Rootkit

Un rootkit ^Écouter ou simplement « kit » (aussi appelé « outil de dissimulation d'activité »^[1], « maliciel furtif »^[2], « trousse administrateur pirate »^[3]), est un ensemble de techniques mises en œuvre par un ou plusieurs logiciels, dont le but est d'obtenir et de pérenniser un accès (généralement non autorisé) à un ordinateur le plus furtivement possible^[4]^,^{[C 1]}^,^{[L 1]}, à la différence d'autres logiciels malveillants. Le terme peut désigner la technique de dissimulation ou plus généralement un ensemble particulier d'objets informatiques mettant en œuvre cette technique.

Leur furtivité est assurée par plusieurs mécanismes de dissimulation (voir infra) : effacement de traces, masquage de l'activité et des communications, etc. Un rootkit peut s'installer dans un autre logiciel, une bibliothèque ou dans le noyau d'un système d'exploitation. Certains peuvent modifier l'hyperviseur fonctionnant en dessous des systèmes ou le micrologiciel intégré dans un matériel. La plupart des rootkits servent à installer des logiciels malveillants sur les machines où l'accès est obtenu. Certains fournisseurs de matériels informatiques, tel Sony, les utilisent pour s'assurer du respect des conditions d'utilisation de leurs produits par leurs clients. Certains kits ne jouent pas sur la discrétion mais sur le fait qu'enlever le kit serait une opération ardue^{[L 2]}.

Pour l'« attaquant », l'utilité d'un rootkit est soit de mettre à disposition des ressources système (temps processeur, connexions réseaux, etc.) sur une, voire plusieurs machines (voir infra), parfois en utilisant la « cible » comme intermédiaire pour une autre attaque ; soit d'espionner, d'accéder aux données stockées ou en transit sur la machine cible^{[L 2]}.

Ils sont généralement classés parmi les logiciels malveillants, mais pas toujours^{[L 1]} ; ils peuvent utiliser des « techniques virales » pour se transmettre (par exemple, en utilisant un virus ou un cheval de Troie)^[5]. Il existe des outils de détection et des méthodes de protection pour les contrer mais elles ne sont pas totalement efficaces.

↑ « Note d'information du CERTA, Objet : Terminologie d'usage au CERTA », Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques (consulté le 8 mars 2010).
↑ « Termium », Bureau de la traduction du gouvernement du Canada (consulté le 7 mai 2014).
↑ « Grand Dictionnaire terminologique », Office québécois de la langue française (consulté le 7 mai 2014).
↑ (en) « What is rootkit? », WhatIs.com (consulté le 16 mars 2010).
↑ Un rootkit falsifie le noyau du système d'exploitation, mais il n'est pas un vecteur de diffusion. Voir à ce sujet la section Mode opératoire.

Erreur de référence : Des balises <ref> existent pour un groupe nommé « C », mais aucune balise <references group="C"/> correspondante n’a été trouvée
Erreur de référence : Des balises <ref> existent pour un groupe nommé « L », mais aucune balise <references group="L"/> correspondante n’a été trouvée

[1] « Note d'information du CERTA, Objet : Terminologie d'usage au CERTA », Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques (consulté le 8 mars 2010).

[2] « Termium », Bureau de la traduction du gouvernement du Canada (consulté le 7 mai 2014).

[3] « Grand Dictionnaire terminologique », Office québécois de la langue française (consulté le 7 mai 2014).

[whatis-4] (en) « What is rootkit? », WhatIs.com (consulté le 16 mars 2010).

[8] Un rootkit falsifie le noyau du système d'exploitation, mais il n'est pas un vecteur de diffusion. Voir à ce sujet la section Mode opératoire.

[1]

[2]

[3]

[4]

[C 1]

[L 1]

[L 2]

[5]