DonneMoiLinfo
Auteur : epitech Créé le : 27.03.2008 Mis à jour le : 31.03.2010 Partager

L’Epitech a réalisé un test sur une douzaine d’anti-rootkit disponibles et annonce aujourd’hui ses résultats. Le résultat de cette analyse sont mitigés et les produits des plus grandes sociétés ne sont pas ceux qui s'en sortent le mieux. Les meilleures détections sont attribués à SafetyCheck et GMER, ainsi qu’à l’excellent Rootkit Unhooker.


Méthodologie mise en oeuvre

Lors de l’évaluation d’outils de sécurité, il a été impératif de disposer d’un environnement de travail homogène. Il s’agissait donc de comparer des éléments, de hiérarchiser des critères, pour finalement, poser les attributs qui feront le mérite (ou le discrédit) des différents produits testés. Dans le domaine de la sécurité informatique, chaque test nécessite aussi un environnement de travail réinitialisé, c’est-à-dire que le présupposé de chaque test est la validation d’une machine « saine », en même temps que l’unification de l’ensemble du parc.

Il serait absurde et partial d’évaluer les critères de détection d’un anti-rootkit sachant que l’environnement est lui-même déjà compromis. Les tests ont été réalisés en compromettant des machines Windows, par l’exécution des rootkits Fu, Futo, Phide, RkU (1.2), BadRK (démo), et Unreal. Cette liste peut paraître mince, elle est surtout significative. Les menaces présentées ici forment une gradation, une difficulté toujours croissante dans la détection.

Par ailleurs, parmi tous les anti-rootkits collectés, nous avons choisi de retirer de la liste de test les outils qui ne sont plus maintenus, ou qui ne correspondent plus aux critères de détection actuels des technologies de furtivité. Aussi, nous avons choisi d’étendre le test au delà des anti-rootkits « classiques ». En plus des outils de détection des grandes firmes (Symantec, FSecure, Sophos, etc.), nous avons décidé d’évaluer des outils moins connus, moins maniables, et nécessitant quelquefois des connaissances techniques assez pointues.


Clés pour l’analyse des résultats

Pour ce test, nous avons pris le parti d’utilisateurs peu confirmés, ne souhaitant - ou n’ayant pas la possibilité - de se plonger dans les arcanes du système et de ses structures internes. Les produits des grandes sociétés vont dans ce sens. En cela, ils n’indiquent à l’utilisateur aucun détail technique, mais essayent d’affirmer simplement quand le système est « rootkité ». Toutefois, cette méthode a ses limites. Plutôt qu’une analyse pragmatique et inconditionnelle, nous avons opté pour une analyse des résultats subjective, qui se base sur la capacité du logiciel à mettre en alerte l’utilisateur.

De façon simple, un anti-rootkit prévenant l’utilisateur d’une menace, ou mettant en exergue un problème, une anomalie, est considéré ici comme ayant réussi la détection. Dans le domaine des rootkits, plus encore que dans celui des virus, l’identification des menaces est un problème très complexe, que l’on ne saura peut-être jamais résoudre en totalité. D'ailleurs, en 2010, certains ordinateurs infectés par divers rootkits nécessitent le formatage du disque dur pour être complétement effacé.

Dès lors, nous pensons qu’un logiciel, s’il parvient à amener l’attention de l’utilisateur à se concentrer sur une menace précise, est un logiciel fiable. En tout cas plus fiable qu’un anti-rootkit ne se manifestant que lorsqu’il est absolument certain de la présence d’une menace.

Cette situation - de par la nature intrusive et furtive - des rootkits, induit l’utilisateur en erreur, et laisse la machine en l’état, infectée.

comparatif anti-rootkit


Critique des résultats

Ce test est surprenant à plusieurs égards. D’une part, on constate que des menaces facilement détectables posent encore problème à certains anti-rootkits. Comme pour les virus, une simple modification des patterns recherchés par l’outil le laisse complètement à l’écart, affirmant que la machine est saine.

Les anti-rootkits qui ne procèdent qu’à une analyse sont d’office, voués à l’échec. Il est absurde de détecter un rootkit comme on le fait d’un virus. Déjà, dans ce domaine, cela a posé de nombreux problèmes, et a rapidement atteint ses limites. Ce qui a donné naissance aux heuristiques, l’analyse d’un comportement suspicieux avec des niveaux selon lesquels alerter l’utilisateur. Les auteurs de ces codes rivalisent d’ingéniosité et la menace devient de plus en plus présente sur la toile. Vouloir leur barrer la route avec des méthodes de détection classique, peu en accord avec les principes mêmes des technologies de furtivité, relève plus d’un impératif et d’une rapidité commerciale que d’une véritable recherche.

Les produits des grandes sociétés ne se révèlent pas des plus efficaces. Malgré tout, certains arrivent à se trouver une place, comme AVG anti-rootkit, SysProt, Sophos Anti-Rootkit, ou encore le moteur Tucan. Ces produits trouvent les processus cachés, et même s’ils ne décèlent pas l’ensemble des codes furtifs, ils peuvent donner quelques indices. Nous pensons que ces produits peuvent (et devraient) servir de base à une analyse plus fine. Il est impératif de ne pas se conformer aux dires d’un seul de ces outils de protection.

Les meilleurs taux de détection vont à SafetyCheck et Sysprot anti-rootkit, ainsi qu’à l’excellent Rootkit Unhooker. Ce logiciel est idéal à coupler avec un autre produit, puisque - de façon très technique il est vrai - il pointe la plupart des crochetages, et met l’accent sur nombre d’intrusions.

Même pour des utilisateurs confirmés, la prise en main de Rootkit Unhooker est difficile, mais il s’agit là d’un outil efficace, qui est un très bon renfort dans la chaîne de sécurité. Il peut surtout corroborer ou infirmer les résultats d’un outil tiers, plus facile à prendre en main, mais aussi moins efficace.


Conclusion

Comme souvent en matière de sécurité informatique, et plus particulièrement des codes viraux, les sociétés éditrices les plus connues n’ont pas su prendre en compte le problème dans sa globalité. L’échec relatif de beaucoup d’anti-rootkits rappelle la situation des virus et des vers il y a quelques années.

On sent les produits imparfaits, perfectibles, et quelquefois défectueux dans leur conception. Actuellement, la plupart de ces logiciels ne peuvent être considérés comme digne de confiance. Pour plus de fiabilité, il faut encore se tourner vers des outils dont la prise en main est ardue, se confronter à des éléments techniques peu accessibles, et dont les équipes de développement - toutes indépendantes - n’ont pas la capacité d’entretenir un quelconque support utilisateur. Pourtant, il faut considérer ces logiciels comme absolument nécessaires. Ils restent actuellement les seuls produits valables.

Là où les produits développés de façon indépendante se sont heurtés à une quasi impossibilité en termes de réponses aux besoins (obtenir la signature virale des malwares en circulation), il faut maintenant penser que ce modèle de recherche dichotomique est obsolète. Les ressources nécessaires sont moindres, et dans le même temps beaucoup plus techniques.

A l’avenir, il faut peut-être prévoir l’expansion de ces outils, dont la course va de pair avec celle des rootkits. Il faut satisfaire l’utilisateur et non pas le bercer d’une illusion de sécurité, en promettant de détecter toutes les menaces possibles et imaginables.



^ haut de page - Dernière modification de cette page le Wednesday 18 February 2015 à 18:13

Respectez le droit d'auteur ne recopiez pas textes et images sur vos sites voir nos mentions légales ci-dessous.

Nous contacter - Mentions légales - Politique de confidentialité