, souris, \u00e9cran, disque dur, etc). Chacun \u00e9tant diff\u00e9rent, le syst\u00e8me a besoin de drivers<\/b> pour pouvoir y acc\u00e9der. C’est ce qu’on appelle le \u00ab\u00a0bas niveau\u00a0\u00bb d’un syst\u00e8me puisqu’\u00e0 ce niveau l\u00e0 on g\u00e8re les informations de fa\u00e7on brute. Au-dessus se trouve la partie la plus importante du syst\u00e8me d’exploitation, le kernel<\/b>, qui est la premi\u00e8re chose charg\u00e9e par Windows (quand le logo Windows XP appara\u00eet, le kernel est charg\u00e9). Le kernel s’ex\u00e9cute avant m\u00eame les drivers car c’est lui qui est le centre n\u00e9vralgique du syst\u00e8me : il g\u00e8re les p\u00e9riph\u00e9riques, ainsi que les applications. Les applications<\/b>, elles, sont tout en haut. Il s’agit des programmes que vous utilisez (Explorer – le bureau de Windows -, Outlook Express, Media Player, que sais-je) ainsi que tous les programmes dont Windows a besoin pour fonctionner normalement. Enfin, au milieu, les API<\/b> (Application Programmable Interface) sont un ensemble de plusieurs milliers de fonctions que les applications utilisent syst\u00e9m\u00e9tiquement pour afficher des choses sur l’\u00e9cran, acc\u00e9der au disque dur… bref, pour pouvoir int\u00e9ragir avec la machine. Toutes les applications sont sens\u00e9es passer par les API pour acc\u00e9der aux fonctions du syst\u00e8me d’exploitation.<\/p>\n
Un virus, dans sa forme actuelle, n’est qu’une application comme une autre. La diff\u00e9rence est qu’il se cache pour que l’utilisateur ne le voie pas. Un virus est d\u00e9tectable par un antivirus car ce dernier va pouvoir scanner la m\u00e9moire ainsi que le disque dur (en passant par les API) et comparer ce qu’il trouve avec une base de donn\u00e9es de virus connus.<\/p>\n
Un rootkit n’est pas une application comme les autres. Un rootkit se pr\u00e9sente sous la forme d’une extension de kernel. Autrement dit, le rootkit va se lancer en m\u00eame temps que le noyau du syst\u00e8me et se greffer \u00e0 lui. Le rootkit va pouvoir alors remplacer certaines fonctions du noyau par les siennes, et ce avant m\u00eame que n’importe quel autre programme (antivirus ou autre) ne puisse s’ex\u00e9cuter.<\/p>\n
Qu’est-ce que \u00e7a implique ? Un antivirus ne pourrait-il pas juste scanner la m\u00e9moire et le disque comme il le fait d’habitude ? Il peut le faire… et ne trouvera rien. Car les acc\u00e8s m\u00e9moire et disque passent invariablement par le kernel. Qui est control\u00e9 par le rootkit… qui renvoie de fausses informations. Par exemple, admettons que le rootkit se soit install\u00e9 sur le disque en C:\\Program Files\\ROOTKIT_DTC. Lorsque l’antivirus va demander au syst\u00e8me de lister tout le contenu de \u00ab\u00a0C:\\Program Files\u00a0\u00bb, le rootkit va intercepter la demande et renvoyer la liste en y omettant le dossier \u00ab\u00a0ROOTKIT_DTC\u00a0\u00bb. Et \u00e0 partir de l\u00e0, il est simplement impossible pour une application normale de d\u00e9tecter la pr\u00e9sence d’un rootkit.
\nIl en va de m\u00eame pour les scans de la m\u00e9moire centrale, de la base de registre, et plus important, de la liste des applications en cours d’ex\u00e9cution. Cette liste est en effet maintenue par le kernel, et lorsqu’une application demandera cette liste, le rootkit, l\u00e0 encore, interceptera l’appel et supprimera de la liste transmise tous les processus qui lui sont li\u00e9s.<\/p>\n
La d\u00e9tection d’un rootkit est elle alors impossible ? En th\u00e9orie, un syst\u00e8me infect\u00e9 par un rootkit est consid\u00e9r\u00e9 comme \u00ab\u00a0tra\u00eetre\u00a0\u00bb : toutes les informations qu’il fournit peuvent \u00eatre fauss\u00e9es. Pour un programme quelconque, la seule solution est d’acc\u00e9der directement aux p\u00e9riph\u00e9rique via les drivers – de faire du bas niveau – et encore faut-il que le programme en question sache ce qu’il cherche. La meilleure solution reste de d\u00e9marrer sur un autre disque dur ou mieux, sur un CD avec un syst\u00e8me \u00ab\u00a0sain\u00a0\u00bb. Malheureusement les outils n’existent pas encore (et Windows ne peut d\u00e9marrer \u00e0 partir d’un CD).
\nEn tout \u00e9tat de cause, il n’existe pour l’instant AUCUN PROGRAMME que le grand public puisse utiliser pour tester la pr\u00e9sence de rootkits sur son syst\u00e8me. Il y a par contre quelques outils r\u00e9serv\u00e9s aux utilisateurs avertis et techniciens, mais m\u00eame ces utilisateurs se font infecter par des rootkits sans s’en rendre compte.<\/p>\n
Et ici, je vais citer deux t\u00e9moignages de personnes dont l’ordinateur a \u00e9t\u00e9 infect\u00e9 par des rootkits. Comme vous le verrez, ce sont des programmeurs ayant un niveau cons\u00e9quent en informatique. Ces deux personnes ont le point commun d’avoir trouv\u00e9 un rootkit install\u00e9 sur leur syst\u00e8me – par hasard.<\/p>\n
Le premier t\u00e9moignage est celui de JeremyK, un d\u00e9veloppeur de Microsoft qui re\u00e7ut d\u00e9but juillet un rapport de bug banal (d\u00e9tails sur cette page<\/a>). La r\u00e9solution du bug lui a pris deux heures et l’aide de plusieurs coll\u00e8gues ing\u00e9nieurs… le probl\u00e8me \u00e9tait qu’en ex\u00e9cutant pas \u00e0 pas le programme, Windows crashait sur une vulgaire instruction (\u00ab\u00a0a benign instruction was blowing up\u00a0\u00bb). Grosso-modo, c’est comme si l’ordinateur plantait en faisant 1+1, ce qui est impossible \u00e0 moins d’un s\u00e9rieux probl\u00e8me mat\u00e9riel… Ce qui a sauv\u00e9 cet ing\u00e9nieur est le fameux \u00ab\u00a0coredump\u00a0\u00bb, le fichier contenant la copie de la m\u00e9moire vive g\u00e9n\u00e9r\u00e9 par Windows en cas de plantage s\u00e9v\u00e8re (d\u00e9sactiv\u00e9 par d\u00e9faut). En analysant ce coredump, il s’est rendu compte que les instructions que lui renvoyait son debugger lorsqu’il tra\u00e7ait le programme n’\u00e9taient pas les instructions qui \u00e9taient r\u00e9ellement en m\u00e9moire – un rootkit, HackerDefender, \u00e9tait install\u00e9 dans le kernel et cachait sa pr\u00e9sence. C’est un bug dans le rootkit qui faisait planter Windows.<\/p>\n Le second et certainement le plus scandaleux, est celui report\u00e9 par Mark Russinovich de Sysinternals (d\u00e9tails sur cette page<\/a>). Voici un r\u00e9sum\u00e9 de son histoire : un jour, un programme basique de d\u00e9tection de rootkits trouve la pr\u00e9sence de 12 fichiers cach\u00e9s par un rootkit (ainsi que 10 cl\u00e9s de la base de registre).<\/p>\n Le plus gagesque est certainement que le rootkit se contente simplement de cacher au syst\u00e8me les fichier dont le nom commence par \u00ab\u00a0$sys$\u00a0\u00bb. Ceci implique une \u00e9norme faille de s\u00e9curit\u00e9 : comme l’indique un contributeur sur Slashdot, il suffit \u00e0 un petit malin de cr\u00e9er un virus dont les noms de fichiers commencent par \u00ab\u00a0$sys$\u00a0\u00bb pour \u00eatre prot\u00e9g\u00e9 des antivirus par le syst\u00e8me anti-DRM de Sony. D’un autre c\u00f4t\u00e9, pour savoir si le rootkit est install\u00e9 sur votre PC il suffit de renommer un fichier en $sys$ quelque chose (s’il disparait de la liste des fichiers, vous l’avez). Sans compter que personne ne sait exactement ce que fait cette protection. Peut-\u00eatre envoie-t-elle par internet la liste des fichiers musicaux qu’elle trouve sur le PC ? Enfin, sachez que ce rootkit se lance m\u00eame en mode sans \u00e9chec, ce qui signifie que si jamais un jour il se met \u00e0 bugger s\u00e9rieusement votre syst\u00e8me sera irr\u00e9m\u00e9diablement perdu (une r\u00e9installation compl\u00e8te sera n\u00e9cessaire).<\/p>\n Pour Mark, l’aventure s’est finalement bien termin\u00e9e mais il dit qu’il ne mettra plus jamais un seul CD prot\u00e9g\u00e9 contre la copie dans son PC. Des lecteurs lui conseillent de porter plainte contre Sony, d’autres signalent que son article est en violation de la DMCA (la loi am\u00e9ricaine interdisant de contourner un dispositif anti-copie). Pour ma part, j’ai toujours boycott\u00e9 les CD prot\u00e9g\u00e9 contre la copie et je vous invite \u00e0 faire de m\u00eame.<\/p>\n Ce n’est que le d\u00e9but des applications \u00e0 grande \u00e9chelle des rootkits. On peut imaginer dans un futur tr\u00e8s proche que des rootkits permettant d’intercepter les frappes au clavier, des informations personnelles et d’autres choses encore commencent \u00e0 circuler \u00e0 grande \u00e9chelle (c’est d\u00e9j\u00e0 le cas \u00e0 petite \u00e9chelle mais au contraire des virus, les rootkits ne se reproduisent pas… encore). Les utilisateurs que nous sommes sont compl\u00e8tement d\u00e9munis contre ces attaques, surtout quand elles adviennent dans un contexte o\u00f9 l’utilisateur est en situation de confiance vis-\u00e0-vis de l’attaquant (cas du CD Sony-BMG). De son c\u00f4t\u00e9, Microsoft a pr\u00e9venu que toute tentative de patcher le kernel dans Windows Vista – la prochaine version de Windows – se solderait par un plantage imm\u00e9diat du syst\u00e8me. Mais peut-on faire confiance \u00e0 Microsoft, quand on sait que des multinationales (majors de la musique et du cin\u00e9ma) font pression sur eux pour prendre le contr\u00f4le de nos PC ? Et les agences gouvernementales am\u00e9ricaines qui traquent les terroristes, ne font-elles aucune pression non plus ?<\/p>\n Un interview sur les rootkits<\/a> Aujourd’hui je vais demander toute votre attention. Je vais aborder un sujet difficile et assez technique mais qui concerne (malheureusement) tout le monde. En tout cas pour l’instant il concerne surtout les utilisateurs de Windows, mais les autres ne vont pas rigoler bien longtemps. Au moment ou la plupart des utilisateurs de PC comprennent \u00e0 …<\/p>\n![](\"\/blog\/rootkit1.gif\")
<\/center>
\nIl se lance donc dans une enqu\u00eate tr\u00e8s technique qui aboutit, \u00e0 sa grande surprise,\u00e0 la conclusion suivante : le rootkit en question est \u00e9dit\u00e9 par une soci\u00e9t\u00e9 appel\u00e9e \u00ab\u00a0First 4 Internet\u00a0\u00bb qui fabrique des logiciels de DRM, autrement dit de protection des droits num\u00e9riques. Ce logiciel s’\u00e9tait install\u00e9 sur son syst\u00e8me au moment o\u00f9 il avait voulu \u00e9couter le dernier CD qu’il avait achet\u00e9 : \u00ab\u00a0Get Right with the Man\u00a0\u00bb des Van Zant brothers, \u00e9dit\u00e9 par Sony BMG. Ce CD \u00e9tait prot\u00e9g\u00e9 par la copie, mais bien \u00e9videmment nulle part dans les conditions d’utilisation il \u00e9tait indiqu\u00e9 que cette protection incluait un rootkit. Non seulement ce logiciel avait patch\u00e9 le kernel de Windows, mais en plus il lan\u00e7ait un programme qui scannait tous les programmes en cours d’ex\u00e9cution huit fois chacun toutes les deux secondes<\/b>. Autrement dit, ce programme lui bouffait des ressources machine pour \u00e9viter que le gentil consommateur qu’il \u00e9tait ne puisse lancer un programme de copie de CD (m\u00eame une fois le CD audio original retir\u00e9 du PC). Dans son article, Mark indique qu’il \u00e9tait \u00ab\u00a0en rage\u00a0\u00bb. Il s’est donc lanc\u00e9 dans la difficile t\u00e2che de supprimer ce rootkit manuellement, puisqu’aucun d\u00e9sinstalleur n’\u00e9tait fourni… et a fini par compl\u00e8tement perdre l’acc\u00e8s \u00e0 son lecteur CD qui n’apparaissait plus dans le Poste de travail.<\/p>\n
\nrootkit.com<\/a>
\nListe des CD Sony prot\u00e9g\u00e9s par un rootkit<\/a>
\nD\u00e9monstration de la derni\u00e8re version de Hacker Defender<\/a> qui nique tout les d\u00e9tecteurs de rootkits actuels et r\u00e9cup\u00e8re les mots de passe tap\u00e9s au clavier (vid\u00e9o)<\/p>\n","protected":false},"excerpt":{"rendered":"