Google dévoile un système de sécurité basé sur l’IA pour piéger les attaques de ransomware

Google a lancé une fonctionnalité de sécurité alimentée par l’intelligence artificielle (IA) qui agit comme une dernière ligne de défense, contre les attaques de ransomware ayant échappé aux mesures de sécurité traditionnelles, et qui protège les fichiers stockés dans Google Drive.

Cette nouvelle fonctionnalité, qui sera déployée à l’échelle mondiale pour la plupart des clients commerciaux de Google Workspace sans surcoût, vise principalement les formats de fichiers tels que les documents Microsoft Office et les fichiers PDF, qui sont souvent la cible d’attaques de ransomware.

« L’idée qu’un acteur malveillant sophistiqué et disposant de ressources suffisantes puisse cibler une organisation et prendre en otage l’ensemble d’un réseau relève du cauchemar », estime Kristina Behr, vice-présidente des applications de collaboration pour Google Workspace.

Grâce à sa nouvelle fonctionnalité de protection contre les ransomwares, Google espère remédier à ce qu’il appelle le « chaînon manquant » dans l’atténuation de cette menace. Les moyens de défense actuels se concentrent généralement sur la prévention d’une attaque à l’aide d’un logiciel antivirus ou sur la restauration à l’aide de sauvegardes.

« Le statu quo présente une faille fondamentale », juge Luke Camery, chef de produit pour la sécurité et la conformité chez Google Workspace. « Soit on se concentre entièrement sur le traitement des ransomwares comme un problème d’antivirus, soit on suppose que vous avez déjà été touché et c’est comme un problème de sauvegarde et de restauration ».

La solution de Google vise à intervenir au moment critique où une attaque commence. Intégré à l’application Google Drive for Desktop sur Windows et macOS, un modèle d’IA propriétaire surveille en permanence les activités suspectes.

Entraîné sur des millions d’échantillons de ransomwares réels, le modèle ne recherche pas le code malveillant lui-même. Il identifie plutôt le comportement caractéristique d’une attaque de ransomware : le chiffrement rapide et massif des fichiers.

Lorsque ce comportement est détecté, généralement après que trois à cinq fichiers ont été chiffrés, Google Drive suspend automatiquement toute synchronisation de fichiers entre l’appareil de l’utilisateur et le cloud. Cette action forme une « bulle de protection » autour des fichiers de l’utilisateur stockés dans le cloud, ce qui empêche les versions corrompues d’écraser les versions propres et l’attaque de se propager à d’autres collaborateurs.

L’utilisateur concerné est immédiatement informé et un nouvel outil de restauration est lancé dans l’interface web de Google Drive. Il permet à l’utilisateur de voir la chronologie milliseconde par milliseconde des modifications apportées aux fichiers et, en quelques clics, de restaurer tous les fichiers affectés dans l’état où ils se trouvaient juste avant le début de l’attaque.

« L’utilisateur concerné peut immédiatement reprendre son travail sur n’importe quel appareil sûr, et aucun autre utilisateur du réseau ne saura ce qui s’est passé », indique Luke Camery.

Il précise que cette nouvelle fonctionnalité n’est pas destinée à remplacer les outils de sécurité existants tels que les antivirus ou les plates-formes de détection et de réponse (EDR), mais plutôt à les compléter.

« Nous n’essayons pas d’identifier les fichiers malveillants eux-mêmes, comme le font les antivirus ou EDR traditionnels », ajoute-t-il, invitant les organisations à continuer d’utiliser ces outils, « mais vous savez qu’ils ne sont pas infaillibles, et il n’y a donc aucune raison de ne pas ajouter cette protection Drive ».

Et Kristina Behr de renchérir : « ce que nous dévoilons et mettons à disposition aujourd’hui est une couche de défense entièrement nouvelle ». Ainsi, « alors que les solutions antivirus poursuivent leur travail pour empêcher les ransomwares de pénétrer dans l’entreprise, nous avons mis en place des protections qui les empêchent d’être efficaces une fois qu’ils ont inévitablement franchi la porte de l’entreprise ».

Les administrateurs de Google Workspace recevront des alertes sur les incidents détectés dans leur console d’administration et pourront consulter les journaux d’audit pour approfondir leurs recherches. Cette fonctionnalité sera activée par défaut et incluse dans la plupart des offres commerciales de Google Workspace. Les particuliers auront également accès aux fonctionnalités de restauration de fichiers.

L’approche n’est pas nouvelle et rappelle la fonctionnalité dite « Acronis Active Protection against ransomware » lancée en 2017 avec pour but de protéger les utilisateurs et leurs données en bloquant en quasi-temps réel les attaques et en permettant la restauration « instantanée » des données affectées. Mais de nombreux acteurs de la sauvegarde se sont engagés dans une voie comparable dans les années suivantes.