Les rootkits font couler beaucoup d'encre depuis la débâcle de Sony-BMG  . Désormais, c'est à qui dénoncera l'utilisation de techniques similaires par des éditeurs commerciaux. Symantec et Kaspersky ont déjà fait les frais de cette hystérie collective. Explications.

au sommaire


    Rootkits : la chasse aux sorcières

    Rootkits : la chasse aux sorcières

    Rootkit ou pas rootkit ? La question résonne désormais régulièrement à travers le web. Car depuis l'énorme gaffe de Sony-BMG et son rootkit musical, la mode est à la dénonciation. Pourtant, le rootkit n'est pas tant un code malicieux qu'un ensemble de techniques. L'objectif d'un rootkit est de cacher des fichiers ou des processus sur un système... et c'est tout !

    Généralement, bien entendu, ces fichiers ou ces processus sont, eux, malicieux : il s'agit souvent d'un outil de prise de contrôle à distance ou de logiciels publicitaireslogiciels publicitaires, par exemple. Dans le cas de l'affaire Sony-BMG, il s'agissait d'une solution de contrôle des droits numériques baptisée XCP.

    Dans tous les cas, donc, l'objectif est de rester discret. Les rootkits utilisent pour cela différentes techniques, de la manipulation du noyau afin de détourner les appels systèmes à celle du système de fichiers (les fameux alternate data streams de NTFS sous Windows).

    Des rootkits utiles ?

    Et c'est ici que commence l'hystérie : la chasse est donnée aux applicationsapplications qui utilisent des techniques issues des rootkits pour dissimuler... quelque chose ! Peu importe la destination du contenu dissimulé. C'est ainsi que l'on a découvert que les éditeurs Symantec et Kaspersky utilisaient la technique des alternate data streams de NTFS pour cacher des répertoires aux yeuxyeux de l'utilisateur et du système.

    Dans les deux cas, pourtant, la chose était justifiée : avec SystemWorks, Symantec dissimulait une version "protégée" de la Corbeille de Windows afin de permettre la récupération de fichiers effacés. Il s'agit d'une fonction documentée, bien connue et surtout facilement désactivable par l'utilisateur via l'interface du produit. On peut donc difficilement parler de rootkit !

    Du côté de Kaspersky, l'approche rootkit était utilisée afin de stocker, dans un endroit difficilement accessible, les sommes de contrôles des fichiers déjà analysés. L'objectif était d'accélérer les opérations lors d'une analyse du disque, tout en mettant ces informations sensibles à l'abri d'un code malicieux. Là aussi, bien que la fonction ne soit pas documentée, il est difficile de parler de rootkit. Après tout, pourquoi les éditeurs d'antivirus n'utiliseraient pas eux aussi des techniques efficaces ?

    Risques de détournement

    Si d'un point de vue purement fonctionnel l'utilisation des techniques rootkit se justifiait donc totalement pour Symantec et Kaspersky, les éditeurs ont cependant une responsabilité supplémentaire : s'assurer qu'une fois mises en oeuvre, ces techniques ne puissent être détournées par des pirates à leur avantage. C'est ce qui s'est passé avec le rootkit Sony-BMG lorsque des auteurs de codes malicieux ont profité de l'espace "caché" ainsi créé pour y dissimuler leurs propres parasitesparasites.

    Pour sa part, Symantec a rapidement reconnu que sa Corbeille protégée pouvait effectivement héberger d'autres codes exécutables. Il a alors mis son produit à jour afin que son contenu soit désormais visible dans la corbeille traditionnelle de Windows.

    Kaspersky, de son côté, a affirmé qu'il était impossible de stocker du code exécutable de la sorte, mais a tout de même décidé de supprimer cette fonctionnalité dans la prochaine version de son antivirus. Probablement afin d'éviter tout amalgameamalgame après le désastre Sony-BMG.

    Attaqués à tort ou à raison, gageons en tout cas que la leçon est désormais bien comprise par les éditeurs. Comme l'a indiqué l'administration américaine, s'adressant à Sony-BMG : "C'est votre propriété intellectuelle, mais ce n'est pas votre PC".