Qu’est-ce qu’un Rootkit ? Comment s’en protéger efficacement ?

Ne faisant clairement pas partie des logiciels malveillants les plus connus, les Rootkits font en revanche partie des infections les plus dangereuses pour votre sécurité en ligne. On vous explique tout ce qu’il faut savoir sur ces Rootkits.

Qu’est-ce qu’un Rootkit ?

Apparu au milieu des années 1990, le Rootkit est un ensemble de logiciels malveillants utilisés de manière furtive par un pirate informatique afin d’obtenir un accès à long terme à votre ordinateur ou votre mobile (smartphone, tablette). Les hackers peuvent à la fois consulter vos données (mails, mots de passe, comptes bancaires en ligne, etc.), mais également contrôler votre ordinateur (par exemple pour l’utiliser comme point de départ de cyberattaques).

Les Rootkits tiennent leur nom de « root » (en anglais « administrateur », leur objectif) et de « kit » (car il s’agit d’un ensemble de programmes malveillants). Aussi parfois appelé tout simplement « kit », le Rootkit est parfois traduit en français dans les termes suivants : « outil de dissimulation d’activité », « maliciel furtif », « trousse administrateur pirate ». 

Les différents types de Rootkits

Il existe principalement deux types de Rootkits :

  • les Rootkits en mode utilisateur (les plus courants) qui infectent votre ordinateur au niveau de votre compte administrateur ;
  • les Rootkits en mode noyau qui se cachent dans le système d’exploitation, c’est-à-dire à un niveau encore plus profond. Ils sont très difficiles à détecter et à supprimer, mais sont aussi très compliqués à créer pour les pirates informatiques.

Parmi les autres types de Rootkits moins courants, on trouve notamment les Rootkits hybrides (qui s’installent à la fois au niveau de votre compte administrateur et du noyau), les Rootkits de micrologiciels qui s’installent dans un firmware (par exemple le BIOS de Windows), les Rootkits qui infectent le MBR (Master boot record ou zone amorce de disque dur), ainsi que les Rootkits conçus pour infecter les mobiles. 

Quelle différence avec un virus de Rootkit ?

Un « virus de Rootkit » est un virus informatique qui utilise les principes d’un Rootkit, c’est-à-dire qui s’installe en cachette dans un ordinateur et permet au pirate de prendre contrôle du système. En revanche, le virus de Rootkit se démarque d’un Rootkit par sa faculté à infecter les fichiers en les modifiant et en se multipliant, mode d’infection propre aux virus.

Comment les Rootkits fonctionnent-ils ?

Méthode d’infection

Les Rootkits utilisent le plus souvent des failles de sécurité de votre système d’exploitation ou de logiciels présents sur votre ordinateur. Les pirates créent un code capable d’exploiter ces vulnérabilités afin d’obtenir une position privilégiée dans votre système.

Cette infection de votre ordinateur par un Rootkit se fait en deux temps :

  • Le Rootkit est déposé dans votre ordinateur à cause d’une action que vous avez réalisée (navigation sur un site web, branchement d’une clé USB, ouverture d’un logiciel ou d’un quelconque fichier infecté, etc.).
  • Il est ensuite chargé pour être installé à un ou plusieurs niveaux ciblés de votre ordinateur (utilisateur, noyau, etc.) à l’aide d’un code d’exploitation (ou code d’exploit).

Quel anti-rootkit choisir ?

Logiciel malveillant furtif, le Rootkit est forcément très difficile à détecter. Il n’est en général pas décelé par les antivirus de base et continue de contrôler votre ordinateur à distance sans que vous vous en rendiez compte. Pour déceler des Rootkits, il faut se tourner vers des utilitaires spécialisés dits « anti-rootkits », comme celui de Kaspersky.

Kaspersky TDSSKiller, le rootkit remover

Référence mondiale dans la cybersécurité depuis plus de deux décennies, Kaspersky a mis au point un utilitaire capable de trouver les Rootkits déjà répertoriés, mais également des Rootkits nouveaux (en se basant sur des comportements déjà observés chez d’autres Rootkits). Ce rootkit remover, nommé TDSSKiller, est capable de détecter et de supprimer des Rootkits pouvant même être présents au niveau du noyau.

De plus, Kaspersky, qui propose déjà les solutions de protection les plus fiables du marché (Kaspersky Antivirus, Kaspersky Internet Security et Kaspersky Total Security), propose son TDSSKiller gratuitement au téléchargement, dans la rubrique « Outils de désinfection » de son site Internet.