Basée au centre Inria Rennes - Bretagne Atlantique, l'équipe de recherche Tamis est spécialisée en sécurité. Elle débute une collaboration avec Cisco Systems , le leader mondial des technologies de l'information. Objectif : élaborer une méthode innovante pour repérer, à l'exécution, les logiciels malveillants dissimulés dans le code informatique.
« À l'heure actuelle, pour repérer un virus dans un fichier, il faut fouiller le code de programmation et tenter d'en extraire des signatures révélatrices de la présence du logiciel malveillant. Dans le fond, c'est de la recherche de motif. Pour faire cela, tous les antivirus s'appuient sur des bases de données de signatures. Mais si le virus a été un peu réécrit, s'il a muté, s'il a fait l'objet d'une virtualisation ou d'une obfuscation, alors la signature habituelle n'existe plus. Le malware va passer inaperçu. Les recherches que nous débutons avec Cisco Systems visent à résoudre ce problème persistant », résume Axel Legay , responsable de l'équipe de recherche Tamis .
L'histoire de ce partenariat débute il y a deux ans par une visite des représentants de Cisco au siège d'Inria, à Paris. L'industriel y rencontre les différentes équipes de l'institut spécialisées en sécurité informatique. Parmi elles, il choisit de travailler avec Tamis. « Deux raisons à cela. D'une part, notre équipe concentre ses recherches sur l'analyse de malware. D'autre part, nous faisons partie du PEC, le Pôle d'excellence cyber lancé par le ministère de la Défense et la région Bretagne. Cisco souhaitait aussi rejoindre cet écosystème. »
« La stratégie d'accélération de la transformation numérique de Cisco est un engagement à long terme avec les gouvernements, les industries et les laboratoires académiques, indique Alain Fiocco , directeur Engineering et Innovation, Cisco . Elle vise à accélérer le rythme de la transformation numérique nationale à travers un ensemble d'investissements dans la formation, les start-up innovantes, les infrastructures nationales, les villes intelligentes et la cybersécurité. C'est dans le cadre de ce partenariat que Cisco s'est engagé à investir 200 millions de dollars en France dans le but de favoriser l'émergence de nouvelles entreprises innovantes et accompagner leur croissance. »
Protection supérieure contre les malware
Financés par l'entreprise à hauteur de 700 000 euros sur les trois prochaines années, les nouveaux travaux vont permettre d'explorer une méthode innovante pour débusquer les malware savamment dissimulés. « Contrairement aux stratégies classiques, notre approche repose sur l'analyse sémantique durant l'exécution, indique Axel Legay. Nous ne nous contentons pas de regarder le code. Nous l'exécutons en sandbox afin d'extraire le maximum d'informations possible durant cette exécution pour forcer le malware à se révéler. Ainsi, nous pourrions par exemple repérer des appels systèmes suspects qui n'auraient pas été détectés autrement. Nos logiciels d'apprentissage vont repérer ces signatures révélatrices et enrichir notre base de données. »
Tout cela se déroule durant une phase préliminaire hors ligne qui demande au passage une grosse infrastructure à la fois en termes de calcul et de stockage.
Vient ensuite la phase deux. « Quand les utilisateurs lancent un logiciel sur leur ordinateur, nos algorithmes regardent comment il s'exécute et comparent avec notre base de données de signatures. À ce moment-là, il faut que les choses aillent très vite. Et cela tout en évitant les faux positifs. »
Les scientifiques d'Inria vont travailler avec plusieurs unités R&D de Cisco à travers les États-Unis. « Parmi eux, il y a Talos, l'entité spécialisée dans l'analyse des menaces qui fut très réactive durant les récentes attaques par ransomware, mais aussi des équipes à Atlanta, San Francisco, etc. »
Au niveau scientifique, cette coopération fonctionne en fait dans les deux sens. « Nous leur fournissons nos contributions théoriques en exécution symbolique de fichiers. En retour, nous profitons de leur grande expérience. De par son métier, Cisco a répertorié un grand nombre d'attaques réelles sur ses serveurs. Elle possède une vaste connaissance sur le fonctionnement de ces malware. Cette expérience de terrain leur permet de dire si pour tel fichier l'exécution symbolique correspond oui ou non à un malware. Dans ce domaine, nous sommes donc très complémentaires. »