Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Français
Entry № 1062

Rootkit

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que Rootkit ?

RootkitLogiciel malveillant furtif qui octroie et masque un accès privilégié à un système d'exploitation ou à un appareil, en échappant aux outils de détection standard.

Un rootkit est un ensemble d'outils ou de composants noyau/firmware qui offrent à un attaquant un accès privilégié et persistant tout en dissimulant fichiers, processus, clés de registre, pilotes et connexions réseau aux défenseurs. Les rootkits opèrent à différents niveaux (rings) : mode utilisateur (hooking d'API), mode noyau (modification du kernel ou de la table des appels système), bootkit (subversion du chargeur de démarrage) et firmware (UEFI/BIOS), un placement plus profond signifiant davantage de furtivité et de capacité de survie.

Trois jalons illustrent cette escalade. En 2005, le scandale de la protection anti-copie Sony BMG XCP a exposé des millions de PC grand public lorsque le logiciel du CD installait silencieusement un rootkit qui masquait tout fichier commençant par $sys$. En 2018, ESET a documenté LoJax, le premier rootkit UEFI découvert dans la nature — attribué au groupe Sednit/APT28 lié à la Russie — qui réécrivait la mémoire flash SPI pour survivre aux réinstallations du système d'exploitation et aux changements de disque. En 2023, BlackLotus est devenu le premier bootkit UEFI à contourner Secure Boot sur un Windows 11 entièrement à jour, en abusant de CVE-2022-21894 (« Baton Drop ») pour désactiver BitLocker, HVCI et Defender ; il se vendait sur les forums autour de 5 000 dollars.

La détection nécessite l'analyse forensique de la mémoire, des vérifications d'intégrité/d'attestation et des scans hors ligne, car un système d'exploitation infecté en cours d'exécution ne peut être considéré comme fiable pour rendre compte de lui-même. Les atténuations incluent UEFI Secure Boot avec des listes de révocation à jour (DBX), l'application stricte des pilotes signés, le démarrage mesuré fondé sur le TPM et la réduction des logiciels en mode noyau.

flowchart TB
  subgraph Profondeur de furtivite
    U[Rootkit en mode utilisateur - hooking d'API] --> K[Mode noyau - modification des appels systeme]
    K --> B[Bootkit - subversion du chargeur de demarrage]
    B --> F[Firmware UEFI - persistance en flash SPI]
  end
  F --> P[Survit a la reinstallation de l'OS et au changement de disque]

Exemples

  1. 01

    TDL/TDSS, famille de rootkit en mode noyau persistante ciblant Windows.

  2. 02

    ZeroAccess, employé pour dissimuler des charges de fraude au clic et de minage de Bitcoin.

Questions fréquentes

Qu'est-ce que Rootkit ?

Logiciel malveillant furtif qui octroie et masque un accès privilégié à un système d'exploitation ou à un appareil, en échappant aux outils de détection standard. Cette notion relève de la catégorie Logiciels malveillants en cybersécurité.

Que signifie Rootkit ?

Logiciel malveillant furtif qui octroie et masque un accès privilégié à un système d'exploitation ou à un appareil, en échappant aux outils de détection standard.

Comment se défendre contre Rootkit ?

Les défenses contre Rootkit combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de Rootkit ?

Noms alternatifs courants : Kit furtif, Malware niveau root.

Termes liés

Voir aussi