Discuter:Rootkit
Un article de Wikipédia, l'encyclopédie libre.
 |
Rootkit fait partie du projet sur la sécurité informatique, qui a pour but d'enrichir le contenu de Wikipédia sur les sujets liés à la sécurité informatique. Si vous voulez participer, vous pouvez modifier cet article ou visiter la page du projet, où vous pourrez vous joindre au projet et consulter la liste des tâches et des objectifs. Le portail sur la sécurité informatique pourrait aussi vous intéresser. |
| B | Cet article a été classé comme d'Avancement B selon le Tableau d'évaluation du projet. |
| Maximum | Cet article a été classé comme d'Importance maximum selon le Tableau d'évaluation du projet. (Contester?) |
 Tâches à accomplir pour Rootkit |
modifier • suivre • rafraîchir • aide | |
|
||
[modifier] Ce qu'est un rootkits
- Un rootkits n'est pas un logiciel malveillant, n'est pas une menace pour la sécurité informatique, c'est une TECHNOLOGIE, Son but est de maintenir un accès root ou administrateur à un système en concervant une furtivité maximale. Un rootkits n'agit pas obligatoirement au niveau du kernel (ring 0) mais peut aussi créer des hook en ring 3 (userland).
[modifier] Sony DRM
Je pense qu'il y un nouveau rootkit à ajouter à la liste : Sony DRM http://www.theinquirer.net/?article=27349 http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html
Ca n'est cependant pas un rootkit au sens propre du terme mais un logiciel non malicieux qui utilise une technique similaire pour cacher sa présence à l'utilisateur.
"L’installation d’un « rootkit » nécessite des droits administrateurs sur la machine, notamment à cause des modification profondes du système qu’il engendre. Cela signifie que le pirate doit initialement disposer d’un accès frauduleux, avec les droits du « root » sous linux par exemple, afin de mettre en place son « rootkit »."
J'ai toujours pensé que c'était le contraire : un rootkit s'installe sous un compte utilisateur et modifie suffisament le système pour s'approprier des droits administrateur. En ce sens, le Rootkit de Sony ne serait pas un véritable Rootkit puisqu'il suffit d'être connecté en simple utilisateur pour empêcher son installation. Et en ce sens, tous les "rootkit" du genre de ce de Sony ne sont pas plus inquiétants que les autres spywares puisqu'il suffirait de ne pas utiliser le compte administrateur (ce que tout le monde devrait faire) pour prévenir leur installation. Or, tout le monde dit que les rootkits sont la prochaine grosse menace, qu'ils sont indétectables, invisibles, etc... Pas plus qu'un bon trojan, finalement ?
Pour l'article en lui-même, je pense qu'il est important de donner une définition "étymologique" (root équivalant sous Unix au compte administrateur sous windows) et j'aurais plutôt commencé par l'histoire des rootkits sous Unix, au lieu de terminer par eux. C'est juste mon avis perso.
- Ca n'est cependant pas un rootkit au sens propre du terme mais un logiciel non malicieux qui utilise une technique similaire pour cacher sa présence à l'utilisateur.
C'est exactement ça un rootkit : un logiciel qui cache sa présence à l'utilisateur. Et puisqu'il fonctionne à l'insu de l'utilisateur, il est bien malicieux (ou alors on m'expliquera ce que signifie malicieux).
- un rootkit s'installe sous un compte utilisateur et modifie suffisament le système pour s'approprier des droits administrateur
Non, ça c'est une élévation de privilèges. Normalement cela ne doit pas être possible, par définition : si un utilisateur peut modifier le "système", c'est qu'il possède de facto des droits équivalents à ceux d'un administrateur (puisqu'il peut les obtenir indirectement), alors qu'il n'est pas censé les avoir. C'est bel et bien une faille de sécurité.
Un rootkit ne pénètre pas dans un système informatique, ni n'élève ses privilèges; par définition, il suppose des privilèges suffisant au départ pour fonctionner. Il sert typiquement après une attaque informatique, quand des privilèges élevé ont été obtenus via une faille de sécurité. Il peut aussi servir à masquer le fait qu'un cheval de Troie devient résidant. En gros il permet la persistance du contrôle frauduleux d'un ordinateur après la prise de contrôle elle-même (par une brèche dans la sécurité).
--Wcorrector (d) 24 novembre 2007 à 03:36 (CET)
