Les derniers recensements de Mc Afee dans le domaine sont clairs, le nombre de rootkit est en pleine explosion depuis la très médiatique affaire du rootkit de Sony. Les experts commencent à sérieusement s'intéresser au sujet, et découvrent depuis un grand nombre de techniques différentes pour la dissimulation de processus.

Derrière ce grand nombre de rootkits, c'est surtout une véritable communauté open source qu'ont trouvée les experts en sécurité de Mc Afee. Le cas du site Rootkit.com est un des exemples les plus représentatifs du domaine. Toute une communauté de 42 000 membres s'y échange des informations quotidiennement, dans les articles ou les forums du site.

Selon Jamie Butler, PDG de la société de sécurité Komoku, le site est une foire au développement open source dans le domaine du rootkit, qui progresse dans les techniques de dissimulation, mais aussi dans les moyens de détection de semblables programmes. Jamie Butler est d'ailleurs l'une des personnes qui a aidé à la création de Rootkit.com.

Exemple récent, un « bot » (robot logiciel) destiné aux réseaux IRC présenté il y a quelques jours sur le site et baptisé Tibbar, utilise une librairie créée par un autre membre de la communauté, Valerino. Cette librairie est en fait un équivalent open source et gratuit des pilotes KSOCKS de chez Open System Research, qui fonctionnent directement au niveau du noyau de Windows.

Ces pilotes KSOCKS commerciaux sont licenciés à un grand nombre de sociétés éditrices de logiciels tels que des pare-feu par exemple. La librairie de Valerino offre les mêmes possibilités aux développeurs open source, qui souhaitent directement titiller le kernel de Windows. Seul l'avenir nous le dira mais l'open source dans le domaine pourrait aussi aider à la détection et la sécurisation des PC face aux rootkits. Jamie Butler, pour sa part, s'effraierait plutôt de sa création...