Une équipe de chercheurs en sécurité a élaboré une technique appelée SSD-Insider++, qui permettrait de protéger les lecteurs de stockage flash des cyberattaques par ransomware.
Les ransomwares constituent sans doute la plaie numéro 1 pour de nombreuses entreprises. Pour lutter contre ce fléau, les solutions de cybersécurité actuelles peuvent apparaitre insuffisantes. Des chercheurs en sécurité de Corée du Sud (Inha University, Daegu Institute of Science and Technology et du département de sécurité cyber de l’université Ewha Womans) ainsi que de l’université de Floride Centrale ont exploré une approche de défense originale. Ces derniers travaillent en effet sur une technique de protection et de récupération des données compromises qu’ils ont appelée SSD-Insider++.
« SSD-Insider++ est intégré au contrôleur SSD sous forme de micrologiciel. En étant séparé d’une machine hôte, il apporte non seulement une protection des données plus robuste que celles basées sur des logiciels qui sont vulnérables aux attaques évasives, mais propose également une interopérabilité avec diverses plateformes », peut-on lire dans le résumé de la recherche.
Un outil de détection et de récupération des données
Extrait de la recherche sur la technique de protection SSD-Insider++. (crédit : D.R.)
Cette trouvaille est composée de deux fonctions: la détection des ransomwares et la récupération exacte des données, qui sont étroitement intégrées les unes aux autres. L’algorithme de détection observe les modèles d’E/S d’un système hôte et décide si l’hôte est attaqué par des ransomwares à un stade précoce. Une fois qu’une attaque de chiffrement est détectée, l’activité du SSD est suspendue pour éviter la propagation du ransomware. A ce moment là, l’algorithme de récupération est déclenché pour rétablir les fichiers d’origine en tirant parti de la fonction d’effacement retardé de la mémoire.
« Nos résultats expérimentaux montrent que SSD-Insider++ atteint une grande précision de détection des ransomwares avec 100% dans la plupart des cas (Wannacry, Mole,…) et fournit une récupération de données instantanée avec 0% de perte de données », souligne les chercheurs. Ils ajoutent que les attaques sont contenues dans les 10 secondes après la détection au prix d’une augmentation de 12,8 % à 17,3 % de la latence et une baisse de débit de 8%. Pour l’instant, rien ne dit si les résultats de cette recherche académique trouveront un débouché concret pour apporter une protection a priori au calvaire des cyberattaques par ransomware.