Les pirates cherchent toujours à avoir un coup d'avance sur les logiciels de sécurité. Pour échapper à ces derniers, ils appliquent désormais la technique du camouflage. Même s'il n'est pas complètement nouveau - les premiers cas remontent à 2002 -, le procédé s'avère de plus en plus sophistiqué.

La nouvelle arme porte le nom de « rootkit polymorphe ». Derrière cette inquiétante expression se cache deux procédés que l'on peut qualifier de « diaboliques ». D'abord, le rootkit : c'est un programme, ou un ensemble de programmes, permettant à une personne de prendre le contrôle d'un ordinateur et d'y dissimuler ses activités malveillantes (voler des données personnelles, faire du PC une machine à spam...). Pour s'immiscer dans le disque dur, le pirate s'est servi d'un cheval de Troie, par exemple. Le terme « polymorphe » signifie que le rootkit peut prendre une apparence anodine pour ne pas être repéré. Pour cela, le virus peut-être codé (par une technique de chiffrement) ou ne pas porter la signature répertoriée d'un virus. L'objectif est de ne pas être repéré par l'antivirus.

Ces deux propriétés viennent d'être repérées par Symantec et F-Secure. Le rootkit « Backdoor.Rustock.A » est capable de se camoufler à l'intérieur d'un pilote Windows au format SYS, pour échapper à la vigilance des outils de protection. Selon Symantec, Rustock « cache tous les fichiers et les sous-clés de registre qu'il crée ».

Pour Patrick Pailloux, directeur central de la sécurité des systèmes d'information au Secrétariat général de la Défense nationale, « cette technique de furtivité va rendre les attaques de plus en plus invisibles et difficiles à détecter ». Philippe Brandt, chef du Centre opérationnel de la sécurité des systèmes d'information (Cossi) parle lui d'une « terrible menace ».

Terrible, car si le rootkit n'est pas repéré par l'antivirus - situation d'autant plus probable qu'il masque bien son identité -, les dommages peuvent être importants : caché dans les entrailles de la machine, il permet au pirate d'en prendre le contrôle total et peut empêcher l'action d'un antivirus ou d'un autre programme installé. « Les rootkits ne sont en général pas détectés et traités par la quasi-totalité des produits [de sécurité, NDLR] malgré ce qui est annoncé. Pour le moment, la gestion générique des rootkits est à attendre. Il vaut mieux se fier à des outils spécialisés comme RootkitRevealer de SysInternals », indique le lieutenant-colonel Eric Filiol, chef du Laboratoire de virologie et de cryptologie de l'Ecole supérieure et d'application des transmissions à Rennes.