Aller au contenu
Démarrer
Open search

Ransomwares : l'IA change l'auteur mais ne change rien à la logique de détection

Pourquoi la plupart des solutions de protection endpoint traitent encore les ransomwares comme de simples malwares, et que se passe-t-il lorsqu'on se concentre sur les données plutôt que sur l'attaquant ?

Mark Loman

Écrit par Mark Loman

Cyber Security Data Breach, data leak, cybersecurity hack, phishing
Products & ServicesRansomwareEndpointSophos EndpointEDRAIartificial intelligence

En 2013, CryptoLocker a introduit le playbook des ransomwares modernes. Il a également intégré un élément que la plupart des acteurs du secteur n'ont pas encore assimilé : le chiffrement à distance. Une machine compromise qui accède au réseau pour chiffrer un serveur de fichiers, ne laissant sur le serveur protégé aucun processus malveillant à stopper, aucun fichier binaire à mettre en quarantaine et aucun signal suffisamment fort pour que l'EDR puisse agir avec certitude.

En décembre 2023, une étude de Microsoft a mis en évidence le chiffrement à distance dans 60% des attaques de ransomware réussies menées par des humains, dont 80% provenaient d'appareils non gérés. Le rapport Digital Defense 2024 de Microsoft, publié dix mois plus tard, a mis à jour ces chiffres à 70% et 92%. 

La tendance n'a fait qu'empirer depuis : les données télémétriques de Sophos montrent que les attaques de chiffrement à distance ont augmenté de 50% entre 2023 et 2024, puis de 55% supplémentaires entre 2024 et 2025. La technique d'attaque est restée inchangée pendant plus d'une décennie. La plupart des solutions de protection endpoint de pointe recherchent un comportement similaire au chiffrement. À l’inverse, la fonctionnalité CryptoGuard de Sophos Endpoint reconnaît le chiffrement des données lui-même. Ce n'est pas une petite différence. C'est LA différence.

Sophos a lancé CryptoGuard en 2016 pour combler cette lacune. Il n'examine ni le processus, ni le binaire, ni le comportement, ni la réputation de l'attaquant. Au lieu de cela, il surveille les données en temps réel lors des opérations de lecture et d'écriture de fichiers, de manière transparente et au niveau du système de fichiers, et agit lorsque le contenu est transformé de manière compatible avec un éventuel chiffrement. 

L'analyse est construite à partir des données elles-mêmes en temps réel, sur le système endpoint, au fur et à mesure que les E/S transitent. Il n'y a pas d'aller-retour dans le Cloud, pas de flux de télémétrie à corréler et aucune décision différée vers un pipeline en aval. Lorsque l'analyse dépasse le seuil, CryptoGuard intervient et restaure les fichiers affectés à l'aide d'un mécanisme de journalisation propriétaire. La stratégie de base est restée globalement inchangée depuis près d'une décennie. 

Grâce à sa logique de détection implacable, CryptoGuard a détecté chaque nouvelle famille de ransomware dès la première rencontre, sans mise à jour des signatures ni réentraînement du modèle.

CryptoGuard n'exempte pas un processus du simple fait qu'il est considéré comme fiable, signé ou bien connu. Un processus de confiance contrôlé par un attaquant, ou exécutant du code injecté par un attaquant, constitue toujours une menace. Le chiffrement légitime est automatiquement reconnu grâce à son contexte opérationnel : un processus chiffrant ses propres données dans ses emplacements de travail habituels est différent d’un ransomware chiffrant les documents d’un utilisateur ou des données centralisées. 

CryptoGuard est activé par défaut, ne nécessite aucun réglage et fonctionne à grande échelle sur des millions de systèmes endpoint dans tous les principaux secteurs d'activité depuis plus d'une décennie. Il continue de bloquer les ransomwares dans des environnements où d'autres défenses échouent, lors d'attaques qui, autrement, permettraient d’extorquer de l'argent.

Nous ne prétendons pas que CryptoGuard soit inviolable. Un adversaire habile peut trouver des failles dans n'importe quelle défense. Nous affirmons que cette approche place la barre beaucoup plus haut en matière de défense que ce que la plupart des produits de protection endpoint offrent aujourd'hui. C’est la friction dans la couche appropriée qui permet aux défenseurs de prendre l’avantage.

Le problème de la visibilité

Pour obtenir une rançon par chiffrement, l'attaquant doit faire une seule chose : endommager les données de manière réversible uniquement grâce à sa clé. Tout le reste (le chargeur, l'extension du fichier, la demande de rançon, le nom du processus) indique uniquement que les outils EDR (Endpoint Detection and Response) ont réagi pour alerter les humains, délimiter la violation et orienter la réponse.

Mais le signal doit exister avant de pouvoir atteindre un point de décision. Dans un scénario de chiffrement à distance, le fichier binaire de chiffrement se trouve sur un appareil non géré, un terminal IoT, une machine virtuelle (VM) Shadow ou un système tiers situé au-delà d'une limite de confiance. Aucun d'entre eux ne possède d'agent EDR. Il n'y a pas de données télémétriques à transmettre, pas d'événements à corréler, pas de signal sur lequel agir. Le chiffrement parvient au serveur de fichiers protégé sous forme d'écritures de partage de fichiers ordinaires provenant d'une session authentifiée de confiance. Il y a bien quelques signaux (accès aux fichiers, changements de nom et une éventuelle demande de rançon), mais ils arrivent sans certitude et après que des milliers de fichiers ont déjà été chiffrés. 

Et surtout, même lorsque l'EDR parvient à établir une corrélation et à détecter l'incident avec certitude, le toolkit de réponse n'a pas été conçu pour stopper l'attaque. La plupart des produits antivirus, de protection endpoint et EDR ont été conçus pour bloquer les URL malveillantes connues, mettre fin aux processus locaux malveillants connus et placer en quarantaine les fichiers binaires locaux malveillants connus. Ils n'ont pas été conçus pour empêcher une machine peer sur le réseau local d'effectuer des écritures de partage de fichiers d'apparence légitime à partir d'une session authentifiée valide.

Même en présence de données télémétriques, la réponse pilotée par le Cloud nécessite la transmission, la corrélation, la prise de décision et le renvoi vers le système endpoint. Les éditeurs considèrent cette boucle comme étant du « quasi temps réel », et les architectures de streaming les plus rapides visent à effectuer l'aller-retour en quelques secondes. En pratique, la latence de bout en bout pour de nombreux produits et de nombreux types d'événements se mesure encore en minutes. Pendant ce temps, les ransomwares modernes chiffrent les données à grande vitesse : des dizaines de milliers de fichiers par minute sur un serveur de fichiers modeste sont tout à fait réalisables. Le multithreading met en parallèle le chiffrement au niveau de plusieurs cœurs. Le chiffrement partiel (le choix privilégié pour les offres actuelles de Ransomware-as-a-Service (RaaS)) ne corrompt qu'une partie de chaque fichier, suffisamment pour rendre les données irrécupérables sans la clé, mais suffisamment petite pour que, dans les scénarios distants, seule une fraction de chaque fichier ait besoin de traverser le réseau. La fenêtre d'attaque se mesure en secondes, pas en heures. 

Les ransomwares modernes sont également paramétrables. Les affiliés qui proposent de véritables offres RaaS (Ransomware-as-a-Service), Qilin, RansomHub, Akira, Fog, Sinobi et d’autres, configurent chaque déploiement avec des paramètres de ligne de commande qui suppriment les signaux visibles : --no-extension, --no-note, --no-local, --ips, --path. D'autres paramètres permettent de contourner les défenses ailleurs dans la chaîne : --password limite l'exécution à une clé fournie par l'attaquant, --nomutex permet à plusieurs instances de s'exécuter en parallèle sur différentes cibles distantes simultanément. Chacune de ces solutions réduit la visibilité des solutions EDR. 

C’est pourquoi les attaquants n’ont pas besoin de nouveaux ransomwares pour contourner de nombreuses solutions EDR. Le déploiement d'une famille existante à partir d'une machine distante non gérée, les générateurs LockBit divulgués, les binaires Conti, et tous les outils de ces dernières années, permettront toujours de chiffrer malgré les tentatives lancées pour les contrer par la plupart des produits endpoint de pointe. C'est l'architecture qui est vulnérable, pas le code binaire.

Pourquoi l'IA ne change pas la logique de détection ?

L'IA abaisse le seuil de tolérance zéro en matière de ransomware. Les novices qui ne pouvaient auparavant pas écrire de code fonctionnel peuvent désormais générer des chiffreurs fonctionnels grâce à l'assistance de l'IA, élargissant ainsi le vivier d'attaquants potentiels d'un groupe restreint de développeurs qualifiés à toute personne ayant l'intention de commettre un cybercrime et possédant un LLM. Il s'agit d'un véritable changement, et il mérite d'être pris au sérieux.

Avant d'aller plus loin, il convient de préciser la portée globale. L'IA remodèle d'autres maillons de la chaîne d'attaque. Le phishing est plus efficace. Les attaques visant les identités sont plus nombreuses. L'ingénierie sociale est plus convaincante. L'accès initial devient moins coûteux pour l'attaquant. Cet article explique ce qui se passe une fois ces défenses contournées, lorsque l'attaquant est à l'intérieur et que le chiffrement commence. Le problème en terme de défense architecturale à ce niveau réside dans « ce que l'IA ne change pas ».

Trois points importants à ne pas négliger dans le débat public sur les ransomwares générés par l'IA.

Premièrement, l'IA modifie le code, pas l'objectif. Les ransomwares servent à convertir un texte clair en texte chiffré que la victime ne peut déchiffrer sans payer. Dans le monde réel, les ransomwares utilisent massivement la cryptographie à clé publique-privée (RSA, ChaCha20, AES) pour la même raison que les banques : c'est la logique de l'irréversibilité sans la clé. L'IA n'invente pas de meilleures techniques de cryptographie pour les ransomwares ; elle utilise celles qui fonctionnent.

Deuxièmement, le résultat du chiffrement possède des empreintes digitales. Le texte chiffré se distingue statistiquement des données structurées. Un document Office normal possède une structure prévisible : un en-tête ZIP, un schéma XML, des modèles de texte répétitifs. Une version chiffrée ne contient rien de tout cela. L'analyse mathématique basée sur le contenu de CryptoGuard exploite cette observation. Il n'est pas nécessaire de connaître la variante ou la famille du ransomware. Il doit reconnaître à quoi ressemble un fichier chiffré par rapport à son prédécesseur, ce qui relève des mathématiques et non du renseignement sur les menaces (Threat-Intelligence).

Troisièmement, ce n'est pas l'IA qui rend le problème actuel des ransomwares insoluble pour la plupart des défenseurs. Il n'existe à ce jour aucun cas public confirmé de ransomware généré par IA en circulation. Les attaquants n'en ont pas besoin. Ils peuvent utiliser n'importe quelle famille de ransomware connue et l'exécuter à distance à partir d'une seule machine compromise et non gérée. Cette possibilité à elle seule suffit à mettre hors d'état de nuire la plupart des réseaux entièrement patchés et entièrement protégés, car la plupart des protections EDR ne sont pas conçues pour empêcher le chiffrement provenant d'une source invisible. Le fossé architectural est déjà là.

Une question se pose alors tout naturellement : CryptoGuard utilise-t-il lui-même l'IA ? Ce n’est pas le cas. L'analyse est mathématique et déterministe. Il n'existe aucun modèle appris nécessitant un réentraînement à mesure que les ransomwares évoluent, aucune distribution de données d'entraînement susceptible de biaiser le résultat, aucune entrée provenant d’adversaires pouvant tromper un classificateur et lui faire accepter un texte chiffré comme une écriture légitime. L'analyse mathématique de CryptoGuard est le moteur de la détection des ransomwares. 

Pourquoi ne pas développer une mise à jour de cette fonctionnalité ?

Surveiller l'attaquant et surveiller les données sont des mécanismes fondamentalement différents, et non de simples variations d'une même approche. Un éditeur ne peut pas simplement ajouter une analyse mathématique basée sur le contenu à une solution EDR centré sur les processus via une simple mise à jour de signature ou une nouvelle règle de comportement. La détection doit se situer en dessous du processus, au niveau du système de fichiers, avec un accès direct aux lectures/écritures elles-mêmes et un mécanisme de journalisation propriétaire pour permettre la restauration. 

La mise en œuvre initiale ne prend pas des années ; avec la bonne équipe, un prototype peut être construit en quelques mois. Le véritable défi réside dans la connaissance approfondie du fonctionnement interne de Windows nécessaire pour assurer un fonctionnement sans faille en production à grande échelle, et dans l'infrastructure nécessaire pour garantir que le moteur fonctionne parallèlement au chiffrement légitime sans provoquer de perturbation opérationnelle. Il s'agit d'ingénierie à un niveau auquel la plupart des éditeurs de solutions de sécurité ne travaillent pas. Cela exige un état d'esprit différent, des compétences différentes et un niveau d'expérience pratique qu'on ne peut pas créer via une simple embauche externe.

Il y a aussi une dimension économique. Le modèle Ransomware-as-a-service est un véritable business. Les affiliés ajustent leurs binaires en fonction des produits de protection ayant la plus grande base installée, car c'est là que le retour sur investissement en matière d’ingénierie est le plus élevé. Le scénario standard (binaires signés, injection en cours, abus de pilotes, paramètres configurables) est calibré pour contourner les défenses standard. Une défense construite sur un concept différent n'est pas celle sur laquelle l'attaquant a concentré ses efforts de développement. Il ne s’agit pas d’un moat (avantage défensif durable) permanent, mais plutôt d’un moat bien réel à un moment donné.

CryptoGuard n'est pas non plus un processus distinct s'exécutant sur la machine. Cela fait partie du fonctionnement du système d'exploitation lors de l'écriture de fichiers. Il n'existe aucun agent qu'un EDR-killer puisse stopper. Tout au long de 2024 et 2025, les opérateurs de ransomware ont de plus en plus utilisé des pilotes signés vulnérables pour mettre fin aux agents de sécurité en mode utilisateur et aux services de détection avant l'exécution du chiffreur. La plupart des outils ciblent les processus. CryptoGuard n'en fait pas partie. Lorsque le reste de la pile/stack s'effondre, CryptoGuard protège les données. Vous risquez de perdre les données de télémétrie. Vous ne perdrez pas vos fichiers.

Le secteur commence à admettre cette réalité

Au cours de l'année 2025, plusieurs grands éditeurs majeurs de protection endpoint ont commencé à reconnaître publiquement le problème des ransomwares à distance et à livrer leurs premières tentatives de réponse. Le récent communiqué d'un éditeur l'exprimait clairement : « les ransomwares évoluent rapidement et les attaques de chiffrement à distance surpassent les systèmes de défense traditionnels ». Un autre intégrait une fonction de restauration/rollback avec une limite de taille de fichier de 30 Mo, ce qui excluait de nombreux documents professionnels que les ransomwares ciblaient réellement.

Il s'agit là d’indices clairement reconnaissables indiquant un schéma d'attaque contre lequel Sophos se protège depuis 2016. Les implémentations importent moins que la reconnaissance en tant que telle. Dans leur configuration d'origine, les nouvelles couches sont généralement désactivées par défaut, limitées à des modèles d'extension de fichiers statiques (que les ransomwares modernes contournent spécifiquement), soumises à des limites de taille de fichier, ou n'offrent aucune possibilité de restauration (rollback). Toutes ces observations confirment combien il est difficile d'atteindre l'objectif lorsque le moteur sous-jacent a été conçu pour un problème différent.

Les coûts liés aux retards sont à la charge du client. Depuis 2013, les ransomwares frappent quasi quotidiennement les hôpitaux, les écoles, les entreprises du secteur manufacurier, les services publics et les infrastructures critiques. L'impact est souvent physique : opérations chirurgicales reportées, traitements annulés, chaînes de production arrêtées, écoles fermées. En 2025, une attaque par chiffrement à distance contre un prestataire de services aéronautiques tiers a paralysé les systèmes de gestion des passagers et des bagages dans les principaux aéroports européens, entraînant des perturbations se chiffrant en jours et des centaines de milliers de passagers bloqués. 

Des questions qui méritent d'être posées

Lors de l'évaluation d'une défense contre les ransomwares, les questions qui importent sont d'ordre pratique :

  • La couche de protection surveille-t-elle les données modifiées, ou seulement le processus qui effectue la modification ?
  • La protection fonctionne-t-elle lorsque le processus de chiffrement s'effectue sur une machine différente de celle sur laquelle l’éditeur n'a pas d'agent ?
  • La protection fonctionne-t-elle lorsque le processus de chiffrement est un processus légitime et de confiance avec du code injecté ?
  • La réponse est-elle traitée localement et en temps réel, ou dépend-elle d'un aller-retour via le Cloud ?
  • Permet-elle de récupérer les fichiers chiffrés, ou se contente-t-il d'empêcher tout chiffrement ultérieur ?
  • Un EDR-killer peut-il désactiver la couche de protection en interrompant les services en mode utilisateur ?
  • La protection a-t-elle permis de détecter les nouvelles familles de ransomware sans mises à jour ?
  • La protection est-elle activée par défaut ?

La plupart des éditeurs affirment proposer une protection contre les ransomwares. Les questions ci-dessus vous indiqueront de quel type de protection il s’agit véritablement.

Pour conclure : les points importants à retenir

Les ransomwares n'ont pas besoin d'IA pour constituer un problème. Le problème est le même depuis 2013 : un attaquant endommage des données, exige un paiement, et la plupart des systèmes de protection endpoint sont configurés pour détecter l’attaquant plutôt que les dommages causés. L'IA peut rendre les attaquants plus rapides et plus nombreux, et l’attaque moins coûteuse. Cela ne changera rien à ce que l'attaquant doit mettre en œuvre.

L'IA écrit le code. Sophos surveille les données. La logique de détection reste la même.

Pour en savoir plus et tester notre solution, rendez-vous sur sophos.com/endpoint

Billet inspiré de Ransomware: AI changes the writer. It doesn't change the math, sur le Blog Sophos. 

 

 

À propos de l'auteur

Mark Loman

Mark Loman

Mark Loman, vice-president of software development and threat research at Sophos, is a ransomware expert and a good-guy hacker who really cares about keeping information safe. He leads a team of experienced developers whose main job is to create practical defenses that can spot and stop threats without needing to know about past attacks or specific signatures. With over 15 years of experience, Loman and his team really understand modern computer systems and applications. Their goal is simple: To make it difficult for the bad guys who want to sneak into computers, mess with how apps work, or lock up your files. They achieve this with security measures that safeguard documents and secrets, and by making swift adjustments to the computer's inner workings, which significantly increases the difficulty for anyone trying to cause trouble. Among his many other Sophos projects, he is the co-creator of CryptoGuard.