Thèse soutenue

Analyse des logs pour les besoins de détection de logiciels malveillants
FR  |  
EN
Accès à la thèse
Auteur / Autrice : Routa Moussaileb
Direction : Yann BusnelJean-Louis Lanet
Type : Thèse de doctorat
Discipline(s) : Informatique
Date : Soutenance le 08/10/2020
Etablissement(s) : Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire
Ecole(s) doctorale(s) : École doctorale Mathématiques et sciences et technologies de l'information et de la communication (Rennes)
Partenaire(s) de recherche : Laboratoire : Lab-STICC_IMTA_CID_IRIS - Département Systèmes Réseaux, Cybersécurité et Droit du numérique - Laboratoire en sciences et techniques de l'information, de la communication et de la connaissance
Jury : Président / Présidente : Pascal Urien
Examinateurs / Examinatrices : Yann Busnel, Jean-Louis Lanet, Jean-Yves Marion, Maroun Chamoun, Nora Cuppens, José M. Fernandez, Hélène Le Bouder
Rapporteurs / Rapporteuses : Jean-Yves Marion

Mots clés

FR  |  
EN

Résumé

FR  |  
EN

Les rançongiciels demeurent la menace informatique principale pour les particuliers, les entreprises et les gouvernements. Les conséquences de ces attaques peuvent causer des pertes irréversibles si les exigences des attaquants ne sont pas satisfaites à temps. Cette thèse cible les rançongiciels Windows. Ils affectent les données des utilisateurs sauvegardées sur les ordinateurs ainsi que de nombreux services publics. Quatre étapes de l’attaque des rançongiciels sont définies : infection, déploiement, destruction et transaction. Les contre-mesures sont regroupées selon les techniques utilisées et attribuées à chaque phase de l'attaque. Cette thèse présente trois contributions. Le premier mécanisme de détection est situé dans la couche du système de fichiers. Il est basé sur la traversée du système qui permet d’exposer les comportements malveillants. Cette thèse propose également une analyse du trafic réseau. Les échantillons sont collectés pour une détection au niveau des paquets. Une étude des notes de rançon est faite pour situer la contre-mesure réseau dans l'étape appropriée de l’intrusion. La dernière contribution donne un aperçu des attaques, particulièrement des Doxware. Un modèle de quantification qui explore le système de fichiers Windows à la recherche de données importantes est présenté et complémenté par les pots de miels pour protéger les fichiers sensibles. Enfin, cette thèse offre des perspectives permettant d'établir un meilleur plan d’action pour les chercheurs.