C’est bien connu, lorsqu’on lance une analyse complète de tout son disque dur, on peut partir déjeuner : le PC n’est plus un foudre de guerre. Intel annonce une solution pour résoudre ce problème. Le fondeur prépare aussi des techniques capables de mieux détecter des codes malveillants.
Après les découvertes des attaques Meltdown et Spectre touchant notamment ses processeurs, Intel veut redorer son blason en matière de sécurité.
L’entreprise a annoncé il y a quelques mois le déploiement de deux solutions regroupées sous le programme « Threat Detection Technology » et compatibles avec ses processeurs de 6, 7 et 8e génération. La première concernant les postes de travail classiques et la seconde, les accès distants, dont le cloud.
Baptisée « Advanced Memory Scanning », la première technique vise à renforcer la détection virale tout en ne pénalisant pas l’utilisateur d’un ordinateur. Chacun sait que les pirates ont de l’imagination. Leur but reste toujours le même : éviter que leurs codes malveillants ou leurs actions soient repérés par un programme de sécurité et en particulier l’antivirus.
PC ralenti
Afin de ne pas être repérés durant une analyse reposant sur la détection d’écritures suspectes et de signatures virales, certains types de codes malveillants s’abstiennent d’écrire quoi que ce soit sur le disque dur. Certes, cette astuce complique un peu la tâche du cybercriminel. Son malware ne peut pas infecter une machine de façon persistante ; il doit infecter le poste de travail chaque fois qu’il est redémarré.
Mais d’un autre côté, cette technique est plus délicate à repérer sauf à scanner le moindre recoin du disque dur système. Et c’est là qu’on s’arrache les cheveux, car le PC rame.
« Advanced Memory Scanning » vise justement à réduire cet impact en optimisant les performances en fonction des charges de travail des différents composants. Or, avec un ordinateur de bureau « classique », le GPU n’est que faiblement sollicité. L’astuce d’Intel consiste donc à faire appel au GPU et non pas au processeur pour analyser la mémoire à la recherche de signatures de logiciels malveillants.
Pour le fondeur, cela permet de rendre les ordinateurs plus performants en soulageant les unités de calcul et préserver la batterie des PC portables. Selon Rick Echevarria, l’un des responsables de la division sécurité d’Intel, « les premiers tests menés par nos soins montrent que les ressources CPU passent de 20 à 2 % ».
Machine Learning
Microsoft va diffuser une mise à jour destinée à intégrer cette solution. L’analyse de la mémoire basée sur le GPU sera gérée par Windows Defender Advanced Threat Protection (ATP). D’autres antivirus pourraient en faire de même. Mais pour certains éditeurs contactés, dont le laboratoire de Dr.Web, cette technique n’est pas nouvelle et elle implique que l’antivirus possède un moteur d’analyse 64 bits pour être compatible avec cette technologie.
Depuis quelques années, AMD réfléchit à utiliser le GPU intégré pour traiter certaines charges de travail pendant les applications de jeu ou de productivité. Jusqu’à présent, cette vision reste une hypothèse de travail…
Par ailleurs, les GPU ne sont pas des foudres de guerre en cas de multitâches. Or, Intel ne précise pas s’il a trouvé une solution permettant de gérer la charge de travail sur son processeur graphique intégré sans impact perceptible sur les performances de l’utilisateur final qui pourrait utiliser simultanément le PC…
La seconde technique est « l’Advanced Platform Telemetry ». Elle combine la télémétrie avec des algorithmes d’apprentissage machine (Machine Learning, sous-catégorie de l’Intelligence artificielle) pour améliorer la détection des menaces, réduire les faux positifs et minimiser l’impact sur les performances.
Cette fois, APT surveille et analyse les comportements de la machine pour constater et catégoriser des « modèles » d’utilisation qui semblent anormaux, même s’ils ne sont pas connus pour appartenir à un malware spécifique.
APT pourrait par exemple remarquer une activité au niveau du système d’exploitation, comme l’ouverture et l’écrasement de chaque fichier de données l’un après l’autre. Ce procédé pourrait signaler ce « modèle » comme suspect, même si le ransomware (ou rançongiciel), ou sa variante, qui pourrait être à l’origine de comportements suspects n’est pas encore connu et donc répertorié.
Intel a précisé que ce second procédé sera intégré prochainement dans Cisco Tetration, une solution de sécurité centrée sur le multicloud.