Créer un détecteur de malware par ondes avec un Raspberry Pi, l'incroyable pari (réussi) de chercheurs en sécurité

Publié le 12 janvier 2022 à 09h20

Des chercheurs de l’IRISA (Institut de recherche en informatique et systèmes aléatoires) ont développé un détecteur de programmes malveillants à l'aide d'un Raspberry Pi.

Ce bijou de technologie a été conçu sur un nouveau système qui s'appuie sur les ondes électromagnétiques émanant de l’ordinateur victime pour détecter des potentielles menaces. Celui-ci pourrait atteindre un taux de réussite bien supérieur aux dispositifs de sécurité classiques.

Une solution de détection de menaces plus efficace

La plupart des logiciels anti-malwares se basent sur des algorithmes automatiques afin de détecter une activité malveillante au sein d’un ordinateur. Ces programmes ont besoin d’une mise à jour fréquente pour reconnaître les nouvelles menaces. Certaines d'entre elles, déguisées ou trop récentes, peuvent parfois passer entre les mailles du filet de ces antivirus.

Une équipe de chercheurs de l’IRISA a connecté le nano-ordinateur monocarte Raspberry Pi à un oscilloscope (Picoscope 6407) afin de détecter les champs électromagnétiques anormaux. Cette expérience a permis à l’appareil d'identifier des changements de pattern et donc de détecter la présence potentielle d'un programme malveillant, rien qu'à travers les schémas d’ondes magnétiques émanant de l’ordinateur.

Selon les chercheurs, les tests de ce détecteur de programme malveillant ont révélé que cette précision aurait atteint jusqu’à 99,82 % dans la détection d’une attaque en cours. Un résultat nettement supérieur aux classiques logiciels anti-malwares.

Que sait-on sur le système de détection de logiciels malveillants Raspberry Pi ?

Ce détecteur de malware est un système de surveillance externe, qui ne demande pas d’être installé sur de potentielles cibles pour fonctionner. Un avantage de taille, puisque ce programme se trouve immunisé face à une contre-attaque de logiciels malveillants tentant d’échapper à sa détection ou même de le paralyser.

De plus, en employant seulement l'analyse d'ondes électromagnétiques, cette solution de détection de menaces informatiques n’intercepte pas de logiciels et filtre encore moins les données entrantes et sortantes d’un ordinateur.

Pour l’instant, ce système de détection de malware n’est pas tout à fait au point. Les chercheurs devront constamment alimenter ce programme avec de nouveaux malwares. Davantage de tests sont aussi nécessaires pour s’assurer que ce dispositif peut détecter une attaque en cours et avertir les utilisateurs concernés.

Source : Neowin

Par Ahlem Reggani

PhD. en informatique, je me passionne pour l’innovation et l’actualité digitale. Je me réjouis de vous concocter des articles autour de ces sujets et plus encore.

Articles d'Ahlem Reggani

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (9)

SPH

Ca parait intéressant. Mais bon, pour le mettre à jour, il faudra le connecter à internet. Donc, il n’est pas si indépendant que ça…

Popoulo

AV standard : « Ces programmes ont besoin d’une mise à jour fréquente pour reconnaître les nouvelles menaces »
Dispositif d’IRISA : « Les chercheurs devront constamment alimenter ce programme avec de nouveaux malwares. »

Un peu du pareil au même non ?

Uniquement les malwares ? Qu’en est-il du reste ?

Gweegoo

Si un malware procède un schéma d’onde specifique, j’imagine que c’est le cas pour tout programme. Pourquoi n’ont ils pas fait l’inverse et enregistre le schéma d’onde de l’ordinateur lorsqu’il n’est pas infecté pour alerter lorsque ce dernier change?
Le procédé me rappelle étrangement une prise de température pour l’homme…

Bombing_Basta

Je me suis posé la question direct, chaque config d’ordinateur étant différente, leur signature EM « saine » doit être différente, donc surement qu’un apprentissage doit être nécessaire au début, après une fraiche install.

Gweegoo

J’y avais plutôt pensé sous l’angle de l’effort à fournir: on utilise tous les mêmes logiciels quasiment (Windows, Linux, office, chrome …) et ça ne bouge pas bcp alors que les malwares eux, surtout les plus dangereux, sont nouveaux voire pullulent.
Devant la tache de créer une base de « signatures ondulatoires », il me semble quand même plus simple de répertorier les programmes sains que l’inverse.

Vankovic

Ca fait un peu info du 1er avril, je trouve…

crowfix

C’est bien joli de détecter qu’il y a un truc suspect mais il ne pourra pas désinfecter le pc donc je ne vois pas bien l’intérêt de la chose, mis à part pour l’invention en elle-même qui reste intéressante sur le plan technique.

MattS32

Quand on est dans un environnement critique, la priorité absolue c’est de savoir si une machine est infectée, pour l’isoler immédiatement. La désinfection, c’est pas un problème, on efface et on réinstalle.

Dans ce contexte, une telle solution est intéressante, car le système de détection peut être totalement isolé de la machine à surveiller et déconnectée du réseau (hors mises à jour une fois de temps en temps), donc ça permet d’assurer qu’aucun malware ne pourra dézinguer le détecteur.

La signature des logiciels sains est sans doute bien plus variable en fonction de l’utilisation qui est faite du logiciel, des logiciels utilisés en simultané, etc… De plus il y a plein de logiciels qui sont spécifiques à des entreprises, et donc impossible pour un produit « extérieur » de connaître leur signature (sauf par apprentissage dynamique, comme le suggère @Bombing_Basta).

ar-s

La détection c’est bien et cet appareil est prometteur. Mais détecter c’est bien, mais stopper c’est mieux… C’est une peu comme une camera de surveillance dans votre salon si vous êtes en vacances à 300 bornes… Vous êtes informé que vous vous faites piller… Super… Mais ça n’empêche pas de se faire piller.
Alors oui ça permet d’isoler une machine du reseau, ce qui n’est pas négligeable. Mais ça n’empêchera pas le vol de data sur la dite machine avant de réagir.