Christophe Devaux et Julien Noir, Sogeti

Christophe Devaux et Julien Noir ont dans un premier temps rappelé la définition d’un rootkits : programme malveillant qui permet à un attaquant d’exécuter des commandes partielles ou totales sur un système après une intrusion. Habituellement les rootkits sont conçus pour les OS. Toutefois, les navigateurs sont devenus de plus en plus complexes et s’apparentent ainsi de plus en plus à des OS, en particulier du fait de l’existence de plug in et des onglets.

Pour concevoir, ces rootkits, il est nécessaire de privilégier le principe de furtivité afin de ne pas être détecté par les anti-malwares.

Les rookits pour Firefox, une menace imparable

La faiblesse de Firefox est son module de chargement qui conserve en mémoire tous les mots de passe et cookies de chargement. Ainsi, il est possible de cacher un rootkits dans les extensions et de rentrer en communication avec l’attaquant. Le pirate informatique pourra grâce à l’extension archivée qui contient des fichiers CCS, Xul, JavScript, binaire…Ces fichiers pourront être modifiés à la volée. Il est aussi possible d’installer des rootkits en générant un fichier XPI ou en utilisant un « infecteur » installé à la main ou encore en utilisant une des failles de Firefox qui sont régulièrement publiées.

Puis, il est possible de cacher l’extension de différentes façons :
En utilisant un fichier CSS dans ce cas une seule ligne de code suffit.
En modifiant ou en supprimant une extension déjà installé à l’aide de 10 lignes de code
En infectant une extension déjà installé.

Le pirate alors utilisera le protocole HTTP(s) afin de passer le pare-feu. Il pourra aussi intégrer une page PHP et la faire exécuter par la cible. Enfin, il lui est possible d’utiliser les voies traditionnelles comme le Webmail, le courriel ou le P2P.

Ainsi, il pourra récupérer les mots de passe, fichiers… et toutes autres données soumises à requête. Il lui sera possible d’installer un keylogger en utilisant JavaScript.

Ce type d’attaque est possible car il utilise un problème de conception de Firefox qui va être difficile à corriger car il n’y a à ce jour aucune possibilité de protéger les extensions…

Et pour IE ce n’est pas mieux

Concernant IE nos experts n’ont pas eu trop de difficulté non plus. Ils ont pour le coup utilisé les onglets. En fait, ils ont créé un onglet en le rendant invisible de l’utilisateur. Ils ont instancié l’onglet sans bien entendu avertir le gestionnaire d’onglet. Ils ont créé un module d’interception. Ainsi, ils ont pu lire et écrire dans le registre, créer des processus. Ils ont mis en place un module de communication en utilisant http. Grâce à cette technique, ils ont envoyé des charges utiles sur le serveur pour intercepter les mots de passe, les fichiers… et toutes données jugées utiles…

Selon nos deux experts, ce type de rootkits peut s’adapter à tous les navigateurs. Concernant, les parades selon eux ils n’y en pas, si ce n’est d’être extrêmement vigilant. Pour IE l’activation du mot de protection pourrait protéger partiellement de telles menaces, de même que le déploiement d’un IDS. Toutefois, les possibilités de contourner ces outils existent…