Jean-Louis Lanet, Inria : « si le ransomware parfait existait… »
WannaCry ? Un ransomware de facture classique, dont le comportement traduit la nature, selon Jean-Louis Lanet, chercheur spécialisé dans l’étude des virus. Qui redoute par contre l’arrivée de malwares de chiffrement bien plus pernicieux…
A la tête du LHS de Rennes, un laboratoire de haute sécurité porté par l’Inria, Supelec, la DGA (Direction générale de l’armement) et la région Bretagne, Jean-Louis Lanet, un ancien de Gemalto, est un spécialiste de virologie informatique, et en particulier des ransomwares. Pour Silicon.fr, ce chercheur également membre de l’équipe Tamis de l’Inria (qui développe des techniques d’attaque et de défense) revient sur la crise WannaCry et le potentiel destructeur des ransomwares… futurs.
Silicon.fr : Il y a quelques semaines, le ransomware WannaCry faisait la Une de la presse mondiale. Pourtant, vous affirmez que cette menace ne présentait pas de caractère innovant…
Jean-Louis Lanet : WannaCry est un ransomware de facture classique hormis son mode de distribution, exploitant des failles précédemment divulguées et patchées. Ce qui est un peu original, mais sans plus. Pour le reste, ce malware ne présente aucune caractéristique extraordinaire. Comme la totalité des ransomwares, WannaCry commence par parcourir les fichiers des systèmes qu’il infecte. Par ailleurs, comme les autres, il stocke la clef de chiffrement AES à la fin des fichiers cryptés. Enfin, classiquement, il embarque une demande de rançon, stockée en clair. Si la première étape de scan des fichiers échappe généralement aux antivirus, tous les outils de qualité doivent détecter la phase de chiffrement, via le calcul de l’entropie de Shannon. Tous les systèmes de détection traquent également les notes de rançon.
Silicon.fr : Autrement dit, l’attaque aurait pu être bien pire, avec un malware conçu différemment… A quoi ressemblerez ce ‘ransomware parfait’ ?
J.-L.L. : C’est éthiquement difficile d’en parler en détails, car cela donnerait des indications aux assaillants. Disons simplement que si un ransomware commence à prendre son temps pour effectuer les opérations qu’il doit mener à bien, détecter ce type de malware va devenir très difficile. Si une souche infectieuse alterne, par exemple, chiffrement d’un premier fichier et scan d’un second, si elle parcourt non plus le système de fichiers d’un bloc – ce qui est une signature très claire pour un outil de détection -, si elle utilise non plus l’API de chiffrement de Microsoft, comme c’est le cas de la quasi-totalité des ransomwares, mais son propre chiffrement, alors la détection devient plus complexe. Et on parle là de modifications assez simples à mettre en œuvre. C’est pour cela que cette menace doit être prise très au sérieux. Si un ransomware commence à s’inscrire dans une fenêtre temporelle plus grande, on ne sait pas aujourd’hui comment le détecter.
Au sein de nos équipes de recherche, nous sommes en train de concevoir notre propre ‘ransomware parfait’ et nous allons le tester contre notre solution de détection des ransomwares, appelée DAD (Data Aware Defence) et contre les antivirus du commerce. L’objectif est d’améliorer notre solution pour parvenir, demain, à détecter ces menaces, comme nous sommes en mesure de le faire actuellement avec les ransomwares classiques.
Silicon.fr : Microsoft assure avoir musclé la défense de Windows contre les ransomwares, ce qui expliquerait la capacité de Windows 10 à résister à WannaCry. Qu’en pensez-vous ?
J.-L.L. : Si elles n’offrent pas forcément une couverture à 100 % contre les menaces actuelles, ces améliorations vont dans la bonne direction. Je pense en particulier à la détection des accès et commandes suspectes comme PowerShell. On peut donc supposer que cela se traduise par une surveillance de l’usage des librairies et API de Windows, comme celle sur laquelle s’appuient les ransomwares pour chiffrer les fichiers.
Silicon.fr : On pense souvent aux ransomwares comme à des armes utilisées par le cybercrime… D’autres scénarios sont-ils envisageables ?
J.-L.L. : Oui, car la frontière entre banditisme et actions des Etats est devenue extrêmement floue. On peut très bien imaginer des ransomwares qui chiffrent des systèmes et jettent les clefs, pour simplement perturber ou bloquer le fonctionnement d’une organisation. Et les ransomwares ne sont pas cantonnés aux seuls PC bureautiques, mais peuvent, demain, viser des voitures, des centrales, des robots de téléopération dans les hôpitaux… Tous les scénarios sont aujourd’hui envisageables, et rien techniquement n’empêche réellement leur mise en œuvre.
A lire aussi :
Pourquoi Windows 10 est mieux protégé contre les ransomwares
WannaCry : le ransomware qui n’a plus besoin du phishing
WannaCry : autopsie du ransomware 2.0, boosté par les exploits de la NSA
