Vista +rootkit… vista+rootkit ? Vous me direz que c’est impossible, que Microsoft en fait la propagande, et que le noyau ne peut être modifié comme sous les anciens Windows. Et bien vous avez totalement raison mais il y existe bien des rootkits qui fonctionnent sous vista. Mieux ! Ceux-ci utilisent les dernières technologies sorties et sont encore plus dangereux que les rootkit classiques !

Pour les personnes qui ne savent pas ce qu’est un rootkit, je vous invite à consulter la définition via wikipedia (http://fr.wikipedia.org/wiki/Rootkit ).

Passons au cœur des choses : Ce fameux rootkit est sorti tout droit d’une société de sécurité (qui a pour but de trouvé des failles dans les logiciel et les systèmes d’exploitations), et plus particulièrement d’une chercheuse du nom de « Joanna Rutkowska ». Celle-ci à créer 2 rootkits capables de fonctionné sous vista, blue pill (pilules bleue) et red pill (pilule rouge).  Ils utilisent tout deux la virtualisation (voir les articles précédents) sauf que l’un utilise la technologie software (logiciel) et l’autre la technologie hardware (matériel). Contrairement aux "apparences", blue pill est le plus dangereux, c’est lui qui utilise la technologie hardware pour se dissimulé et dissimulé les fichiers désirés.  Il se place directement entre le système d’exploitation (OS)  et la machine et pour y parvenir utilise les technologies de virtualisation proposé par Intel et AMD dans leurs processeurs récents. Il a par conséquent accès à la totalité des informations qui circule entre la machine et l’OS (à vraie, toute les commande et réponses), rien de lui échappe ! De plus, il est totalement indétectable dans la mesure où il a le contrôle du système d’exploitation, donc aucun anti-virus ; anti-spyware et anti-rootkit ne peuvent le détecté.  Même l’utilisateur aura beaucoup de mal à le détecter car il ne modifie aucun fichier et n’insère aucune clé dans le registre de Windows. Sa vitesse de mise en place sur le PC hôte ne dépasse quelques secondes !

Pour red pill, c’est un peu différent, il est moins dangereux car il utilise la virtualisation logiciel qui est plus facile à détecter. Il ne filtre pas toutes les infos mais seulement celle prioritaire et laisse le reste au système sans le filtrer (si j’ai bien compris, l’article d’origine étant en anglais…).

Voici les 2 schémas de fonctionnement :

Version logiciel:

Version hardware:

Par chance, seule le code source (http://fr.wikipedia.org/wiki/Code_source ) de red pill, codé en C, a  été mis à disposition. Et heureusement, Joanna Rutkowska n’a pas jugée utile de publier celui de blue pill, ce qui fait que cette menace est existante, mais ne circule pas. Vous voilà prévenu et rassuré ! ;-)

Elle tient un blog (en anglais) sur les recherches qu’elle tient : http://theinvisiblethings.blogspot.com/

Sachez que la possession (de façon voulue) d’un rootkit (aussi bien sous forme de code source que d’exécutable) ne représente pas un délit. Rien ne vous empêche, si vous savez programmer en C, de téléchargé le code source pour le comprendre. Par contre, l’utilisation de ce type de programme sur un PC « cible » à son insu est illégale et relève du piratage (300 000€ d’amende et 3 ans de prison). De même, si vous compilez ce programme, il vaut mieux la manié avec précaution car il représente un danger énorme.  D’après moi, il faut WMware et un rajout de code pour que le rootkit soit opérationel, chose à vérifiée.

PS : Cet article est sorti plus vite que prévue pour la simple cause que les retours que j’ais eu sur l’article de Most Wanted sont moyen et le dénonce comme étant trop ciblé.

Correction: Comme me l'a signalé Feid; ce n'est pas le code de red pill qui est diponible, mais bien celui de blue pill (j'ai vérifier), je m'excuse pour l'erreur. Je tiens à garder la forme originale de l'article en y laissant l'erreur tout en précisant sa présence. Merci à Feid pour m'avoir signalé cette erreur :)