Intel et la lutte contre les rootkits

Intel travaille sur un projet de technologie apte à  détecter la présence de rootkits sur nos PC. Louable initiative, par les temps qui courent…

A l'occasion d'une réunion informelle, à Folsom, en Californie, Intel a présenté un projet de développement d'une technologie susceptible d'empêcher l'implantation sur nos PC des rootkits, ces logiciels espions si furtifs que les méthodes traditionnelles de recherche et d'éradication des menaces ne parviennent pas à les détecter. Tout le monde a bien sûr en mémoire la déplorable affaire des DRM (Digital Rights Management; protection de la propriété intellectuelle) que Sony a implanté, à l'insu de ses clients, sur leurs ordinateurs, à l'occasion de la lecture de CDs audio, et des risques pour leur sécurité qui en ont découlé…

L'idée d'Intel est dans ce cas de soulager l'utilisateur du souci de déterminer si les données qu'il stocke sur son PC représentent ou non une menace. David Tennenhouse, vice-président d'Intel en charge de la recherche, la décrit ainsi: "nous devons directement connecter l'ordinateur avec les flux de données, de manière à ce que les humains n'aient plus à se charger de cette tâche, et qu'ils puissent se consacrer au rôle plus valorisant de superviseur."

Le projet d'Intel ne se matérialisera pas sur nos PC avant 2008 ou 2009, selon une autre source interne, notamment en raison du fait que plusieurs hypothèses de travail existent. L'une d'elle prévoit par exemple l'implantation d'une puce supplémentaire sur la carte-mère, avec pour tâche de surveiller en permanence les altérations subies par le système, et de s'assurer qu'elles ne résultent pas d'une tentative de piratage.

La généralisation des rootkits, notamment sur des systèmes qui y sont, de par leur conception "transparente", plus sensibles, comme Windows, pose un sérieux problème de sécurité aux utilisateurs, et représente potentiellement pour certains éditeurs de confortables sources de revenus. Cependant, et indépendamment de la menace intrinsèque qu'ils font peser sur nos PC, ces rootkits entrouvrent souvent des portes dérobées dans lesquelles s'engouffrent joyeusement vers, chevaux de Troie et autres virus.

Le projet d'Intel pour lutter contre cette menace multicéphale porte le nom compliqué d'OS Independent Run-Time System Integrity Services (services indépendants de garantie de l'intégrité du système d'exploitation); il se focalise sur les processus réels--certains rootkits parviennent à en dissimuler quelques uns-- tournant en mémoire sur un PC, et détecte les changements qu'ils occasionnent dans les codes sources des applications, ou du système d'exploitation.

Un fonctionnement disparate ou douteux sera d'autant plus facilement détecté que sa recherche sera confiée à une unité de calcul indépendante de la mémoire principale, et donc peu susceptible d'être corrompue à son tour. Les réponses apportées par ce système en cas de détection d'un rootkit ou d'un virus sont variées, et doivent encore être listées par ordre de priorité.

Ainsi, un PC infecté pourrait être automatiquement coupé du réseau auquel il est connecté, afin d'éviter une propagation de la menace.

Intel insiste sur le fait que sa technologie, quand elle verra le jour, ne supplantera pas les protections logicielles et matérielles existantes (pare-feu, anti-virus, etc…), mais les assistera.

Selon les termes employés par un collaborateur d'Intel, il s'agira de "garder le Gardien"…