Dublin.- Depuis deux ans, Candid Wueest est l’expert malware du centre Symantec Response de Dublin en Irlande. A son actif, cet ingénieur compte la découverte de plusieurs codes particulièrement actifs. « Ma journée de travail démarre à 9 heures; je commence par m’identifier sur la page qui centralise les questions de nos clients, j’extrais le document suspect et procède à son envoi sur ma machine test « Blackbox », qui n’est pas sur le réseau », explique Candid Wueest. Cette boîte noire -signée Dell- permet à notre « détective de virus » de tester les différents codes que lui soumettent des clients de l’éditeur d’antivirus. Il doit déterminer si la menace est nouvelle et dangereuse. « Près de 15% des codes analysés sont propres, mais dans 80% des cas, les chevaux de Troie que nous traitons ont un seul et unique but: tenter de s’enrichir en volant des informations personnelles. Nous travaillons également sur les systèmes Linux et Mac. » Concrètement, Candid Wueest procède en plusieurs étapes. Il commence à lire le code (strings) et cherche une faille (scan log). Une fois qu’il a découvert la variante, si elle existe, il fait exécuter la menace sur sa machine test qui fait croire au virus qu’il se trouve connecté au Web. Tout ce processus nécessite 20 minutes de traitement, à l’aide d’utilitaires développés en interne. « Avec un logiciel de monitoring, on peut analyser le comportement du code, s’il procède à une modification d’une clé du registre; on peut suivre son impact sur les processus, surveiller l’action d’unkeylog. Certains codes sont programmés pour effacer le disque dur d’une cible à une date précise. Il faut là aussi lui donner l’illusion que c’est le moment d’agir » explique Wueest. Si la menace est nouvelle et qu’elle ne figure pas dans la base de données dont dispose Candid Wueest, il effectue l’identification du code. C’est la deuxième étape de son travail. Il commence par ouvrir une session de désassemblage du code qui pour l’instant est en binaire, ce qui permet de le rendre lisible. Comme l’indique Wueest, « il ne s’agit ni de langage C ni de Java, mais c’est lisible pour un programmeur. Après, il faut rechercher les traces laissées par le pirate. On peut également faire des recherches dans le code par mots-clés. » Une fois cette étape d’identification et de classification terminée, il soumet la signature à son collègue, l’Information Developper (ID) avec un petit texte explicatif. L’ID vérifie le sens de ces dernières et fait une relecture de la synthèse proposée par l’ingénieur. Cette étape terminée, un e-mail et un correctif sont envoyés au client. Curieusement, les ingénieurs du centre de Dublin n’utilisent pas la virtualisation, une technologie pourtant très en vogue qui permet notamment de tester les attaques. Mais il y a une raison à cela. Selon Wueest, qui ne remet pas en cause la qualité de cette techno, « certains virus ciblent spécifiquement les machines virtuelles », voilà pourquoi il n’utilise pas ce genre de solution.
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…