Bonjour,
Sur divers forums, et de différents langages, il revient souvent la peur d'être infecté par un rootkit (ou bien un RAT, remote administration tool, ou encore des malwares d’espionnage) ? Nous savons que Linux est très sécurisé au niveau des virus, principalement car ceux qui sont écrits le sont pour pouvoir se propager le plus possible et que Linux ne dispose ni d'une couverture suffisante (environ 5% des ordinateurs de bureau) ni des mêmes vecteurs d'infection (impossibilité d'exécuter du code arbitraire sans l'intervention de l'utilisateur, programmes disponibles via des paquets officiels donc vérifiés, mises à jour rapides, etc). En revanche, il existe le mythe du rootkit, puisque ce terme et ce type de malware provient en premier lieu des machines Unix.
Or, hormis les serveurs, mais il s'agit là d'un autre problème (un système non mis à jour est immédiatement à risque), même sur Linux, et donc sur des distributions de bureau, les infections sont tellement rares qu'elles ne sont quasiment jamais vraiment avérées, voire tout simplement jamais. Il existe des rootkits, que l'on peut trouver par exemple sur Github, et je citerais les plus récents comme Vlany, Azazel ou Jynx2 pour des rootkits userland (par opposition aux rootkits en mode noyau, et ceux que l'on trouve sur Github sont souvent expérimentaux et donc bien moins aboutis. Ces derniers sont le plus souvent de "Proof of Concept" pour la démonstration, sont très dépendants de la version du noyau, et donc rapidement non fonctionnels sur des noyaux plus récents sans réécriture).
Alors, effectivement, il existe aussi des outils d’espionnage gouvernementaux, notamment pour le renseignement. On sait que ça existe mais personne n'en a jamais "capturé" un "vivant", hormis les sociétés d'antivirus dont le job est aussi de scanner ce qu'il se passe à travers le monde en terme d'infection. Ces outils-là ne sont évidemment pas le sujet de ce tutoriel : c'est une autre catégorie et hormis des personnes impliquées de près ou de loin dans des activités douteuses ou stratégiques (qui n'ont besoin d'aucune aide et dont aucune aide ne sera de toute façon utile), on peut partir du principe que ça ne concerne personne.
Alors si ça vous intéresse, je vous propose d'échanger sur les méthodes de détection d'un "extrêmement improbable malware" de ce type et je pourrais faire éventuellement une synthèse ici, dans ce premier post si nécessaire. Qu'en pensez-vous ? Ça permettra de mieux cerner sa réalité, son improbabilité et puis d'avoir une marche à suivre si quelqu'un voudrait à tout prix vérifier qu'il ne soit pas infecté. Les anti-rootkits comme Rkhunter ou Chkrootkit sont effectivement des outils dont l'efficacité est assez douteuse pour ce genre de détection, mais je crois que c'est quelque chose qui a souvent été débattu ici. Ceci dit, rien n'empêche de revenir dessus et de préciser pourquoi. Bref, puisque les rootkits sont un thème récurrent, en plus d'être intéressant, l'idée de ce topic serait de lister et de synthétiser les connaissances autour de ce sujet. Qu'en dites-vous ?
Sur divers forums, et de différents langages, il revient souvent la peur d'être infecté par un rootkit (ou bien un RAT, remote administration tool, ou encore des malwares d’espionnage) ? Nous savons que Linux est très sécurisé au niveau des virus, principalement car ceux qui sont écrits le sont pour pouvoir se propager le plus possible et que Linux ne dispose ni d'une couverture suffisante (environ 5% des ordinateurs de bureau) ni des mêmes vecteurs d'infection (impossibilité d'exécuter du code arbitraire sans l'intervention de l'utilisateur, programmes disponibles via des paquets officiels donc vérifiés, mises à jour rapides, etc). En revanche, il existe le mythe du rootkit, puisque ce terme et ce type de malware provient en premier lieu des machines Unix.
Or, hormis les serveurs, mais il s'agit là d'un autre problème (un système non mis à jour est immédiatement à risque), même sur Linux, et donc sur des distributions de bureau, les infections sont tellement rares qu'elles ne sont quasiment jamais vraiment avérées, voire tout simplement jamais. Il existe des rootkits, que l'on peut trouver par exemple sur Github, et je citerais les plus récents comme Vlany, Azazel ou Jynx2 pour des rootkits userland (par opposition aux rootkits en mode noyau, et ceux que l'on trouve sur Github sont souvent expérimentaux et donc bien moins aboutis. Ces derniers sont le plus souvent de "Proof of Concept" pour la démonstration, sont très dépendants de la version du noyau, et donc rapidement non fonctionnels sur des noyaux plus récents sans réécriture).
Alors, effectivement, il existe aussi des outils d’espionnage gouvernementaux, notamment pour le renseignement. On sait que ça existe mais personne n'en a jamais "capturé" un "vivant", hormis les sociétés d'antivirus dont le job est aussi de scanner ce qu'il se passe à travers le monde en terme d'infection. Ces outils-là ne sont évidemment pas le sujet de ce tutoriel : c'est une autre catégorie et hormis des personnes impliquées de près ou de loin dans des activités douteuses ou stratégiques (qui n'ont besoin d'aucune aide et dont aucune aide ne sera de toute façon utile), on peut partir du principe que ça ne concerne personne.
Alors si ça vous intéresse, je vous propose d'échanger sur les méthodes de détection d'un "extrêmement improbable malware" de ce type et je pourrais faire éventuellement une synthèse ici, dans ce premier post si nécessaire. Qu'en pensez-vous ? Ça permettra de mieux cerner sa réalité, son improbabilité et puis d'avoir une marche à suivre si quelqu'un voudrait à tout prix vérifier qu'il ne soit pas infecté. Les anti-rootkits comme Rkhunter ou Chkrootkit sont effectivement des outils dont l'efficacité est assez douteuse pour ce genre de détection, mais je crois que c'est quelque chose qui a souvent été débattu ici. Ceci dit, rien n'empêche de revenir dessus et de préciser pourquoi. Bref, puisque les rootkits sont un thème récurrent, en plus d'être intéressant, l'idée de ce topic serait de lister et de synthétiser les connaissances autour de ce sujet. Qu'en dites-vous ?
