Définition : Rootkit

Principe :

Un rootkit s’utilise après une intrusion et l’installation d’une porte dérobée afin de camoufler tous les changements effectués lors de l’intrusion. C’est comme cela que l’on peut préserver l’accès à la machine un maximum de temps. Les rootkits sont ainsi difficilement détectables et seule une analyse forensique approfondie peut en révéler la présence.

Rôle :

La fonction principale du « rootkit » est de camoufler la mise en place d’une ou plusieurs « portes dérobées ». Ces portes dérobées (utilisables en local ou à distance) permettent au pirate de s’introduire à nouveau au cœur de la machine sans pour autant exploiter une nouvelle fois la faille avec laquelle il a pu obtenir l’accès frauduleux initial, qui serait tôt ou tard comblée.

Les « rootkit » opèrent une suite de modifications, notamment au niveau des commandes système, voire du noyau (kernel).

À la différence d’un virus informatique ou un ver de nouvelle génération, un « rootkit » ne se réplique pas.

L’installation d’un « rootkit » nécessite des droits administrateur sur la machine, notamment à cause des modifications profondes du système qu’il engendre. Cela signifie que le pirate doit initialement disposer d’un accès frauduleux, avec les droits du « root » sous Linux par exemple, afin de mettre en place son « rootkit ».

Un « rootkit » ne permet pas en tant que tel de s’introduire de manière frauduleuse sur une machine saine. En revanche, certains « rootkit » permettent la collecte des mots de passe qui transitent par la machine « corrompue ». Ainsi, un « rootkit » peut indirectement donner l’accès à d’autres machines.

Certains « rootkit » sont également livrés avec des collections d’« exploits », ces petits bouts de code dédiés à l’exploitation d’une faille bien déterminée. Le but est d’aider les pirates dans leur conquête de machines encore vierges.

Un «rootkit» a pour but principal la furtivité, il permet par exemple de cacher certains processus, certains fichiers et clefs de registre, etc. Il opère au niveau du noyau (la plupart du temps chargé en tant que driver) et peut donc tromper à sa guise les programmes qui sont exécutés en mode utilisateur (antivirus, firewalls). Le rootkit est souvent couplé à d’autres programmes tel qu’un sniffeur de frappe, de paquets…

Le « rootkit » n’a de raison d’être que si une faille est présente, si les conditions sont réunies pour que son exploitation soit réussie et si elle permet un accès avec les droits administrateur. Donc pas de faille, pas de rootkit.

Le meilleur moyen de se protéger des rootkit est de se prémunir contre les failles.

Les « rootkit » existent depuis plusieurs années. Le projet “Chkrootkit” dédié au développement d’un outil de détection de « rootkit » pour les plateformes Linux, *BSD, Solaris et HP-UX a été démarré en 1997. Le phénomène n’est donc pas nouveau. En 2002, Securityfocus faisait état des avancements en matière de « rootkit » pour les plate-formes Microsoft Windows..

Définition : Analyse Forensique

L’analyse forensique en informatique signifie l’analyse d’un système réseau après incident. Par exemple une analyse forensique peut être effectuée après une attaque de virus, ou plus difficile, après l’intrusion d’un rootkit.

Service Pack 3 de Windows XP (Win XP SP3)

Microsoft a enfin publié le tant attendu Service Pack 3 à destination de Windows XP. “Dernier Service Pack prévu” -reste à confirmé sur le terrain- pour le système d’exploitation de Microsoft vieux de 7 ans, le SP3 intègre la prise en charge du WPA2 pour les réseaux sans fil et la prise en charge du NAP (Network Access Protection).

En outre, ce Service Pack permettra aux utilisateurs d’installer l’ensemble des correctifs / mises à jour sorties jusqu’à aujourd’hui pour Windows XP.

Si tout va bien, le SP3 sera proposé en mise à jour automatique via Windows Update à partir du 10 juin prochain. Les utilisateurs le souhaitant peuvent bien entendu télécharger la version complète à partir des liens suivants :

Windows Service Pack 3 (Win XP SP3) : serveur Microsoft

Windows Service Pack 3 (Win XP SP3) : serveur Clubic.com

Définition : Hoax

Un hoax est une information fausse, périmée ou invérifiable propagée spontanément par les internautes. Les hoax peuvent concerner tout sujet susceptible de déclencher une émotion positive ou négative chez l’utilisateur : alerte virus, disparition d’enfant, promesse de bonheur, pétition, etc. Ils existent avant tout sous forme écrite (courrier électronique, message dans un forum, etc.) et contrairement aux rumeurs hors ligne incitent le plus souvent explicitement l’internaute à faire suivre la nouvelle à tous ses contacts, d’où une rapide réaction en chaîne.

Et pour plus d’information ou pour être à jour contre les derniers Hoax sur le net, vous pouvez consulter le site web : http://www.hoaxkiller.fr

Le SP1 de Vista disponible en téléchargement

Rassurer et convaincre. Tels sont les objectifs de Microsoft avec la publication du premier Service Pack pour Vista, dernier système d’exploitation de la firme de Redmond. Disponible dans cinq langues depuis le centre de téléchargement français de l’éditeur, la rustine de 434,5 Mo, pour la version 32 bits (726,5 pour Vista 64 bits), est censée séduire professionnels et particuliers. En revanche, elle ne devrait être intégrée au service de mise à jour automatique que le mois prochain.

De nombreuses modifications sont contenues dans ce très attendu SP1. Entre autres, la copie de fichiers volumineux devrait être plus rapide, la prise en charge de Direct3D 10 et 10.1 améliorée et la sécurité du système renforcée. Attention toutefois, des utilisateurs mettent en doute l’efficacité de ce SP1, notamment pour la prise en charge de pilotes matériels.

Télécharger le SP1 de Vista

Une mise à jour pour Vista identifie les cracks d’activation

Comme Microsoft l’avait annoncé, il a commencé à envoyer aux utilisateurs de Vista une mise à jour chargée d’identifier les copies non authentiques de l’OS, avant de procéder à la désactivation des cracks lorsque le Service Pack 1 verra le jour.

La semaine dernière, l’éditeur avait informé les utilisateurs de Vista qu’une mise à jour serait lancée de façon imminente via Windows Update afin de détecter la présence de deux cracks très répandus, permettant de contourner les mesures de validation WGA (Windows genuine advantage) de l’OS. Comme nous l’indiquions en décembre dernier, leur principe de fonctionnement repose soit sur la simulation d’un Bios issu d’un OEM (OEM Bios), soit sur la prolongation sans limite de la période de trente jours pendant laquelle Vista doit être validé (Grace Timer).

Si la mise à jour distribuée cette semaine par Microsoft détecte la présence d’un des deux outils, le système en informe aussitôt l’utilisateur, l’invitant à régulariser sa situation, mais ne désactive pas le crack. Cette suppression échoira à Vista, lorsque que l’OS aura reçu le SP1. Notons, pour terminer, que l’update, une fois installée, ne peut être supprimée. Elle n’apparaît en effet pas dans le menu « désinstaller ou modifier un programme » du panneau de configuration.

Microsoft publie la liste des applications bloquées par Vista SP1

Alors que le SP1 de Vista est censé corriger des problèmes d’incompatibilité entre l’OS et plusieurs applications utilisées notamment en milieu professionnel, l’éditeur de Redmond publie une liste de logiciels qui fonctionneront mal, voire pas du tout, avec le Service Pack.

Parmi les applications posant problème figurent une majorité d’outils dédiés à la sécurité. C’est le cas de produits signés BitDefender (AV & Internet Security), Jiangmin (AV), Trend Micro (Internet Security), Zone Alarm (Security Suite) et autres !!! Tous les logiciels de ces éditeurs recensés par Microsoft (voir tableau ci-dessous) refuseront d’être exécutés tant que l’utilisateur n’aura pas appliqué de correctif, généralement déjà disponible, ou installé une version plus récente que celle entrant en conflit avec Vista.

Pour plus de détails

Les mises à jour préparant Vista au SP1 plantent certaines machines

Les mises à jour pour Vista distribuées par Microsoft pour préparer l’OS à recevoir l’imminent SP1 ont eu de fâcheuses conséquences pour de nombreux utilisateurs. Lesquels se sont rués vers les forums de support de l’éditeur pour exposer leurs difficultés.

Dans la plupart des cas reportés, l’installation des mises à jour - diffusées la semaine dernière via Windows Update - bloque sur un message indiquant « Configuration des mises à jour, étape 3 sur 3, 0% terminé» et est suivie par des redémarrages incessants du PC. D’autres utilisateurs expliquent que leur machine refuse de démarrer normalement après l’installation du patch. Et même le recours au mode sans échec ou à un point de restauration antérieur semble infructueux.

La solution proposée par le service support de Microsoft consiste à booter à partir du DVD d’installation de Vista et de choisir l’option de réparation du système. Mais pour les gens qui ont acheté des PC avec l’OS pré-installé que peuvant faire pour sortir de l’impasse …

Une page Web sur 1000 est malveillante selon Google

Google a exploré des milliards de sites Web au cours des dix derniers mois, afin de rechercher les pages malveillantes qui auraient pu attaquer les internautes ayant utilisé le célèbre moteur de recherche. Dans son rapport annuel baptisé « Tous vos iFrames pointent vers nous », Google a identifié trois millions d’adresses Web potentiellement dangereuses, ce qui correspond à près d’une page sur mille. Plus inquiétant, en janvier 2008, 1,3 % des requêtes tapées sur Google aboutissaient à l’un de ces sites malveillants.

La majorité des serveurs de téléchargement malveillants sont situés en Chine (67%). Les autres se trouvent aux Etats-Unis (15%), en Russie (4%), en Malaisie (2,2%) et en Corée (2%). La Chine attire les hackers car l’enregistrement d’un nom de domaine n’y coûte quasiment rien, et les FAI sont en général très lents à réagir pour fermer les pages malveillantes.d

Google termine son rapport en rappelant aux internautes qu’il est essentiel de lancer régulièrement des mises à jour de leur système d’exploitation, de leurs logiciels et évidemment de leur antivirus.

Mozilla corrige trois failles critiques affectant Firefox

Mozilla vient de rendre disponible la version 2.0.0.12 de Firefox. Une sortie attendue avec impatience par les internautes, pressés de voir corrigées plusieurs failles du navigateur, dont trois classées « critiques » par l’éditeur. De fait, la nouvelle version de Firefox corrige dix défaillances, ce qui en fait la mise à jour la plus importante parue depuis juillet 2007.

Alors !  merci de mettre à jour votre navigateur préféré FF.