La montée en puissance des rootkits sur les systèmes sous Windows inquiète de plus en plus de monde. Un éditeur de solutions de sécurité pointe du doigt ce qui semble être le principal coupable…

La firme de sécurité informatique finlandaise F-Secure nomme l'éditeur de logiciels publicitaires ContextPlus comme étant la principale source des rootkits qui inondent le monde de l'informatique. Pour rappel, les rootkits sont des programmes furtifs, le plus souvent destinés à accomplir des tâches peu avouables (espionnage, ouverture de porte dérobées à l'attention des virus et autres vers, etc…), et extrêmement difficile à détecter et éradiquer.



ContextPlus, dont les solutions les plus connues sont les logiciels Apropos et PeopleOnPage, se défend bien entendu vigoureusement contre ces accusations, et une actualité récente montre qu'il existe d'autres acteurs sur ce "segment de marché"…

Pourtant, F-Secure affirme, grâce à son logiciel BlackLight, avoir établi que la technologie de ContextPlus, telle qu'elle est déployée dans le programme Apropos, est bien un rootkit d'une grande complexité, et qu'il participe largement à la collecte illégale d'information pratiquée par Apropos, notamment en ce qui concerne les habitudes de l'utilisateur sur Internet, et la configuration de sa machine. Ces informations sont ensuite transmises aux serveurs de ContextPlus, sans que l'internaute s'en rende compte.

Selon Mikko Hypponen, un des responsables de F-Secure, "(ContextPlus) utilise un rootkit très sophistiqué, qui s'attaque au noyau (du système d'exploitation), ce qui lui permet de dissimuler à l'abri des regards des fichiers, voire des répertoires entiers, mais également des clés de registre et des processus."

En d'autres termes, en ouvrant votre Gestionnaire de Tâches sous Windows, vous pourriez avoir bien plus de processus actifs qu'il ne s'en affiche dans la liste…

Hypponen ajoute que les statistiques publiées par Microsoft quant aux infections liées aux rootkits recoupent celles établies par F-Secure, notamment grâce aux remontées de ses clients qui utilisent BlackLight.

"Dans les neufs mois qui se sont écoulés depuis la sortie de BlackLight", rapporte Hypponen, "nous avons enregistré des chiffres proches de ceux de Microsoft. Il apparaît par exemple que le rootkit FU (F**k You, soit un véhément pied-de-nez aux éditeurs de solutions de sécurité... et aux autres! NdT) s'est propagé sur une large échelle cette année."

Il ajoute que le fait que FU soit un programme open-source, comme nombre d'autres rootkits, a permis à certains éditeurs de logiciels espions d'y englober des pilotes issus d'autres rootkits.

FU est qualifié par F-Secure de rootkit assez basique, mais il permet néanmoins la propagation de vers et de bots (robots), des petits programmes automatisés. FU cache des processus, mais pas de fichiers ni de clés de registre.

"La tendance actuelle des auteurs de vers et de bots", ajoute Hypponen, "est à la dissimulation de processus, afin qu'ils n'apparaissent pas dans le Gestionnaire de Tâches. Cacher des fichiers ne semble pas être leur priorité, puisque la majorité des utilisateurs de Windows ne savent pas ce qui devrait ou ne devrait pas se trouver dans leur dossier 'System 32' de toute façon…"

Microsoft liste FU parmi les cinq principales menaces éradiquées par son Outil de Suppression de Programmes Malicieux, au côté de logiciels comme WinNT/Ispro et Win32/HackDef. A quoi F-Secure ajoute que l'apparition dans ce Top 5 de Win32/HackDef, également connu sous le nom de "Hacker Defender", n'est définitivement pas une bonne nouvelle…

Ce dernier est en effet régulièrement utilisé par les pirates informatiques pour compromettre des serveurs, et si ses attaques sont en nombre plus réduit que celles de FU, elles sont en général beaucoup plus sérieuses.

F-Secure rappelle en outre que le rootkit Apropos modifie le noyau de Windows de manière conséquente, à un niveau très profond; il modifie également la structure et le fonctionnement d'autres applications, directement commandées par le noyau.

L'éditeur finlandais indique aussi avoir détecté chez ContextPlus une nouvelle stratégie de contournement des programmes anti-spyware et anti-virus. Selon Hypponen, "le rootkit n'est pas la méthode la plus avancée employée par ContextPlus. Ils se servent aussi de solutions polymorphes, qui modifient en permanence la forme et l'appellation de leurs programmes espions. A chaque fois que vous téléchargez—involontairement!—le logiciel Apropos, il se présente sous une forme nouvelle. Le serveur de téléchargement génère une nouvelle mouture à chaque envoi, ce qui pose aux éditeurs de solutions de protection un sérieux problème."

ContextPlus garde le silence sur toute l'affaire, sans surprise... La firme est en effet difficile à surveiller: plusieurs noms de domaines sensés lui être associés seraient hébergés en France et en Pologne, mais ils sont enregistrés de façon anonymes, exploitant au passage des failles… dans les législations de ces deux pays!

Eric Howes, un chercheur spécialisé dans la lutte contre les logiciels espions, déclare pourtant: "Je ne serais pas surpris que ContextPlus soit en fait basé aux Etats-Unis, mais ils sont vraiment difficiles à cerner."

Il ajoute: "Jusqu'ici, on associait l'usage des rootkits aux créateurs de programmes malveillants, et ces derniers ne faisaient aucun mystère quant à leurs intentions. F-Secure nous apprend maintenant que le plus gros utilisateur de cette technologie semble être une firme dont le métier est de concevoir des logiciels publicitaires."

Sur son site, ContextPlus se présente, lui, comme un acteur de marketing direct comme les autres…


Source : eWeek