Les anti-rootkits au banc d’essai Jerome Saiz le 31 mars 2008 à 19h50, dans la rubrique Produits & Technologies Commentaires fermés sur Les anti-rootkits au banc d’essai anti-rootkitsantirootkitsepitech Les élèves de l’école informatique Epitech ont ouvert leur laboratoire à une poignée d’anti-rootkits. Sans être exhaustif ni définitif, leur test montre les limites de ces outils. Bilan : les solutions des grands éditeurs ne sont pas plus efficaces que les autres, et les rootkits demeurent délicats à identifier. Le laboratoire de l’Epitech a pris le parti d’évaluer les anti-rootkits non seulement à l’aune de leur capacité à détecter ces codes malveillants, mais aussi d’alerter l’utilisateur de façon évidente. Car en effet beaucoup de ces solutions exigent encore une démarche d’analyse volontaire de la part de l’utilisateur et livrent des résultats difficilement compréhensibles. Contrairement à l’anti-virus (à base de signatures) capable de déterminer que le système et bel et bien infecté, l’anti-rootkit confronté à un processus ou à des fichiers cachés aura plutôt tendance à répondre un très sibyllin « peut-être bien que oui, peut-être bien que non ». Et ce sera à l’utilisateur de déterminer si les ressources dissimulées relèvent ou non du rootkit. Partants de ce constat, les élèves ingénieurs ont confronté quinze anti-rootkits à six rootkits sélectionnés pour leur représentativité. Leur conclusion n’est guère flatteuse : « On sent les produits imparfaits, perfectibles, et quelquefois défectueux dans leur conception. Actuellement, la plupart de ces logiciels ne peuvent être considérés comme digne de confiance ». Les meilleurs solutions demeurent ainsi les plus délicates à prendre en main. Efficacité ou simplicité, il faudra donc choisir. Autre enseignement de ce test : il est conseillé de s’appuyer sur plusieurs anti-rootkits afin d’avoir une vision au plus juste de l’état du poste de travail. Entre des produits nécessairement complexes pour être efficaces et le besoin d’en combiner plusieurs, le marché des anti-rootkits semble encore bien loin d’être prêt pour le prime-time. Parallèlement, des solutions alternatives, plus fiables, font parler d’elles : le contrôle des serveurs virtualisés depuis l’hyperviseur ou l’analyse du système depuis une carte matérielle. Dans les deux cas, la solution mise en oeuvre consiste à observer le système à l’aide d’un outil situé hors ce dernier. L’approche a plus de sens que celle choisie par les rootkits logiciels testés ici, qui se placent sur un pied d’égalité avec les codes malveillants… et partent donc souvent perdants ! Les résultats Fu Futo Phide RkU démo BadRK démo Unreal AVG AntiRootkit Ok Ok Ok Ok Echec Echec Avira Ok Ok Ok Ok Ok Echec DarkSpy Ok Ok Echec Ok Ok Echec Gmer Ok Ok Ok Ok Ok Ok Helios Lite Ok Ok Ok Ok Echec Echec IceSword Ok Ok Echec Echec Ok Echec McAfee Rootkit Detective Echec Echec Echec Echec Echec Echec Panda Anti-Rootkit (Tucan) Echec Ok Echec Ok Ok Ok Rootkit Buster Ok Ok Echec Echec Ok Echec Rootkit Unhooker Ok Ok Ok Ok Ok Ok Rootkit Uncover Ok Ok Echec Echec Echec Echec Safety Check Ok Ok Ok Ok Ok Ok Seem Ok Ok Ok Echec Echec Echec Sophos Anti-Rootkit Ok Ok Echec Echec Echec Echec SysProt AntiRootkit Ok Ok Ok Ok Ok Echec (source : Epitech. Editeurs, utilisateurs : vous pouvez nous faire part de vos remarques en nous contactant ) Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!