Des malwares se cachent-ils sur votre ordinateur et permettent-ils aux pirates d’y accéder ? Cela pourrait bien être un petit logiciel à peine détectable appelé « rootkit ». Lisez la suite pour découvrir les différents membres de cette famille d’applications bien désagréables, ainsi que pour savoir comment les détecter et les supprimer, sans oublier de conserver votre sécurité en ligne avec Avira Internet Security. Cette solution contient un antimalware fiable qui vous protège contre les rootkits et bien plus encore. Elle aide à corriger les vulnérabilités des logiciels et peut bloquer les dispositifs de suivi de sites web.
Qu’est-ce qu’un rootkit et pourquoi les pirates en sont-ils friands ?
Bienvenue aux agents spéciaux du monde des malwares : les rootkits. Il s’agit d’un groupe clandestin de programmes informatiques conçus pour s’introduire sournoisement dans votre machine et s’y cacher. Ils y « vivent » en toute sécurité, à l’abri des utilisateurs et des processus du système, tout en accordant aux pirates un accès privilégié à l’appareil ciblé. Leur nom est un mélange de deux mots qui résument bien les intentions de ce malware. Dans les systèmes d’exploitation Unix et Linux, le compte administrateur le plus privilégié est appelé « root » (racine), tandis que le terme « kit » désigne les composants logiciels qui permettent un accès non autorisé au niveau administrateur. En d’autres termes, les rootkits sont des outils qui fournissent un accès privilégié au cœur ou à la racine du système.
Une fois que les rootkits se sont installés dans un système, ils ouvrent une porte dérobée virtuelle aux cyber-attaquants qui peuvent alors se connecter à distance pour effectuer un certain nombre d’actions malveillantes. L’objectif du pirate informatique est généralement le suivant : voler des données personnelles ou financières, détruire des fichiers système, installer d’autres types de malwares ou recruter l’ordinateur pour en faire un élément d’une armée de botnets personnelle qui diffuse du spam. Les rootkits peuvent également permettre des attaques par « déni de service » (DoS), par lesquelles la machine ciblée est inondée de requêtes jusqu’à ce qu’elle ne puisse plus exécuter ses fonctions normales. Quant aux attaques par « déni de service distribué » (DDoS), elles sont encore plus importantes, plus audacieuses (et plus destructrices), car plusieurs systèmes s’attaquent à une seule proie. Elles s’apparentent à des attaques DoS, mais sous stéroïdes.
Les cybercriminels peuvent également utiliser des rootkits pour pirater la webcam et le microphone de votre appareil afin d’écouter vos conversations. Ils peuvent également porter atteinte à votre confidentialité d’autres façons, par exemple en lisant vos e-mails, en interceptant le trafic réseau et en espionnant vos frappes au clavier. Certains rootkits peuvent altérer ou même désactiver complètement les systèmes de sécurité informatique, ce qui rend plus difficile la détection de comportements inhabituels et de modifications non autorisées.
Un rootkit est-il un virus ?
Voyons plus large un instant. Les logiciels malveillants ou « malwares » sont un terme générique qui désigne les logiciels conçus pour perturber, endommager ou obtenir un accès non autorisé à un système informatique. Ils peuvent prendre plusieurs formes, celle d’un virus informatique ou d’un spyware ou encore d’un adware ou d’un ransomware. Les rootkits sont clairement des malwares, mais sont-ils des virus ?
Les virus sont un type de malware bien précis qui se reproduisent eux-mêmes en insérant leur code dans d’autres programmes. Les rootkits se reproduisent d’eux-mêmes, ils partagent donc certaines caractéristiques d’un virus, mais ont besoin d’aide pour pénétrer dans un système et ne peuvent pas se propager seuls. Bien que la plupart des rootkits affectent les logiciels et le système d’exploitation (OS), ils peuvent avoir des projets grandioses et infecter le matériel et le microprogramme (le logiciel intégré au matériel pour aider à contrôler sa fonctionnalité) de votre ordinateur. Les rootkits peuvent se trouver sur n’importe quel type d’appareil informatique, des smartphones aux serveurs, alors ne pensez pas que votre machine préférée est à l’abri. Et c’est parce qu’ils sont si bien cachés qu’ils peuvent être incroyablement difficiles à détecter et à éliminer. Nous approfondirons ce sujet un peu plus loin…
Rencontre avec les membres de la famille des rootkits
Les rootkits ne sont pas tous identiques et se classent en fonction de leur mode d’infection, de leur fonctionnement et de leur durée de vie. Voici un rapide tour d’horizon des suspects habituels.
Les rootkits de type bootkit ou bootloader remplacent votre bootloader autorisé (c’est-à-dire le mécanisme qui charge votre système d’exploitation dès que votre ordinateur est allumé) par un bootloader malveillant. Ainsi, le rootkit est activé avant même que le système d’exploitation de votre ordinateur ne soit entièrement chargé !
Les rootkits matériels ou micrologiciels s’installent sur le disque dur, le routeur ou le BIOS du système (le logiciel installé sur une puce mémoire de la carte mère). Au lieu de manipuler votre système d’exploitation comme le font la plupart des malwares, ces rootkits affectent le micrologiciel de l’appareil et installent des malwares qui peuvent se cacher des logiciels antivirus. Les rootkits matériels ou micrologiciels peuvent constituer une menace majeure pour la vie privée et la sécurité en ligne, car ils permettent aux pirates d’enregistrer vos frappes et de surveiller votre activité en ligne.
Les rootkits d’applications remplacent les fichiers légitimes de l’ordinateur par des fichiers rootkits afin de modifier le fonctionnement des applications. Ces rootkits peuvent être injectés dans des programmes que vous utilisez tous les jours, comme Microsoft Office, Paint ou Excel, et chaque fois que vous démarrez le programme infecté, le pirate accède ainsi à votre ordinateur. Ce malware est difficile à détecter car les programmes infectés semblent fonctionner normalement. Un logiciel antivirus fiable comme Avira Free Antivirus (disponible en tant que produit autonome ou en tant qu’élément d’Avira Internet Security) peut généralement identifier ces coupables.
Les rootkits de mémoire s’enfoncent dans les profondeurs de la mémoire vive (RAM) de votre ordinateur, où ils fonctionnent en arrière-plan, exécutant des attaques malveillantes et ralentissant généralement les performances de l’ordinateur. Ces rootkits n’injectent pas de code permanent, ils disparaissent donc généralement dès que vous redémarrez le système.
Les rootkits en mode noyau s’attaquent au cœur même (c’est-à-dire au niveau du noyau) du système informatique, ce qui fait que ce sont les plus sérieux de tous les rootkits. Les pirates s’en servent pour attaquer les fonctionnalités du système d’exploitation en y ajoutant leur propre code. Attention, ils peuvent aussi accéder aux fichiers de votre ordinateur !
Les rootkits virtuels se chargent sous le système d’exploitation d’origine de l’ordinateur et placent ensuite ce système d’exploitation sur une machine virtuelle. C’est précisément parce qu’ils fonctionnent séparément du système d’exploitation de l’ordinateur qu’ils sont si difficiles à détecter. Les machines virtuelles sont également utilisées dans les pratiques informatiques légitimes pour exécuter plusieurs systèmes d’exploitation sur une seule machine ou pour tester des programmes dans un environnement isolé.
Comment les rootkits s’installent-ils sur un appareil ?
Comprendre comment les rootkits accèdent à votre ordinateur peut aider à prévenir l’infection car, comme les chevaux de Troie, ils ont besoin d’aide pour s’installer. Les rootkits permettent un accès et un contrôle cachés, tandis que les chevaux de Troie servent de mécanisme de livraison de la charge utile. Ne jouez pas le rôle du gentil en lui donnant involontairement un coup de main !
Les rootkits constituent une menace mixte, car ils contiennent généralement trois éléments : en plus du malware, les pirates intègrent un terrible duo appelé « dropper et loader ». Le premier est le dropper, qui importe le rootkit sur l’ordinateur de la victime. Le dropper active ensuite le loader qui installe le rootkit sur le système informatique. Pour que son plan insidieux fonctionne, le cybercriminel doit réussir à atteindre les trois parties, et il peut faire appel à plusieurs méthodes.
En faisant du stop avec des logiciels de confiance : un rootkit peut se greffer sur des programmes et des applications légitimes et sera alors téléchargé à partir du portail de téléchargement en même temps que le logiciel que l’utilisateur avait l’intention d’utiliser. (Rappel ! Ne téléchargez des programmes qu’à partir de sources fiables).
En adoptant des techniques d’ingénierie sociale : les escrocs contactent les victimes par le biais d’e-mails à l’apparence légitime, en essayant de les inciter à cliquer sur un lien ou à télécharger un fichier. Grâce à ce phishing et à d’autres types d’ingénierie sociale, les victimes peuvent télécharger un rootkit et d’autres malwares. Les virus et les chevaux de Troie sont des vecteurs populaires de rootkits, et tous deux excellents dans l’art de se faufiler dans les ordinateurs.
En exploitant les vulnérabilités : si le système d’exploitation d’un ordinateur ou tout autre logiciel présente des faiblesses non corrigées et que la dernière mise à jour n’a pas été installée, un pirate informatique peut glisser ses produits à travers la vulnérabilité. (Rappel ! Maintenez tous les programmes à jour en toute sécurité).
En détournant des programmes de messagerie : faites attention, une menace mixte peut détourner des clients de messagerie instantanée et se propager aux contacts de la victime. Ces messages contiennent des liens infectés et le rootkit se déclenche si le destinataire clique sur le lien.
En se cachant dans des fichiers à contenu riche : les pirates peuvent intégrer des rootkits dans des fichiers à contenu riche comme les PDF. Dès que vous ouvrez le fichier, le dropper du rootkit s’exécute automatiquement.
Via des téléchargements automatiques intempestifs : vous naviguez tranquillement sur Internet lorsque vous tombez sur un site web malveillant ou un site légitime dans lequel un code malveillant a été injecté. Même si vous n’interagissez pas du tout avec le site, le simple fait d’y être peut entraîner l’installation de malwares sur votre appareil.
Êtes-vous infecté par un rootkit ? Soyez à l’affût des symptômes les plus courants
Les rootkits étant conçus pour rester cachés, leur détection peut s’avérer délicate, et plus ces invités indésirables restent longtemps, plus les dégâts qu’ils peuvent causer sont importants. Certains sont même capables de désarmer les logiciels de sécurité, ce qui leur permet de mieux couvrir leurs actions et d’aggraver la situation. Voici les signes les plus courants indiquant que votre appareil est peut-être infecté par un malware de type rootkit :
- Écran bleu/noir de la mort
Vous êtes confronté à des messages d’erreur Windows ou à des écrans bleus ou noirs avec du texte blanc ? Votre ordinateur doit constamment redémarrer ?
- Ralentissement des performances du système
Votre appareil se bloque soudainement ou tombe en panne plus souvent que d’habitude ? Le système fonctionne plus lentement et le processeur est bien plus sollicité ? Vous pouvez également remarquer un trafic réseau inhabituel derrière vos opérations habituelles.
- Changements dans les paramètres et les autorisations du système
Votre logiciel antivirus a été désactivé ou a cessé de fonctionner, alors que vous savez que vous n’y avez pas touché ? Vous avez peut-être remarqué d’autres changements dans les paramètres de votre système, comme un économiseur d’écran différent, une barre des tâches masquée, des éléments épinglés déplacés ou l’affichage d’une date et d’une heure différentes.
- Les pages web fonctionnent lentement et de manière imprévisible
La navigation en ligne est-elle devenue frustrante par sa lenteur ? Un trafic réseau excessif en coulisses pourrait être à l’origine de cette situation. Faites également attention aux redirections soudaines du navigateur et aux signets que vous ne reconnaissez pas.
Si vous avez répondu « oui » à plusieurs de ces questions, il se peut que votre ordinateur soit en effet sous l’emprise d’un rootkit ou d’un autre malware. Passez à la section suivante pour agir rapidement et commencer à réparer les dommages causés à votre système informatique.
Il est temps d’agir : marche à suivre pour contribuer à la détection, à la suppression et à la prévention d’un rootkit
Suivez notre plan d’action en 5 étapes pour vous aider à prendre un nouveau départ sans rootkit : avec un peu de chance, sans passer à l’étape 6 !
ÉTAPE 1 : Redémarrez votre ordinateur et passez en mode sans échec. Cela peut empêcher le rootkit de se charger lorsque votre appareil démarre, ce qui facilite sa suppression. La manière d’accéder au mode sans échec dépend de votre système d’exploitation. Pour Windows 11, cliquez sur le menu Démarrer de Windows > Alimentation > Redémarrer (tout en maintenant la touche Majuscule enfoncée).
ÉTAPE 2 : Effectuez une analyse approfondie du système à l’aide d’un logiciel de sécurité en ligne spécialisé et réputé. Assurez-vous que tous vos outils de sécurité en ligne sont à jour afin de maximiser vos chances de détecter les dernières menaces ! Il convient également de rappeler que les rootkits peuvent échapper à la protection de base fournie avec votre machine. Il est donc recommandé de mettre en place une sécurité multicouche par l’intermédiaire de spécialistes de la sécurité en ligne. Si vous utilisez Avira Antivirus Pro, inclus avec Avira Internet Security, vous pouvez lancer une analyse intelligente rapide ou une analyse antivirus complète. L’analyse approfondie est recommandée pour éliminer les rootkits coriaces. Elle analyse également le système Windows, les processus actifs, ainsi que les lecteurs locaux et amovibles.
ÉTAPE 3 : Supprimez correctement les menaces identifiées. Suivez toujours les instructions fournies pour supprimer ou mettre en quarantaine tout processus ou fichier lié à un rootkit, et vérifiez à nouveau que vous supprimez les bons ! La suppression de fichiers système aléatoires peut entraîner un dysfonctionnement de l’ordinateur. Avira Antivirus Pro déplace les fichiers suspectés d’être malveillants vers un espace sécurisé isolé sur votre ordinateur. Suivez ces instructions pour connaître la marche à suivre pour restaurer ou supprimer des fichiers en quarantaine avec Avira.
ÉTAPE 4 : Il y a des dégâts ? Réparez maintenant les fichiers système. Il ne s’agit pas seulement d’atomiser le truand. Il faut protéger le bon. Les rootkits peuvent modifier les configurations et les fichiers du système, qui doivent donc être réparés ou modifiés.
ÉTAPE 5 : Surveillez le comportement du système et effectuez la maintenance. Soyez attentif à tout signe de réinfection, tel que des problèmes de performance et de navigation sur le web, et lancez des analyses régulières à l’aide de votre logiciel de sécurité en ligne fiable et à jour.
ÉTAPE 6 : En dernier recours : réinitialisez l’appareil et réinstallez le système d’exploitation. Si toutes les mesures ci-dessus ont échoué et que votre rootkit est fermement implanté à plusieurs niveaux, essayez de sauvegarder vos données, de réinitialiser votre ordinateur et d’effectuer une nouvelle installation propre. Tout d’abord, consultez ce guide pour formater votre disque dur.
Un mariage au paradis du cyber : des habitudes de sécurité en ligne + une technologie fiable
Mieux vaut vraiment prévenir que guérir (et c’est plus facile) lorsqu’il s’agit de se protéger des escroqueries en ligne, des rootkits et autres malwares. Voici un petit rappel avant de retourner dans la jungle numérique :
- Utilisez un antivirus fiable provenant de spécialistes de la sécurité en ligne.
- Maintenez tous les systèmes à jour, y compris le système d’exploitation et toutes les applications, afin qu’ils soient plus susceptibles d’être patchés en toute sécurité et exempts de failles connues des cybercriminels. N’oubliez pas non plus de mettre à jour votre navigateur Internet, car les versions les plus récentes intègrent une protection contre les sites web frauduleux.
- Sachez reconnaître les e-mails de phishing. Vérifiez bien l’identité de l’expéditeur en survolant son adresse et n’envoyez jamais d’informations confidentielles par e-mail ou ne cliquez pas sur des liens aléatoires. En cas de doute, contactez directement l’institution ou l’entreprise qui vous écrit pour vérifier l’authenticité de la communication.
- N’ouvrez que les pièces jointes provenant de sources fiables. Les individus malintentionnés diffusent des rootkits et d’autres malwares en dissimulant des virus et des chevaux de Troie dans des pièces jointes.
- Ne vous engagez qu’avec des sites web réputés que vous connaissez et en qui vous avez confiance, et n’effectuez jamais d’achats sur un site ne comportant pas le symbole du cadenas HTTPS. Si une offre semble trop belle pour être vraie, vous êtes probablement victime d’une escroquerie ; le site web pourrait même être truffé de malwares.
- Utilisez des mots de passe forts et uniques, stockez-les et gérez-les de manière plus sûre à l’aide d’un gestionnaire de mots de passe. Si possible, mettez en place une authentification multifactorielle.
Le panthéon des rootkits : quatre exemples tristement célèbres
Les rootkits peuvent représenter une menace sérieuse et multiforme. Voici quelques exemples tristement célèbres qui illustrent la puissance et la portée de ces menaces numériques :
Déjà en 2006, le rootkit Rustock avait créé l’un des plus grands botnets pour l’envoi de spam. Les estimations varient mais suggèrent que le botnet a recruté entre 150 000 et 2,4 millions de machines infectées et qu’il a envoyé en moyenne 192 messages de spam par machine compromise et par minute.
En 2010, le rootkit Stuxnet a causé des dommages considérables au programme nucléaire iranien. Il est considéré comme un acte de cyberguerre.
En 2011, le rootkit Alureon/TDL-4 a volé des données et compromis des systèmes de sécurité. Il a infecté 1,5 million d’ordinateurs aux États-Unis.
En 2012, Flame est apparu et s’est révélé un outil de collecte d’informations très efficace pour le cyberespionnage, en particulier au Moyen-Orient. Il peut affecter l’ensemble du système d’exploitation d’une machine, ce qui permet aux pirates de surveiller le trafic, d’enregistrer les frappes au clavier et de faire des captures d’écran.
La sécurité en ligne comporte plusieurs niveaux : une protection efficace va au-delà de l’antivirus
Ne soyez pas victime de rootkits et d’autres logiciels malwares. Avira Internet Security combine plusieurs produits premium Avira en une seule solution puissante pour une protection renforcée de l’identité et de l’ordinateur. Rencontrez votre équipe dédiée à la sécurité : Avira Antivirus aide à bloquer les menaces en ligne les plus récentes, tandis que le gestionnaire de mises à jour identifie et installe les dernières mises à jour. Utilisez Password Manager pour générer et stocker en toute sécurité des mots de passe complexes pour tous vos comptes en ligne. Il vous avertit également si vos données ont été exposées dans le cadre d’une faille de sécurité. Et vous aurez moins de soucis à vous faire au sujet des sites web infectés grâce à Avira Browser Safety, un outil qui aide à empêcher le chargement des sites web infectés.
