Intel Advanced Memory Scanning : utiliser le GPU pour détecter les malwares

Les failles Meltdown et Spectre ont constitué une piqûre de rappel sur les différents types de menaces et les moyens de s’en protéger. Le groupe Intel annonce ainsi

une nouvelle initiative TDT (Threat Detection Technology) visant à renforcer les capacités de détection des malwares en utilisant les possibilités de ses puces.

L’une des fonctionnalités annoncées est un mode Advanced Memory Scanning qui cible en particulier les menaces restant en mémoire et n’écrivant rien sur le disque dur pour éviter d’être détectées par les antivirus.

Ce mode de l’Intel TDT permet de vérifier la mémoire d’un ordinateur en faisant appel au GPU plutôt qu’aux coeurs du CPU, permettant d’en réduire la charge CPU de 20% s’il devait le traiter directement.

Il met ainsi à profit les phases d’attente du GPU, quand ce dernier n’a pas besoin d’être lourdement sollicité par une application. Microsoft devrait exploiter prochainement cette fonctionnalité dans son service Windows Defender ATP (Advanced Threat Protection) mais il sera aussi proposé à des entreprises tierces.

Un autre mode annoncé de l’Intel TDT est l’Advanced Platform Telemetry destiné à faire passer les données de télémétrie à la moulinette du machine learning pour optimiser la détection des menaces avancées observée par un comportement anormal ou inattendu des machines mais aussi réduire le nombre de faux positifs.

Ce dispositif permet notamment de détecter des menaces invisibles pour les antivirus standard ou pas encore documentées mais dont les actions sont déjà repérables à un niveau fin et idéalement avant qu’elles n’aient commencé à perturber les systèmes.

L’analyse de ces éléments annexes permet aussi de réduire la charge directe sur le CPU et contribue en principe à minimiser l’impact de la recherche de virus sur les performances générales du système.

Enfin, Intel annonce le rassemblement de différentes fonctionnalités hardware de sécurisation proposées sur ses processeurs (boot sécurisé, chiffrement des données, trustzone…) sous une même dénomination : Intel Security Essentials.