Pour prendre le contrôle d'une machine, les pirates se servent désormais de virus de type « rootkits polymorphes », capables de dissimuler leur identité.
Les pirates cherchent toujours à avoir un coup d'avance sur les logiciels de sécurité. Pour échapper à ces derniers, ils appliquent désormais la technique du camouflage. Même s'il n'est pas complètement nouveau - les premiers cas remontent à 2002 -, le procédé s'avère de plus en plus sophistiqué.
La nouvelle arme porte le nom de « rootkit polymorphe ». Derrière cette inquiétante expression se cache deux procédés que l'on peut qualifier de « diaboliques ». D'abord, le rootkit : c'est un programme, ou un ensemble de programmes, permettant à une personne de prendre le contrôle d'un ordinateur et d'y dissimuler ses activités malveillantes (voler des données personnelles, faire du PC une machine à spam...). Pour s'immiscer dans le disque dur, le pirate s'est servi d'un cheval de Troie, par exemple. Le terme « polymorphe » signifie que le rootkit peut prendre une apparence anodine pour ne pas être repéré. Pour cela, le virus peut-être codé (par une technique de chiffrement) ou ne pas porter la signature répertoriée d'un virus. L'objectif est de ne pas être repéré par l'antivirus.
« Terrible menace »
Ces deux propriétés viennent d'être repérées par Symantec et F-Secure. Le rootkit « Backdoor.Rustock.A » est capable de se camoufler à l'intérieur d'un pilote Windows au format SYS, pour échapper à la vigilance des outils de protection. Selon Symantec, Rustock « cache tous les fichiers et les sous-clés de registre qu'il crée ».
Pour Patrick Pailloux, directeur central de la sécurité des systèmes d'information au Secrétariat général de la Défense nationale, « cette technique de furtivité va rendre les attaques de plus en plus invisibles et difficiles à détecter ». Philippe Brandt, chef du Centre opérationnel de la sécurité des systèmes d'information (Cossi) parle lui d'une « terrible menace ».
Terrible, car si le rootkit n'est pas repéré par l'antivirus - situation d'autant plus probable qu'il masque bien son identité -, les dommages peuvent être importants : caché dans les entrailles de la machine, il permet au pirate d'en prendre le contrôle total et peut empêcher l'action d'un antivirus ou d'un autre programme installé. « Les rootkits ne sont en général pas détectés et traités par la quasi-totalité des produits [de sécurité, NDLR] malgré ce qui est annoncé. Pour le moment, la gestion générique des rootkits est à attendre. Il vaut mieux se fier à des outils spécialisés comme RootkitRevealer de SysInternals », indique le lieutenant-colonel Eric Filiol, chef du Laboratoire de virologie et de cryptologie de l'Ecole supérieure et d'application des transmissions à Rennes.
Cela maurait étonné que ces tordus ne trouve pas encore un truc pour em........ les autres.
Et évidement ils sont intouchable a moins qu'ils n'attaque de grandes entreprises ou aux administrations.
Protéger le particulier ça ils s'en foutent ils n'ont qu'a payer des antivirus qui seront bien sur de plus en plus cher.