L’analyse morphologique © au service des cyber-experts

Pour en savoir plus sur les auteurs :
Guillaume Bonfante (Responsable du Mastère Spécialisé® Cyber-sécurité, Attaque et Défense de l’Ecole des Mines de Nancy), abonnez-vous à son blog ! https://members.loria.fr/GBonfante/index.html
et Laurent Werner (président CYBER-DETECT, ancien ICN)

Les malwares ne veulent pas être découverts

Dans le domaine des logiciels, la plupart des questions qui concernent le comportement d’un programme sont en principe indécidables, il n’y a pas d’algorithme pour les résoudre. Ainsi, on ne peut répondre de manière automatique à des questions comme : que fait ce logiciel ? lit-il mon clavier ? Modifie-t-il des fichiers ? Change-t-il le comportement d’autres logiciels ? Recherche-t-il mes mots de passe ? Or, c’est précisément ce type d’actions qui nous intéressent en cyber-sécurité. La situation est d’autant plus critique que les logiciels malveillants sont conçus pour se protéger eux-mêmes contre l’analyse de leur comportement. Cela passe par des techniques de déstructuration de code, de chiffrement, d’anti-virtualisation ou encore d’auto-modification. Les outils traditionnels d’analyse de code binaires sont trompés si bien que nous ne pouvons faire qu’un constat amer : nous sommes terriblement démunis vis à vis des criminels et des espions.

Tester les virus… en toute sécurité

Le LORIA (UMR 7503, CNRS, Inria, Université de Lorraine) est un des laboratoires de l’Ecole des Mines de Nancy. L’équipe Carbone du LORIA qui s’intéresse aux virus informatiques dispose avec le Laboratoire de Haute Sécurité (http://www.lhs.loria.fr) d’une plateforme d’expérimentation originale. Elle a mis au point l’analyse morphologique, une technologie d’analyse des exécutables radicalement différente des autres approches. L’analyse morphologique permet de faire des liens entre des logiciels même quand ceux-ci sont très différents, elle permet de reconnaître des fonctions critiques comme du chiffrement, elle permet également de dépasser la plupart des auto-protections des malwares.

De l’idée au produit, entre science et business

CYBER-DETECT relève aujourd’hui le défi de la commercialisation de l’analyse morphologique. Elle a transformé le couteau suisse du laboratoire en une véritable arme de guerre contre les malwares. Maintenant adoptée par des institutions étatiques, la suite logicielle est actuellement testée par des grandes entreprises. Ainsi, l’analyse morphologique accompagne les équipes d’experts dans leurs tâches d’analyse forensic, de réponse sur incident, de reverse-engieneering, de recherche de CVE (common vulnerabilities and exposures), de vérification d’intégrité de firmware, ou encore dans certains cas, elle permet de constituter des éléments de preuve dans le cadre d’enquêtes judiciaires. Implantée au cœur même du campus Artem, dans l’espace Start-Up de Mines Nancy, CYBER-DETECT a fait un pari gagnant : celui de partir d’un concept, de démontrer son fondement scientifique, puis de le transformer et de l’appliquer aux marchés publics et privés, à l’aide d’une équipe aux compétences transversales.

Guillaume Bonfante est maître de conférences à Mines Nancy. Il est membre du Laboratoire Lorrain de recherche en informatique et ses applications (LORIA), laboratoire commun entre le CNRS, l’INRIA et l’Université de Lorraine.  Il enseigne à l’Ecole des Mines et il est responsable du master international sur la sécurité des systèmes informatiques. Il est l’un des initiateurs de la recherche sur les malwares au LORIA et le co-inventeur du logiciel.

Laurent Werner est consultant en gestion des risques. Il est diplômé d’un master finance d’ICN Business School. Il a travaillé pour PricewaterhouseCoopers au Luxembourg, puis pour le cabinet Tuillet-Grant Thornton LLP à Paris. Il a également travaillé en tant qu’auditeur interne pour le groupe Banque-Populaire avant de rejoindre l’équipe en tant que Président en janvier 2017.