ShieldFS : enfin une protection contre les ransomwares pour Windows ?
Enfin une parade contre le fléau des ransomwares ? Lors de la conférence BlackHat, la semaine dernière, des chercheurs de l'université polytechnique de Milan ont dévoilé un add-on pour le système de fichiers de Windows, permettant de détecter ces menaces et, éventuellement, de restaurer les fichiers pris en otage. La solution, baptisée ShieldFS, a été testée contre plus d'une douzaine de ransomwares, dont Wannacry, Locky ou CryptoLocker, représentant près de 1500 échantillons (après de premiers tests contre 383 variantes connues de ransomwares).
L'infection a été bloquée dans 97 % des cas, sans aucune perte de fichiers y compris quand la menace n'a pas été identifiée à temps. Soit près de 100 000 fichiers restaurés au total lors des tests. Le tout avec un taux de faux positifs étonnamment bas, selon l'étude publiée par les chercheurs italiens.
Copie des données à la volée
ShieldFS (soit le bouclier du système de fichiers) apprend et modélise le fonctionnement du File System de Windows, ce qui lui permet ensuite de détecter les activités malveillantes. Si une attaque est repérée, le malware est alors bloqué par une couche de protection qui agit comme un mécanisme de 'copie-sur-écriture'. Cette protection s'apparente à une couche d'abstraction entre l'application et les fichiers et produit à la volée des copies des données afin de les restaurer en cas d'infection par un ransomware. « Quand ShieldFS est installé et qu'il voit une opération d'écriture, il va sauvegarder le fichier avant de laisser cette opération se dérouler », précise Federico Maggi, un des chercheurs de l'équipe italienne. Une sorte de sauvegarde en temps réel, en permanence activée dans l'OS.
Évidemment, cette surcouche du système de fichiers de Windows s'accompagne d'une légère dégradation des performances, que les deux chercheurs estiment à 26 % de ralentissement. « En réalité, c'est à peine perceptible sur les machines protégées par ShieldFS », écrivent les sept chercheurs, qui travaillent depuis 18 mois sur la solution.
Entraîné au fonctionnement standard de Windows
L'intelligence de ShieldFS repose sur une phase d'apprentissage. Pendant environ un mois, sur 11 machines, les chercheurs transalpins ont permis à leur solution d'étudier le fonctionnement normal de système de fichiers de Windows avec 2 245 applications (soit un total de 1,7 milliard de requêtes en entrée/sortie). C'est cet entraînement des algorithmes de Machine Learning de ShieldFS au fonctionnement standard du système de fichiers qui permet de repérer les activités malveillantes. En particulier « l'usage de primitives cryptographiques (soit des algorithmes de chiffrement de bas niveau, NDLR) » visant à prendre les fichiers en otage.
« Nous proposons une approche pour rendre les systèmes d'exploitation moderne plus résilients aux attaques par chiffrement, en détectant les comportements de type ransomwares et en inversant leurs effets sauvegardant ainsi l'intégrité des données des utilisateurs », écrivent les chercheurs, qui présentent ShieldFS comme un complément des sauvegardes traditionnelles. En particulier quand il s'agit de protéger les données les plus fraiches. La solution fait actuellement l'objet d'une demande de brevet aux Etats-Unis et n'est pour l'instant pas disponible. Notons que l'approche italienne, basée sur l'étude comportementale des ransomwares, n'est pas sans rappeler la solution DAD (Data Aware Defence) développée au sein du LHS de Rennes, un laboratoire de haute sécurité porté par l'Inria, Supelec, la DGA (Direction générale de l'armement) et la région Bretagne.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
A lire aussi :
Après NotPetya, Merck malade de longue durée
Jean-Louis Lanet, Inria : « si le ransomware parfait existait. »
Petya : 5 questions pour comprendre le ransomware qui terrorise les entreprises
crédit photo : ra2studio-Shutterstock
Sur le même thème
Voir tous les articles Workspace