04 70 96 18 36
contact@axis-solutions.fr
Espace client
title
Logo Axis Solutions entreprise accompagnement technique et développement informatique vichyLogo Axis Solutions entreprise accompagnement technique et développement informatique vichy

Les rootkits : comment protéger votre matériel informatique

Cybersécurité

Face aux rootkits, ces logiciels pernicieux qui trompent votre antivirus pour s’infiltrer dans vos machines, voici nos conseils concrets pour protéger votre matériel informatique professionnel, des mains des hackers.

Les rootkits : qu’est-ce que c’est & pourquoi sont ils si difficiles à détecter ?

Pourquoi les rootkits sont-ils dangereux ?

Un rootkit c’est un logiciel malveillant conçu pour donner aux cybercriminels un accès complet et persistant à vos machines.

Contrairement aux malwares classiques (virus, ransomwares) qui se manifestent de manière visible, les rootkits font justement tout l’inverse. Comme ils cherchent à rester discrets, ils s’installent dans les profondeurs de votre système d’exploitation. Comme par exemple, au niveau du micrologiciel qui fait fonctionner votre matériel (firmware). Ce qui les rend alors invisibles et indétectables aux yeux de votre antivirus, qui n’est pas capable de scanner cette partie là de votre machine (pas conçu pour).

Ils peuvent alors rester cachés pendant de très longue périodes et c’est d’ailleurs ce qui les rend si dangereux pour votre société. Car une fois installés il permettent aux pirates de :

  • dérober vos informations critiques sans laisser de trace : collecte de vos mots de passe, données financières, secrets commerciaux
  • neutraliser vos défenses informatiques : désactivation de vos outils de surveillance et protection informatique, pouvant rendre vos autres équipements également vulnérables
  • contrôler votre matériel à distance : utilisation à votre insu de vos machines (PC, serveur…) pour lancer des attaques sur d’autres cibles, faisant de votre société une complice involontaire
  • modifier de manière irréversible votre système d’exploitation : par exemple en modifiant des processus et empêchant sa restauration dans son état initial

En résumé, les rootkits prennent le contrôle de votre environnement de travail en toute discrétion, le transforme en une arme silencieuse et la retourne contre vous.

Les différents types de rootkits

Parce que tous les rootkits ne présentent pas la même menace pour votre matériel informatique, voici un tour d’horizon des suspects les plus couramment rencontrés.

illustration du type de rootkits "utilisateur ou application" pour mieux comprendre l'attaque et protéger son matériel informatique

Les rootkits utilisateur ou d’application

Ce sont les moins complexes à repérer, car ils ne se cachent trop loin dans votre machine. Généralement ils s’installent au même niveau que les applications que vous utilisez pour travailler (exemple : Excel, Teams, etc…). Ils peuvent donc être détectés par tout antivirus professionnel.

Attention toutefois, ils restent néfastes, car ils peuvent masquer des fichiers, processus ou connexions réseau utilisées par les pirates afin d’avoir accès à votre machine. Ils constituent donc généralement une porte d’entre dans votre infrastructure pour les cybercriminels.

Les rootkits de mémoire

Les rootkits de mémoire eux, visent la mémoire vive (RAM) de votre PC. Ils ont la particularité d’être éphémères et de disparaitre après un redémarrage. C’est pourquoi les hackers les utilisent souvent pour des attaques rapides et furtives, souvent en complément d’un autre malware.

Une fois installés au niveau de la RAM, ils fonctionnent en arrière-plan, exécutant leurs attaques en quelques minutes (exfiltrer des données, installer une backdoor…) et ralentissant au passage les performances de votre ordinateur.

Les rootkits de noyau ou kernel

Ceux-là sont plus problématiques. Car ils s’installent au cœur du système d’exploitation de votre machine (le noyau ou kernel). C’est à dire, dans la partie qui gère l’ensemble des fonctionnalités de votre appareil. Une fois en place, les pirates peuvent alors modifier les fonctionnalités de votre système d’exploitation en y intégrant leur propre code ! Ils ont alors un contrôle total sur les fichiers présents sur votre poste, les actions que vous réalisez, et peuvent aussi désactiver ou contourner tous les mécanismes de sécurité en place. De façon à rendre leur présence encore plus difficile à détecter.

Pour les supprimer, vous n’avez généralement pas d’autre choix que de réinstaller totalement votre système d’exploitation. Car malheureusement les antivirus ne sont souvent pas capable de les détecter. Ceci s’explique typiquement par le fait que nous évoquons au début de cet article : ces rootkits opèrent à un niveau trop profond de la machine qui n’est pas analysé par les antivirus.

Les Bootkits

Ce type de rootkit est un peu particulier puisqu’il infecte le secteur d’amorçage / charge d’amorçage de votre PC.

Concrètement, les bootkits se cachent dans le petit logiciel responsable du démarrage de votre système d’exploitation, lorsque que votre poste s’allume. C’est très malin, car étant donné qu’ils sont activés AVANT le démarrage complet de votre système d’exploitation, cela leur permet de contourner de nombreuses mesures de sécurité et d’assurer leur persistance.

Malheureusement ils sont très résistants… Pour les supprimer, il faut donc souvent réaliser un formatage ou une restauration complète du système d’exploitation de votre appareil.

Les rootkits de firmware

illustration du type de rootkits "firmware" pour mieux comprendre l'attaque et protéger son matériel informatique

Ceux là, se sont les pires ! Car comme nous le disions en début d’article, le firmware est un micrologiciel qui se trouve directement sur la carte mère ou carte réseau de votre appareil. S’il est infecté, le rootkit accède alors à ses « composant racines », tels que le BIOS ou l’UEFI. Ce qui lui permet de lancer ses actions malveillantes (espionnage de vos activités en ligne, surveillance de vos frappes au clavier…) avant que tout autre logiciel interne à votre machine ne soit opérationnel.

Ainsi le rootkit survit même si vous reformatez votre disque dur ou réinstallez entièrement votre système d’exploitation. Dans un cas comme celui-ci, l’intégrité de votre équipement est totalement compromise et nécessite de le remplacer.

Comment protéger son matériel informatique contre les rootkits

Les symptômes d’une infection par un rootkit

Bien évidement, comme le premier objectif d’un rootkit c’est d’être discret, il ne va pas se manifester bruyamment. Cependant il peut laisser des traces malgré lui, qui vous aideront à le repérer :

  • ralentissements & plantages inexpliqués : cela peut signifier qu’un rootkit consomme des ressources système essentielles en arrière-plan et perturbe le fonctionnement de votre machine
  • activité réseau anormale : vous constatez des pics d’activité réseau inhabituels (durant des périodes où les bureaux sont vides par exemple)
  • messages d’erreur & « écrans bleus de la mort » : des messages d’erreur système ou pire, des « écrans bleus de la mort » (BSOD) qui n’ont jamais été vus auparavant peuvent indiquer qu’un conflit a lieu entre le rootkit et votre système d’exploitation
  • mises à jour impossibles : si votre antivirus, votre système d’exploitation et ses pilotes, n’arrivent plus à se mettre à jour c’est potentiellement le signe d’une intervention malveillante au niveau du noyau
  • paramètres modifiés sans votre intervention : votre page d’accueil de navigateur qui change, vos outils de sécurité qui se désactivent, des processus étranges qui apparaissent dans le gestionnaire des tâches montrent que quelque chose a accès à vos paramètres administrateur
illustration des symptômes d'une infection par des rootkits pour mieux protéger son matériel informatique

Même si ces symptômes peuvent être causés par de simples bugs ou des défaillances matérielles, si plusieurs d’entre eux apparaissent simultanément, vous devez envisager l’hypothèse d’un rootkit. Par mesure de protection, nous vous conseillons dans un cas comme celui-ci d’isoler immédiatement la machine concernée avant de nous contacter pour procéder à une analyse spécialisée.

Les mesures préventives contre les rootkits

Nous venons de le voir ensemble, plus un rootkit s’installe profondément dans la partie « matérielle » de votre poste (noyau, firmware…) plus il est difficile à déceler, couteux à supprimer et dangereux pour la confidentialité de vos activités. Alors voici les mesures préventives que vous pouvez appliquer pour vous protéger de ces menaces :

  • gardez toujours votre système d’exploitation à jour : pour bénéficier des derniers correctifs de sécurité qui bloquent les failles dans lesquelles s’infiltrent les rootkits
  • ne négligez jamais les mises à jour du micrologiciel de votre matériel informatique : ces correctifs protègent les composants matériels de votre poste contre les rootkits les plus profonds (rootkits de firmware et bootkits)
  • limitez strictement les droits d’accès de vos équipes aux dossiers et serveurs qui sont essentiels à leur travail : car la majorité des rootkits s’installent en exploitant des droits d’administrateur. Ainsi moins un utilisateur a de droits, moins le rootkit peut se propager
  • si votre matériel le permet (UEFI) activez le « Secure Boot«  : ce processus vérifie que seul le logiciel de démarrage vérifié par le fabricant est exécuté. Ce qui permet de bloquer efficacement les bootkits.
  • utilisez une solution endpoint professionnelle de type EDR/XDR : pour une surveillance comportementale temps réel qui permet d’identifier et de bloquer les rootkits avant qu’ils ne pénètrent dans votre système
  • limitez l’utilisation de périphériques externes (clés USB) : car d’expérience c’est souvent une porte d’entrée pour les rootkits
  • téléchargez vos logiciels et applications uniquement depuis les stores (Google Play, Apple Store…) et sites officiels : car la plupart des rootkits se propagent via le téléchargement de fichier vérolés
  • formez vous et vos équipes à reconnaitre les tentatives de phishing : c’est un vecteur puissant de diffusion des rootkits

Conclusion : protégez votre matériel informatique en amont, contre les rootkits

Vous l’aurez compris, pour contrer les rootkits, mieux vaut donc protéger en amont votre matériel informatique d’entreprise. Désormais vous savez pourquoi et comment ces malwares agissent ! Vous avez donc une longueur d’avance sur les pirates et nous vous conseillons vivement d’en profiter pour adopter une approche proactive en matière de cybersécurité. Par exemple, en contant nos équipes qui mettront en place des solutions EDR/XDR nécessaires pour repousser les rootkits et assurer ainsi la pérennité de votre parc informatique.

Je protège mon matériel professionnel contre les rootkits

Pour compléter votre lecture, découvrez aussi :

illustration article que faire si votre site web a été piraté ?
Que faire si votre site web a été piraté ?

Vous pensez que votre site web a été piraté ? Gardez votre sang froid, nous vous guidons pas à pas Lire la suite

Illustration article Catfishing : vous protéger des imposteurs en ligne
Catfishing : vous protéger des imposteurs en ligne

Les apparences sont souvent trompeuses et c'est encore plus vrai sur Internet. Alors méfiez-vous de ces pirates qui n'hésitent pas Lire la suite

illustration article Les Scarewares : comment vous protéger de ces faux virus ?
Les Scarewares : comment vous protéger de ces faux virus ?

Aujourd'hui on vous présente l'équivalent informatique du costume d'Halloween des hackers : les Scarewares ! Ces faux virus conçus pour Lire la suite

keyboard_arrow_up