En facilitant le blanchiment et les transferts anonymes de monnaies, les cryptomonnaies sont à l’origine de l’un des pires fléaux informatiques de ces dernières années : les rançongiciels.
Ils consistent à chiffrer en secret les données stockées d’un particulier, d’une entreprise ou d’une organisation, comme un hôpital, puis d’exiger un paiement afin d’obtenir la clé de déchiffrement.
Une équipe de chercheurs des trois institutions coréennes, Université Inha, Institut de science et technologie de Daegu et le Département de cybersécurité de l’Université pour femmes de Ewha, ainsi que l’Université de la Floride centrale, auraient trouvé une parade aux rançongiciels : SSD-Insider++.
Il s’agit d’exploiter un micrologiciel pour SSD qui peut détecter et inverser un chiffrement en quelques secondes, en échange d’une légère augmentation de la latence.
On ne dépend ainsi d’aucune installation d’un logiciel anti-rançons, ou de protection au niveau du système d’exploitation : c’est le stockage matériel qui s’occupe de tout.
Une fois une activité suspecte détectée par le micrologiciel, les entrées sorties du SSD sont interrompues.
Et en tirant parti d’une qualité intrinsèque des SSDs – la préservation de vieilles données afin de cacher la nature des mises à jour des mémoires flash NAND – il est possible, dans la mesure où la détection est très rapide, de restaurer les données originales sans avoir effectué de sauvegarde particulière !
En laboratoire, on obtiendrait 100 % de réussite sur les rançongiciels connus, avec une inversion des dégâts dans les 10 secondes suivant le commencement du chiffrement, pour un coût de 12,8 à 17,3 % d’augmentation de la latence du stockage, et dans le pire des cas, une baisse jusqu’à 8 % de son débit.
Malheureusement, aucun fabricant de SSD n’a adopté SSD-Insider++ pour l’instant, les performances d’un SSD étant déterminantes pour ses ventes.
Comme le coût d’un rançongiciel est astronomique, et que rien ne garantit que la clé de déchiffrement soit la bonne, on peut espérer qu’un jour, des grandes organisations exigeront ce type de défense des fabricants de stockage.
Toutefois, certains experts émettent des doutes sur l’infaillibilité du dispositif, en supposant que les criminels réussissent à le détecter pour le contourner.
Théoriquement, il suffit de disposer de sauvegardes régulières pour se jouer des rançongiciels. Dans les faits, il est couteux, et pour les petites et moyennes structures, vraiment compliqué de garantir que 100 % des sauvegardes sont effectuées comme prévu, et que 100 % des récupérations s’effectuent sans aucun problème.
L’article de recherche, SSD-Assisted Ransomware Detection and Data Recovery Techniques, est disponible, moyennant abonnement ou paiement, sur la librairie numérique de l’IEEE Computer Society.
Via The Register.