Intel entame un nouveau projet de recherche visant à détecter les rootkits, comme celui que la protection XCP de certains CD audio de Sony installait discrètement sur les PC des utilisateurs.

L'idée est de surveiller en permanence les changements logiciels effectués sur un PC, pour immédiatement prévenir l'utilisateur de la présence d'un rootkit sur son disque dur. On appelle rootkit un programme, ou une partie de programme, conçu pour accéder en profondeur au système d'exploitation, pour effectuer des changements ou même modifier des règles de fonctionnement, ceci en toute discrétion sans que l'ordinateur ou l'utilisateur ne soient prévenus. Même les pare-feu et les antivirus sont alors impuissants, puisque c'est une sous-couche logicielle système qui est directement touchée.

Chez les experts en sécurité, développeurs d'antivirus et de programmes de protection diverse, les professionnels ont effectivement avoué que le rootkit de Sony les avait pris par surprise plusieurs mois après, alors que des milliers de PC hébergeaient déjà le programme de Sony. Il aura fallu qu'un expert indépendant le détecte pour déclencher l'alarme. Ces développeurs de logiciels de sécurité ont de plus affirmé que leurs logiciels respectifs (antivirus, etc.) nécessitaient alors une grosse mise à jour pour être capables de détecter ce genre de rootkit, dans le cas où ce serait possible.

Intel souhaite donc incorporer cette nouvelle fonction de détection matérielle dans ses produits dès l'année 2008 ou 2009. L'idée des chercheurs est de mettre au point une puce placée directement sur la carte mère, celle-ci pourrait constamment surveiller les changements logiciels dangereux qui permettraient des attaques discrètes et efficaces.

Intel cherche en fait à protéger largement un PC grâce à un élément matériel indépendant. L'objectif de cette puce de surveillance est d'empêcher certains logiciels malins de modifier les processus qui tournent en mémoire. Les vers Slammer et Blaster utilisent par exemple cette méthode, tentant de désactiver certains programmes en mémoire, et d'en modifier d'autres, afin de se propager librement sur les réseaux sans le notifier à l'utilisateur.

La solution est provisoirement baptisée « OS Independent Run-Time System Integrity Services », elle devra détecter en temps réel les changements effectués dans le code des programmes résidents en mémoire, et en informer l'administrateur pour une réponse immédiate. La puce serait séparée du processeur central et de la mémoire, elle devra être capable de détecter tout type de changements, et notamment ceux qu'effectuent les rootkits et autres malwares. Le système pourrait alors se mettre automatiquement en quarantaine sur un réseau local par exemple...

Si Intel ne pense pas pouvoir remplacer les antivirus ou les antispyware, les chercheurs décrivent leur projet comme un sérieux complément à ces protections logicielles. Les vers, virus, et « malinouares » en tout genre s'attaquent souvent directement à l'antivirus résidant en mémoire pour ne pas être détectés, et cette puce hardware pourrait alors renforcer l'intégrité même des logiciels de protections.