Le système redirige automatiquement dans un espace sécurisé du disque dur les programmes en cours de téléchargement pour en analyser la composition et vérifier si l'utilisateur de l'ordinateur a bien donné son accord.

Comment lutter contre les attaques de type "drive-by-download", soit les pages qui exécutent automatiquement des programmes malveillants ? En mettant en place un système qui redirige chaque tentative de téléchargement vers une zone bien définie du disque dur, et qui en évalue le contenu avant de permettre qu'il s'exécute sur l'ordinateur. Voilà à quoi s'est appliquée une équipe du Georgia Institute of Technology et du SRI International. Son système, Blade, étant ensuite capable d'éliminer les menaces lorsqu'il en a identifié. Le logiciel, connecté au navigateur, détecte tous les téléchargements en cours. Après les avoir basculés en un endroit défini, il vérifie si l'utilisateur a bien donné son accord. Cela en envoyant des requêtes pour savoir si le propriétaire du PC a bien ouvert, lancé et stocké le fichier. En cas de réponse négative, il stoppe immédiatement l'installation du programme et supprime les données déjà installées sur le disque dur.

Une zone de quarantaine sécurisée sur le disque dur

Toutefois, certains logiciels malveillants imitent les demandes d'autorisation de téléchargement pour induire en erreur les internautes. C'est pourquoi le système analyse l'interaction entre l'utilisateur et son navigateur. "Des captures d'écran des demandes de téléchargement reçues par l'utilisateur lui permettent de repérer et distinguer les demandes d'installation acceptées ou refusées", expliquent les chercheurs. Point important : pour ne pas affecter les mises à jour automatiques, les chercheurs ont développé des 'contre-mesures'. Elles permettent à l'utilisateur de dresser une liste blanche des téléchargements, qu'il faut toujours autoriser sans demande préalable. Les tests ont par ailleurs montré que les logiciels malveillants visent le plus régulièrement le logiciels Adobe Reader, qui a été soumis à près de trois fois plus de tentatives de piratages que tous les autres programmes.

5,5 millions de pages infectées

Suivis par Sun Java et Adobe Flash. Pour rappel, ce système de protection est loin d'être anodin : il suffit à un utilisateur de se connecter à un site piraté pour que les logiciels malveillants s'installent sans qu'il ne le sache et puissent "voler son identité ou des renseignements personnels", expliquent les chercheurs. Selon l'institut, ce sont 560 000 sites web - et 5,5 millions de pages online - qui ont été infectés au cours du quatrième trimestre de 2009. Le système a été testé sur plus de 1900 sites piratés à partir du navigateur Internet Explorer et Firefox. Il sera présenté à l'occasion de la journée de Assocation for computing Machinery's conference on computer and communications security.