Le mode opératoire d’Access 2000 PDF

Un article de Wikipédia, l’le mode opératoire d’Access 2000 PDF libre. Prononciation de rootkit en anglais américain.


Le terme peut désigner la technique de dissimulation ou plus généralement un ensemble particulier d’objets informatiques mettant en œuvre cette technique. Un rootkit peut s’installer dans un autre logiciel, une bibliothèque ou dans le noyau d’un système d’exploitation. Il existe des outils de détection et des méthodes de protection pour les contrer mais elles ne sont pas totalement efficaces. La mise au jour de rootkits passe par leur publication ou se fait grâce aux honeypots, des machines sciemment vulnérables utilisées par les professionnels de la sécurité pour analyser le mode opératoire d’un attaquant. Les résultats obtenus sont régulièrement évoqués lors de conférences sur la sécurité, comme la conférence Black Hat. Mais le terme a perdu ce sens historique et évoque essentiellement des outils à finalité malveillante. Il existe trois manières de contaminer un système, en suivant les techniques habituelles des programmes malveillants.

Cette mise en œuvre peut être le fait d’un virus, mais elle résulte aussi, souvent, de botnets qui réalisent des scans de machines afin d’identifier et d’exploiter les failles utiles à l’attaque. Même s’il n’est pas un virus à proprement parler, un rootkit peut utiliser des techniques virales pour se transmettre, notamment via un cheval de Troie. Un virus peut avoir pour objet de répandre des rootkits sur les machines infectées. Enfin, l’attaque par force brute permet d’accéder au système, en profitant de la faiblesse des mots de passe mis en œuvre par certains utilisateurs. Cette faculté de dissimulation le différencie des virus, qui cherchent principalement à se répandre, bien que ces deux fonctions soient parfois jumelées pour une efficacité supérieure.

Plusieurs méthodes de dissimulation peuvent être combinées. La dissimulation de processus informatiques ou de fichiers permet de cacher l’activité du rootkit. Pour que l’accès à la machine ne soit pas détourné par un autre attaquant, celui-ci peut corriger les failles du système infecté : celles qui lui ont permis de rentrer, voire l’ensemble des failles connues. Un botnet permet d’avoir un accès sur des centaines de machines. API de haut niveau, il recueillait des données confidentielles avant leur chiffrement. Tout périphérique disposant d’un tel type de mémoire est donc potentiellement vulnérable.

Le rootkit s’exécute ainsi directement sur la carte, et donc sans modifier l’OS. L’usage des canaux DMA permet alors de manipuler l’OS. Ce type de rootkit se comporte comme un hyperviseur natif, après s’être installé et avoir modifié la séquence de démarrage, pour être lancé en tant qu’hyperviseur à l’initialisation de la machine infectée. Ils ont pu l’installer sur un système Windows XP et sur un système Linux. Blue Pill est un autre exemple de rootkit utilisant cette technique. Certains rootkits s’implantent dans les couches du noyau du système d’exploitation : soit dans le noyau lui-même, soit dans des objets exécutés avec un niveau de privilèges équivalent à celui du noyau.