Virus et espiogiciels invisibles : voici les logiciels «fantômes»

Les virus, vers informatiques, chevaux de Troie et logiciels espions peuvent être détectés avec de bons antivirus et anti-espiogiciel maintenus à jour. Cependant, une nouvelle menace, sournoise et indétectable par les antivirus actuels, serait déjà utilisée par des individus malintentionnés: les logiciels «fantômes», appelés rootkits en anglais.

Qu'est-ce qu'un rootkit? Le site SysInternals.com décrit les rootkits, littéralement «trousses-racine», comme «des mécanismes et techniques utilisés par des logiciels malveillants, notamment virus, logiciels espions et chevaux de Troie, afin de tenter de cacher leur présence aux yeux des anti-espiogiciels, antivirus et utilitaires de gestion de système». En général, les «trousses-racine» ne sont pas intrinsèquement nuisibles, mais si un développeur emploie ce type de technologie, il y a fort à parier que son logiciel n'est pas particulièrement bénéfique.

Bref, c'est un peu comme une cape d'invisibilité qui permettrait aux créateurs de virus et autres individus malintentionnés, d'implanter des codes malveillants qui ne peuvent pas être détectés par les logiciels de sécurité informatique conventionnels.

En anglais, on se réfère également à ces «trousses-racine» avec le terme ghostware, littéralement logiciel «fantôme», car ils sont en mesure de cacher leur présence aux yeux de Windows et des logiciels de détection.

Ces «trousses-racine» sont-elles communément utilisées dans les logiciels malveillants? Parmi les programmes qui les emploient, F-Secure cite plusieurs logiciels de surveillance (Win-Spy, PC Spy, Spector Pro, Invisible Keylogger, ActMon et ProBot SE), ainsi que les vers informatiques Maslan.A, B et C, et Berbew/Padodor.W. Pour l'heure, il s'agit donc d'un phénomène encore relativement marginal, mais il est probable que cette technique gagne en popularité auprès des créateurs de logiciels malveillants.

Existe-t-il un moyen de détecter et d'éradiquer ces «trousses-racine»? Oui, des firmes de sécurité informatique ont déjà réagi en publiant des logiciels de détection. C'est notamment le cas de SysInternals.com avec son utilitaire Rootkit Revealer et de F-Secure avec Blacklight. Notez bien que ces logiciels s'adressent aux utilisateurs avancés. La suppression d'éléments nécessaires à Windows, qui pourraient être détectés par erreur comme une «trousse-racine», pourrait endommager le système d'exploitation.

Envoyer à un(e) ami(e) - Version imprimable NOUVEAU!

Texte rédigé par : Jean-Charles Condo
Publié dans BRANCHEZ-VOUS! le 14 mars 2005
Vous voulez réagir à cette actualité? Faites-le maintenant dans notre forum Internet