Gorille optimise la sécurité réseau avec une approche anti-maliciel inédite

Bouton IdF petitAfin d’aider la lutte contre les cybermenaces, le LORIA[1] de Nancy a créé Gorille. Ce logiciel repère les similitudes entre les codes binaires pour mieux identifier les nouveaux malware. Avec cette technologie, les entreprises bénéficient d’un processus automatisé qui optimise la protection de leur réseau. Cette technologie est présentée lors de la Bourse aux Technologies organisée par l’IMT le 15 novembre 2016.

 

Vous vous sentez ralenti, comme paralysé ? Vous êtes probablement contaminé… par un virus informatique ! Malheureusement ceux-ci ne sévissent pas en fonction des saisons. Au contraire, il ne nous laisse aucun répit. D’autant qu’à eux s’ajoutent les maliciels (ou malware) et autres cybermenaces qui infestent les réseaux et affectent les entreprises, les médias ou encore les Etats sans distinction. En 2015, Panda Security dénombrait 230 000 nouveaux malware découverts chaque jour. Pour lutter contre cette contagion grandissante, les analystes disposent de peu d’armes. Afin d’aider ces experts virologues dans leur traitement des infections, une équipe de chercheurs du LORIA de Nancy a mis en place le logiciel Gorille. Celui-ci offre un processus automatisé dans le but d’augmenter la productivité des rétro-analystes face à des menaces en perpétuelle évolution.

 

Une analyse par similarités

Détecteur de maliciels, recherche de plagiat, cybersécurité… les fonctionnalités de Gorille sont vastes. Ce logiciel multi-facette a été conçu pour comparer des codes binaires. « L’analyse de ces codes vise à comprendre ce que fait un logiciel : est-ce qu’il lit les touches du clavier ? Est-ce qu’il transmet des informations sur le web ? etc. Actuellement, cette tâche est particulièrement difficile car elle est faite à la main par des rétro-analystes », explique Guillaume Bonfante, l’un des chercheurs à l’origine du logiciel.

Là où d’autres techniques cherchent les différences dans les codes de deux logiciels, Gorille s’appuie sur l’identification de similitudes. Une approche qui permet de gagner en efficacité car les points communs entre les codes sont généralement plus rares que leurs différences. La technique utilisée par le LORIA répond à un autre constat : l’écriture des virus peut être dépourvue d’imagination. En effet, il est assez facile de construire de nouveaux virus en se basant sur d’autres déjà existants. Alors pourquoi vouloir s’embêter à en réinventer un entièrement si l’on peut en plagier un autre ? Parce que Gorille vient bouleverser le cours des choses et met fin à la fainéantise des écrivains de virus !

« Nous sommes capables de reconnaitre des programmes différents dès lors qu’ils emploient quelques briques logicielles communes. C’est ainsi que nous avons découvert les liens entre les trois célèbres malwares : Stuxnet, Duqu et Gauss. Gorille reconnait chacun d’eux à partir d’une souche d’un des autres », développe Guillaume Bonfante.

loria, gorille, simorfo, cybersécurité, malware
Représentation d’une analyse morphologique.

 

Une combinaison de techniques

Regardons plus en détail comment Gorille a permis d’en arriver là. Dans son analyse, le logiciel étudie les graphes de flot de contrôle. Ces derniers sont des outils d’observation du fonctionnement d’un code. Ils permettent de suivre l’enchainement d’instructions lorsque ceux-ci sont exécutés. Gorille ajoute à cela une étape d’abstraction de ces graphes. « Celle-ci est nécessaire pour accéder à la robustesse de notre technique aux transformations des logiciels et la reconnaissance de ceux qui partagent des sources », détaille le chercheur. Autrement dit, cette méthode permet de reconnaître  la forme d’un logiciel malveillant. Guillaume Bonfante parle alors d’analyse morphologique et Gorille est le seul logiciel à fonctionner ainsi.

« Notre méthode est globale, elle porte sur la totalité du code et elle est structurelle (graphe de flot de contrôle). Donc avec l’analyse par similarités, l’écrivain d’un virus ne peut plus réutiliser simplement des lignes de code déjà existantes mais doit « repartir de zéro » pour construire un nouveau virus ». En complément, les chercheurs utilisent une analyse dynamique de codes binaires. En effet, les logiciels ont la fâcheuse capacité à pouvoir s’auto-modifier ce qui rend leur traitement difficile. « Ce procédé permet de révéler des parties cachées de code que nous étudions par la suite avec Gorille. Ces parties cachées sont très communes pour les malware (> 92%) et suffisent en général à tromper les logiciels antivirus usuels », explique Guillaume Bonfante.

 

Un logiciel dédié aux entreprises

Avec sa robustesse et son adaptabilité, l’innovation Gorille est un logiciel de qualité dédié à la cyberdéfense. Son autonomie permet d’évaluer le rapprochement entre des codes binaires qui serait difficile à mettre en œuvre humainement parlant. Les résultats des analyses ainsi optimisées sont ensuite transmis à l’utilisateur sous diverses formes : document texte, pages html… Toutefois, ces résultats demandent un certain niveau d’expertise pour être analysés. D’autre part, c’est à l’entreprise que revient le choix d’utilisation de Gorille. Elle peut l’exécuter par collectes journalières ou horaires, par anticipation à l’entrée du réseau, après un pare-feu, etc.

En somme, le logiciel fonctionne sous Windows, Linux et MacOS. En plus, les chercheurs ont la possibilité d’analyser les codes que l’on trouve généralement sur les téléphones portables. « Le logiciel a été conçu pour être intégré à des solutions globales d’analyse de code », ajoute Guillaume Bonfante.

 

Une démocratisation à venir

gorille, loria, cybersécuritéL’équipe de recherche à l’origine de Gorille a décidé de créer une spinoff appelée Simorfo (en cours d’élaboration). Celle-ci permettra la valorisation de Gorille et de l’analyse morphologique directement sur le marché européen de la cybersécurité. Les chercheurs veulent ainsi proposer leur solution innovante que Guillaume Bonfante résume en trois idées : « La découverte de nouveaux malware, la robustesse aux transformations des logiciels et la simplicité, car notre technologie s’adapte à de nombreux contextes et emplois ».

 

[1]LORIA : Laboratoire lorrain de recherche en informatique et ses applications, est une UMR commune au CNRS, l’Université de Lorraine et l’Inria.

 

 

Le+bleu Gorille sera présenté à la Bourse aux technologies

Mardi 15 novembre 2016, l’Institut Mines-Télécom (doublement labellisé Carnot pour la qualité de sa recherche partenariale) organise avec Mines Nancy et en lien avec Télécom Nancy, l’École nationale supérieure de Géologie et Télécom Physique Strasbourg, une nouvelle Bourse aux technologies autour du thème « Big Data pour l’optimisation industrielle ». Le LORIA y présentera son logiciel pour la cybersécurité.

Pour en savoir plus sur cet évènement, lire notre article dédié :

Géolocalisation intérieure, cybersécurité, amélioration des procédés : les entreprises découvrent trois nouvelles technologies autour du Big Data

2 comments

  1. Une initiative intéressante qui aidera certainement les institutions et les entreprises à renforcer leur système de sécurité informatique. Récemment, des cas d’attaques ont été remarqué aux États-Unis et en Angleterre, les nouveaux logiciels de protection seront vraiment les bienvenus.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *