Pour gérer vos consentements :

Ransomwares : enfin une protection générique pour Windows ?

Enfin une parade contre le fléau des ransomwares ? Lors de la conférence BlackHat, la semaine dernière, des chercheurs de l’université polytechnique de Milan ont dévoilé un add-on pour le système de fichiers de Windows, permettant de détecter ces menaces et, éventuellement, de restaurer les fichiers pris en otage. La solution, baptisée ShieldFS, a été testée contre plus d’une douzaine de ransomwares, dont Wannacry, Locky ou CryptoLocker, représentant près de 1500 échantillons (après de premiers tests contre 383 variantes connues de ransomwares).

L’infection a été bloquée dans 97 % des cas, sans aucune perte de fichiers y compris quand la menace n’a pas été identifiée à temps. Soit près de 100 000 fichiers restaurés au total lors des tests. Le tout avec un taux de faux positifs étonnamment bas, selon l’étude publiée par les chercheurs italiens.

Copie des données à la volée

ShieldFS (soit le bouclier du système de fichiers) apprend et modélise le fonctionnement du File System de Windows, ce qui lui permet ensuite de détecter les activités malveillantes. Si une attaque est repérée, le malware est alors bloqué par une couche de protection qui agit comme un mécanisme de ‘copie-sur-écriture’. Cette protection s’apparente à une couche d’abstraction entre l’application et les fichiers et produit à la volée des copies des données afin de les restaurer en cas d’infection par un ransomware. « Quand ShieldFS est installé et qu’il voit une opération d’écriture, il va sauvegarder le fichier avant de laisser cette opération se dérouler », précise Federico Maggi, un des chercheurs de l’équipe italienne. Une sorte de sauvegarde en temps réel, en permanence activée dans l’OS.

Évidemment, cette surcouche du système de fichiers de Windows s’accompagne d’une légère dégradation des performances, que les deux chercheurs estiment à 26 % de ralentissement. « En réalité, c’est à peine perceptible sur les machines protégées par ShieldFS », écrivent les sept chercheurs, qui travaillent depuis 18 mois sur la solution.

Entraîné au fonctionnement standard de Windows

L’intelligence de ShieldFS repose sur une phase d’apprentissage. Pendant environ un mois, sur 11 machines, les chercheurs transalpins ont permis à leur solution d’étudier le fonctionnement normal de système de fichiers de Windows avec 2 245 applications (soit un total de 1,7 milliard de requêtes en entrée/sortie). C’est cet entraînement des algorithmes de Machine Learning de ShieldFS au fonctionnement standard du système de fichiers qui permet de repérer les activités malveillantes. En particulier « l’usage de primitives cryptographiques (soit des algorithmes de chiffrement de bas niveau, NDLR) » visant à prendre les fichiers en otage.

« Nous proposons une approche pour rendre les systèmes d’exploitation moderne plus résilients aux attaques par chiffrement, en détectant les comportements de type ransomwares et en inversant leurs effets sauvegardant ainsi l’intégrité des données des utilisateurs », écrivent les chercheurs, qui présentent ShieldFS comme un complément des sauvegardes traditionnelles. En particulier quand il s’agit de protéger les données les plus fraiches. La solution fait actuellement l’objet d’une demande de brevet aux Etats-Unis et n’est pour l’instant pas disponible. Notons que l’approche italienne, basée sur l’étude comportementale des ransomwares, n’est pas sans rappeler la solution DAD (Data Aware Defence) développée au sein du LHS de Rennes, un laboratoire de haute sécurité porté par l’Inria, Supelec, la DGA (Direction générale de l’armement) et la région Bretagne.

A lire aussi :

Après NotPetya, Merck malade de longue durée

Jean-Louis Lanet, Inria : « si le ransomware parfait existait… »

Petya : 5 questions pour comprendre le ransomware qui terrorise les entreprises

crédit photo : ra2studio-Shutterstock

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

13 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

13 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

17 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

20 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

22 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

2 jours ago