Qu'est-ce qu'un rootkit ?

Les différents types de rootkits

Les deux principaux types de rootkits sont les rootkits utilisateurs et les rootkits en mode noyau. Les rootkits en mode utilisateurs sont conçus pour fonctionner comme une application sur le système d'exploitation de votre ordinateur. Ils exécutent leur comportement malveillant en piratant les applications s'exécutant sur l'ordinateur ou en remplaçant la mémoire utilisée par l'application. C'est le type de rootkit le plus courant.

Les rootkits en mode noyau s'exécutent au niveau le plus profond du système d'exploitation du PC et confèrent au pirate des privilèges très puissants. Une fois le rootkit en mode noyau installé, le pirate a le contrôle total de l'ordinateur piraté et peut faire ce qu'il souhaite. Ce type de rootkit est généralement plus complexe que les rootkits en mode utilisateur et donc moins courant. Ils sont également plus difficile à détecter et à supprimer.

Comment se retrouve-t-on infecté par un rootkit ?

Les rootkits peuvent être installés de différentes manières, mais le vecteur d'infection le plus courant est l'exploitation d'une vulnérabilité dans le système d'exploitation ou dans une application s'exécutant sur l'ordinateur.

Les pirates ciblent des vulnérabilités connues et inconnues dans le système d'exploitation et les applications et utilisent le code pour obtenir une position privilégiée sur l'ordinateur cible. Ils installent ensuite le rootkit et les composants qui leur permettent d'accéder à distance à l'ordinateur.

Le code d'exploitation des vulnérabilités peut être placé sur un site web légitime qui a été compromis. Les clés USB infectées sont un autre vecteur d'infection. Les pirates peuvent laisser les clés USB avec des rootkits cachés où les victimes peuvent les trouver et récupérer, par exemple dans un immeuble de bureaux, un café ou un centre de conférence. Dans certains cas, le rootkit utilisera des failles de sécurité, mais dans d'autres cas, il s'agira d'une application ou d'un fichier légitime sur une clé USB.

Supprimer un rootkit

Il peut être difficile de détecter la présence du rootkit sur votre ordinateur, car ce type de logiciel malveillant est conçu pour se cacher et effectuer son travail en arrière-plan. Les outils sont conçus pour rechercher des rootkits connus et inconnus en utilisant différentes méthodes telles que l'utilisation de signatures ou une approche comportementale qui tente de détecter les rootkits tout en recherchant un comportement connu. La suppression d'un rootkit est un processus complexe et nécessite généralement des outils spéciaux. Dans certains cas, la victime devra réinstaller le système d'exploitation si l'ordinateur est gravement endommagé.