4,5 millions de dollars. C’est la rançon que le voyagiste Carlson WagonLit Travel a versée en juillet 2020 pour débloquer ses 30 000 ordinateurs bloqués par un rançongiciel. Un cas isolé ? Non. D’après une étude, la rançon moyenne dépasse désormais 178 000 dollars… payables en bitcoins de préférence. Les attaques montent en gamme. Elles ciblent les grandes entreprises, les administrations, les hôpitaux. Et pour les chanceux qui parviennent à restaurer leurs données à partir des sauvegardes, les arrêts de production coûtent quand même une fortune. En 2017, le virus NotPetya a amputé les ventes du groupe Saint-Gobain de… 250 millions d’euros !
Grâce à leurs bibliothèques de signatures, les antivirus parviennent à filtrer les ransomwares déjà connus. En revanche, ils demeurent impuissants contre ceux qui exploitent des failles de sécurité encore jamais remarquées, ce que l’on appelle les "zero day".
En 2014, ce constat a conduit des chercheurs du Laboratoire de haute sécurité (LHS) du centre Inria de Rennes à explorer une approche radicalement nouvelle. L’idée : s’intéresser non plus au virus mais à l’impact sur les fichiers. Produire un modèle représentant les données dans leur état normal. Ensuite, dès que l’état observé se met à diverger, l’algorithme en déduit qu’une attaque vient de débuter. Un mécanisme de sécurité s’active alors pour bloquer toute nouvelle modification, préservant ainsi l’intégrité des données. Cette technologie a fait l’objet d’un brevet conjoint d’Inria et de la direction générale de l’armement (DGA).
Bloquer le ransomware sans avoir à le connaître
Portée par Belkacem Teibi, Daspren est une entreprise visant à intégrer ses résultats de recherche dans une solution opérationnelle qui puisse être mise à disposition des utilisateurs. La société vient d’effectuer une maturation d’un an dans le Startup Studio d’Inria pour travailler à industrialisation du prototype.
Le produit s’appelle Parad. Il représente l’état de l’art dans le domaine. Il va permettre de protéger les postes de travail des entreprises. Nous commençons par l’environnement Windows. Nous prévoyons ensuite une version Linux. L’avantage concurrentiel concerne évidemment les ransomwares zero day. Les antivirus ne les détectent pas. Ceux qui prétendent y parvenir ne font en réalité qu’identifier des mutants de virus précédents. Notre solution s’affranchit de toute cette problématique : nous pouvons bloquer le logiciel de rançon sans même avoir à l’identifier au préalable. Ainsi, les fichiers sont protégés de toute déstructuration.
Pas de destruction. Pas de chiffrement malveillant.
Actuellement en phase de finalisation, « le produit va être d’abord déployé et testé par plusieurs prospects qui sont des experts du domaine. Nous avons aussi des échanges avec des intégrateurs souhaitant inclure Parad dans la solution globale de sécurité qu’ils proposent à leurs clients. Nous sommes complémentaires de logiciels plus classiques qui, eux, vont faire de l’analyse et de l’investigation. »
Belkacem Teibi était auparavant ingénieur transfert et innovation dans l’équipe de recherche Privatics du centre Inria de Grenoble. Il a pour associés Mathieu Thiery, directeur technique, et Patrick Artola, directeur commercial. Daspren signifie "rançon" en breton.