Ils voient des rootkit invisibles partout

le 02/03/2007, par Marc Olanié, Documentation, 508 mots

Ou donc peut se cacher le rootkit qui ne se voit pas ? Depuis 4 ou 5 jours, le syndrome du code malin furtif par exemple, n'a pas complètement disparu... celui qui vient en voisin de la mémoire, « bonjour Mesdemoiselle, au revoir Madame... ». Tout à commencé par un long cri poussé par Secure Computing : les principaux logiciels antivirus ne verraient, estimait cette entreprise, que du feu lors du passage du dernier Troyen à la mode, le sinistre Mespam. Nos confrères de VNU Net en font un rapide historique et rapportent bien sur les dénégations énergiques des éditeurs visés. Ce n'est donc pas là la menace fantôme Mais voilà que Joanna Rutkowksa refait parler d'elle avec deux communications passionnante, sur le site... Invisible Things. D'une part avec une description de son « rootkit virtuel » baptisé Blue Pill, une horrible infection qui n'est pas liée à une architecture processeur particulière, qui n'est pas dépendante d'un exploit quelconque, qui n'est pas issue d'un « concept » technique précis.. en d'autres termes, qui n'est pratiquement pas détectable. Plus récemment, Rukowksa a publié un second article intitulé « Beyond The CPU: Cheating Hardware Based RAM Forensics ». Elle explique comment il est possible de modifier la lecture directe de l'espace mémoire que peuvent « photographier » certaines cartes spécialisée via les canaux DMA. Le rootkit qui s'y cache n'est peut-être pas véritablement invisible, mais il est alors camouflé. Reste que les développements de Rutkowska demeurent d'un niveau de complexité relativement élevé. La meilleure cachette pour un rootkit serait-elle alors dans la ROM d'une carte graphique, par exemple ? C'est la question que se pose Robert Lemos du Focus. Du virus dans l'espace mémoire ACPI, du Troyen dans la mémoire de trame vidéo, voilà une vieille rengaine que l'on entend depuis les premiers « hoax » du virus caché dans les tampons des modems 300 bauds. Techniquement, c'est possible, expliquent les experts, mais pratiquement, c'est une autre histoire. Tiens donc.... Il n'y a pas si longtemps, ne pouvait-on pas lire une histoire à propos d'une attaque en « drive by pharming » découverte par deux universitaires américains et un chercheur de l'équipe Symantec ? Or, ce genre d'attaque n'est possible que si l'on parvient à atteindre la console d'administration du routeur « cible » Et si l'on parvient à ce stade, on bénéficie également d'un accès au mode « console »... autrement dit à la mémoire du routeur. Le Rootkit furtif peut donc aisément se cacher sur un périphérique, indépendant de la machine visée. Il reste cependant visible à tout NIDS lors de ses déplacements sur le réseau. Non, tout compte fait, c'est encore dans le Focus que l'on trouve la véritable réponse : le rootkit -ou virus- invisible, c'est celui qui est caché par la multitude. C'est ce que l'on appelle le camouflage par foisonnement. En d'autres termes, plus la taille des unités de stockage utilisées par les micro-informatisé augmente et tend à dépasser le Teraoctet, moins il est aisé de retrouver une preuve formelle ou un fichier particulier. A plus forte raison si l'aspect extérieur dudit fichier ressemble à s'y méprendre à un document conventionnel. C'est le principe de « la lettre volée » d'Edgar Poe.

Introduction à la ligne de commande Linux

Voici quelques exercices d'échauffement pour ceux qui commencent à utiliser la ligne de commande Linux. Attention, ça peut devenir addictif ! Si vous démarrez dans Linux ou si vous n'avez simplement jamais...

le 12/02/2020, par Sandra Henry-Stocker, Network World (adaptation Jean Elyan), 724 mots

Un livre indispensable pour tout comprendre sur la virtualisation des...

La recomposition du secteur des télécoms et des réseaux n'est pas un vain mot, chacun connaît l'aspect opérateur avec la vente très médiatisée de SFR, mais côté réseaux tous les acteurs changent également....

le 05/05/2014, par Didier Barathon, 433 mots

Les plus de 50 ans tiennent les rênes des sociétés IT et télécoms en...

La question des successions est souvent agitée dans les télécoms en particulier chez les installateurs et intégrateurs. En fait, le monde de l'IT dans son ensemble est touché comme le prouve l'étude du cabinet...

le 18/09/2013, par Fabrice Alessi, 373 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...