 Your new post is loading...
Your new post is loading...
Les logiciels de sécurité informatique s’appuient de plus en plus sur l’apprentissage automatique pour améliorer la détection de logiciels malveillants. Le hic : avec du savoir-faire, les pirates pourraient berner systématiquement ces systèmes d’intelligence artificielle. L’apprentissage automatique profond, ou « Deep Learning », bouleverse de nombreux secteurs économiques. Il n’est pas donc étonnant que cette technologie apparaisse également chez les éditeurs antivirus. La détection de malware est avant tout un problème de classification auquel le Deep Learning peut apporter de nouvelles réponses. A l’occasion de la conférence CyberSec & AI, qui s’est déroulée à Prague au mois d'octobre dernier, l’éditeur Avast a détaillé quelques techniques d’ores et déjà en production. Ainsi, son module de protection Web Shield s’appuie sur des réseaux de neurones convolutifs pour trier les 70 000 URLs sur lesquels se rendent ses 400 millions de clients chaque seconde et, le cas échéant, détecter celles qui sont malveillantes. Un premier réseau de neurones va essayer de détecter des anomalies dans l’adresse elle-même, tant au niveau de sa structure que de l’agencement des lettres. Un second réseau de neurones va ensuite prendre une copie d’écran du site et analyser certaines parties de l’image et la comparer à des sites légitimes existants. « Si la page ressemble à une page du site d’Apple, mais que l’adresse ne fait pas partie de son domaine, alors c’est une URL malveillante », explique Rajarshi Gupta, vice-président en charge de l’intelligence artificielle. L’apprentissage automatique est également utilisé dans le module d’analyse comportementale (Behaviour Shield) pour mieux détecter les attaques réseaux chez les clients. Grâce à ses pots de miel (sorte de leurre), l’éditeur dispose d’une liste noire d’environ 2 millions d’adresses IP de serveurs de commande et contrôle. « Mais c’est difficile d’intégrer une telle liste noire en local chez nos clients. Un réseau neuronal nous permet de ne retenir que les serveurs C & C (botnets) les plus virulents. Au final, nous obtenons une liste de 200 000 adresses couvrant 95 % des attaques », poursuit Rajarshi Gupta. D’autres réseaux neuronaux ont été entraînés pour détecter des modes opératoires - tels que les attaques par force brute – ou des trafics suspects. Ce qui est utile si l’adresse IP utilisée par les pirates est totalement inconnue. Mais le domaine de la sécurité informatique a aussi ses difficultés. Ainsi, les éditeurs antivirus ne peuvent que difficilement s’appuyer sur des données étiquetées, qui sont pourtant un ingrédient fondamental pour entraîner un algorithme et créer un modèle. « On ne peut pas faire comme dans la reconnaissance d’image et avoir des gens qui disent "ceci est un malware" ou "ceci n’est pas un malware". Il y a trop de données à analyser et trop peu de personnes qualifiées capables de le faire », explique Rajarshi Gupta. C’est pourquoi les éditeurs vont essayer de générer les étiquettes de manière indirecte, soit avec des méthodes statistiques, soit au travers d’autres procédés. A découvrir aussi en vidéo Ainsi, Avast stocke toutes les URL visitées par ses clients dans un gigantesque graphe. Quand des clients se retrouvent infectés, celui-ci lui permet de déterminer par recoupements l’URL qui est à l’origine de cette attaque, et donc de créer un label qui viendra alimenter le modèle de Web Shield. L'IA, une technologie aux pieds d'argile Malheureusement, les modèles de classification obtenu par apprentissage automatique ne sont pas à l’abri d’erreurs. Pire : les chercheurs en intelligence artificielle ont montré ces dernières années qu’il était possible d’identifier cette marge d’erreur et d’injecter des données dans un fichier pour systématiquement faire planter le classifieur. On appelle cela les « attaques contradictoires » (adversarial attacks). Par le passé, elles ont déjà permis d’induire en erreur les systèmes de reconnaissance d’image, y compris ceux de voitures autonomes comme les Tesla. Dans certains cas, il est même possible de créer une image qui fasse planter le système alors que le changement est imperceptible à l’œil nu. Capture YouTube - Un changement imperceptible transforme un panda en singe Mais peut-on également envisager ce genre d’attaques dans le domaine des logiciels malveillants ? La réponse est oui. D’ailleurs, les pirates le font déjà de manière empirique. Quand ils modifient légèrement les textes de leurs e-mails de phishing ou le code de leurs malwares, ils cherchent à passer entre les mailles du filet de l’IA. Modifier un malware est évidemment plus difficile que changer quelques pixels dans une image, car le code risque de ne plus fonctionner. « Les techniques d’évasion généralement utilisées sont le rembourrage avec des données aléatoire, l’ajout de fichiers bénins, la compression, le chiffrement ou encore l’injection de fonctions malveillantes dans un fichier légitime », explique Sadia Afroz, chercheuse à l’université de Berkeley. En janvier dernier, un groupe de chercheurs italiens a montré que MalConv, un réseau neuronal spécialisé dans la détection de malware sur Windows, pouvait être trompé de manière systématique en ajoutant seulement quelques dizaines d’octets dans l’entête des fichiers. Pour copier un modèle, il suffit de l'interroger Autre bonne nouvelle pour les pirates : il n’est pas nécessaire de connaître par avance le fonctionnement d’une intelligence artificielle pour réussir à la duper. Il est possible, en effet, d’y arriver par une analyse de type boîte noire, en lui soumettant des données à classer. « En interrogeant le système d’IA, un attaquant peut identifier ses caractéristiques et recréer un modèle similaire à partir duquel il pourra générer les erreurs de classement », explique Nicolas Papernot, professeur à l’université de Toronto. Paradoxalement, l’effort nécessaire pour extraire un modèle est bien plus faible que celui requis pour sa création initiale. Dans les expériences réalisées par Nicolas Papernot sur les plates-formes d’intelligence artificielle d’Amazon, de Google et de MetaMind, quelques milliers de requêtes suffisaient alors que les modèles étaient entraînés sur plus de 60 000 images. Capture YouTube - Se protéger contre ces attaques n’est pas aisé. Les chercheurs se cassent actuellement la tête pour rendre les modèles d’apprentissage automatique plus robustes, sans les faire perdre en précision. Faut-il, dès lors, bientôt craindre une guerre de l’IA dans la sécurité informatique ? Pas dans l’immédiat, car les pirates n’ont pas encore les compétences suffisantes pour s’attaquer de manière systématique aux systèmes d’intelligence artificielle. Mais les compétences en IA vont bien finir par se démocratiser et les pirates trouveront peut-être des cibles suffisamment rentables pour mettre des data scientists à leur solde. Ce n’est qu’une question de temps. « A mesure que les niveaux de protection augmenteront, les pirates vont se tourner vers ce genre de techniques pour arriver à leurs fins », estime Battista Biggio, professeur à l’université de Cagliari. Quand ce jour arrivera, les éditeurs antivirus vont avoir de sérieux problèmes et ils le savent. C’est pourquoi ils cherchent à avoir constamment une longueur d’avance en attirant un maximum de chercheurs spécialisés. « La sécurité informatique est le seul domaine où les systèmes d’intelligence artificielle sont confrontés à de vrais adversaires. C’est le seul domaine où ils doivent classer des éléments qui ont été créés pour ne pas l’être », a lancé Rajarshi Gupta à la fin de la conférence. Son but était clair : susciter des vocations parmi les experts présents dans la salle... et peut-être leur proposer un job. Gilbert Kallenborn
Un virus très puissant (qui peut vous piquer votre code de carte bleue) s'apprête à faire son retour sur Facebook. Méfiance ! Attention, le virus Magnet revient en force sur Facebook. Des utilisateurs belges et espagnols en ont été victimes ces derniers jours. Les pages Facebook des gendarmeries relayent ces dernières heures des messages de prudence.
Magnet est un logiciel malveillant qui avait infecté des centaines de milliers d'ordinateurs en février dernier, en se propageant sur Facebook par une vidéo porno. Si vous voyez sur votre fil une vidéo qui a l'air à caractère pronographique ou à sensation (Vidéos de faits improbables, de "jeunes femmes" dénudées, de situations dégoutantes, etc...), passez votre chemin même si cela vient d'un de vos amis. De plus, si vous cliquez, tous vos amis recevront à leur tour la vidéo-virus.
Carte de crédit Magnet est un virus très puissant qui s'installe sur votre ordinateur et est capable de surveiller vos mouvements de clavier et votre souris pour obtenir des informations précieuses, comme par exemple votre numéro de carte de crédit.
En février, Facebook qui compte 1,2 milliards d'utilisateurs avait indiquait qu'il travaillait à l'éradication de Magnet. Il y a encore du travail...
INFOGRAPHIE - Des virus bloquent à distance les ordinateurs puis leurs propriétaires sont sommés de payer une «amende». Redoutable, furtive et faisant des ravages sans laisser la moindre trace, cette dernière escroquerie du crime organisé reléguerait presque les hold-up et autres braquages au rayon sépia du banditisme. Dernier avatar de l'arnaque sur la planète Web, elle prend la forme de virus assez sophistiqués, concoctés par de mystérieux gangs retranchés dans les pays de l'Est pour prendre le contrôle des ordinateurs de centaines de particuliers et amasser des butins colossaux. Grâce à un mode opératoire ingénieux, baptisé «rançongiciel», néologisme façon 2.0 qui est en fait la traduction du «ransomware» anglais, les pirates se font passer pour des gendarmes de l'Internet afin d'extorquer de l'argent sous forme de pseudo-amendes.
|
Le nouveau virus repéré cible exclusivement les usagers du célèbre réseau social et est susceptible de prendre le contrôle de leurs machines. Les réseaux sociaux seraient-ils en passe de devenir le nouveau terrain de jeu favori des pirates informatiques ? Depuis deux ans, les attaques se multiplient sur ces plateformes. Certaines, particulièrement spectaculaires, ont été largement médiatisées. Ainsi, en juillet 2014, Facebook repérait un logiciel malveillant (Lecpetex) susceptible de transformer les ordinateurs infectés en machines « zombie », utilisées à l'insu de leurs propriétaires, pour relayer des attaques informatiques de type « botnet ». Créant ainsi artificiellement des réseaux d'ordinateurs-robots, les pirates informatiques envoient parfois des spams en masse pour propager des ransomwares, mais organisent aussi des campagnes de phishing, ou hameçonnage... Le smartphone, porte d'entrée privilégiée Le 24 août, les chercheurs du groupe de cybersécurité slovaque ESET ont découvert un cheval de Troie ouvrant une porte dérobée sous Android résultant de tweets infectés. Surnommé Android/Twitoor, « il s'agit de la première application malveillante utilisant Twitter au lieu d'une commande et d'un contrôle traditionnel de serveur [C&C] », affirme l'expert Lukáš Štefanko, chercheur chez ESET, qui a découvert cette application malicieuse. Repéré courant juillet 2016, ce logiciel malveillant se propagerait par SMS ou via des adresses URL dédiées, créées de toutes pièces par les hackers pour diffuser leurs malwares. Il prend l'apparence d'une application mobile « pour adulte » et d'une application MMS sans fonctionnalité, confirmant ainsi que la porte d'entrée préférée des pirates informatiques reste le smartphone. ESET affirme que plusieurs versions de services bancaires mobiles ont été infectées par ce malware. Un tournant en matière de cybersécurité Œuvrant discrètement (c'est le propre des chevaux de Troie), ce logiciel malin télécharge progressivement des applications, faisant basculer le serveur C&C d'un compte Twitter à un autre et faisant ainsi perdre le contrôle de sa machine à n'importe quel utilisateur d'ordinateurs, tablettes ou téléphones portables infectés. « C'est une étape innovante pour une plateforme Android », estime Lukáš Štefanko, pour qui « les canaux de communication basés sur des réseaux sociaux sont difficiles à découvrir et impossibles à bloquer entièrement ». Ce virus permet potentiellement aux hackers de rediriger les communications, de manière extrêmement facile, d'un compte vers un autre, et ce, de façon simultanée. Twitter avait déjà été utilisé pour contrôler des botnets sous Windows en 2009. « Mais ce moyen de dissimulation était resté inexploité jusqu'à présent. Cependant, nous pouvons nous attendre à l'avenir à ce que les cybercriminels essaient de faire usage des statuts de Facebook ou de déployer leurs attaques sur LinkedIn et autres réseaux sociaux » , prévoit l'ingénieur informatique. Une préoccupation mondiale La prise de contrôle de millions d'ordinateurs de par le monde permet aux hackers de constituer de véritables « armées » de machines-zombies susceptibles d'être utilisées pour « bombarder » des serveurs en les sollicitant, de manière simultanée, afin de les faire tomber. Cela peut conduire à paralyser l'activité de certaines entreprises par déni de service ou DdOS. Les secteurs financiers et énergétiques ainsi que les infrastructures de télécommunication et de défense figurent parmi les cibles préférées des hackers. La vidéo suivante permet de visualiser à quoi ressemble une attaque de botnet. Cette campagne hostile, survenue le jour de Noël 2015, ciblait plusieurs serveurs californiens qui ont été rendus inopérants pendant plusieurs heures après ce pilonnage intensif...
Sous la houlette d'Interpol, la coordination internationale public-privé qui avait démantelé Beebone a éradiqué un deuxième botnet baptisé Simda. Après avoir infecté 770 000 ordinateurs dans 190 pays en l’espace de trois ans, le botnet Simda a été mis hors d’état de nuire.
C’est tout du moins ce qu’affirme Interpol. Avec le soutien du FBI, l’organisation internationale de police criminelle a supervisé une coordination public-privé qui a saisi plus d’une dizaine de serveurs et de domaines aux Pays-Bas, en Pologne, au Luxembourg, aux Etats-Unis ou encore en Russie. Repéré fin 2012, Simda était encore très actif ces derniers mois : il aurait contaminé 90 000 machines depuis le début de l’année selon Kaspersky Lab, qui a participé à l’opération de démantèlement. En première ligne, la Chine, la Russie et les Etats-Unis ; ainsi que, dans une moindre proportion, le Canada, l’Inde, le Royaume-Uni… et la France, où plus de 1500 infections ont été recensées. D’après la description qu’en fait Microsoft, Simda se propageait essentiellement via des injections SQL sur des sites Web malveillants vers lesquels les victimes étaient souvent redirigées après avoir cliqué sur un lien dans un e-mail ou sur un réseau social. A l’instar du botnet Beebone, éradiqué la semaine passée, Simda était difficilement détectable de par son caractère « polymorphe » : il se mettait régulièrement à jour pour passer incognito au radar antivirus. Tout en étant capable de s’adapter à l’environnement logiciel sur lequel il s’exécutait. Autres points communs avec Beebone : la capacité à détecter de nombreux outils de sécurité ainsi que l’exécution dans des machines virtuelles et l’exploitation de listes noires d’adresses IP pour empêcher les connexions vers certains sites Internet, typiquement ceux des éditeurs de solutions de sécurité IT. Simda a constitué un canal de diffusion majeur pour de nombreux logiciels malveillants, dont un trojan bancaire, des adware et des malware pour la fraude au clic (Miuref, Claretore, Haglacod). La puissance de calcul des machines contaminées pouvaient aussi être exploitée pour miner des monnaies virtuelles comme le bitcoin. Le « petit plus » qui différenciait Simda de nombreux botnets, c’était cette modification du fichier hosts (%SYSTEM32%\drivers|etc\hosts.txt). Une manoeuvre qui facilitait l’installation d’autres logiciels malveillants, tout en garantissant une persistance : toute machine infectée continuait d’envoyer, de temps à autre, des requêtes HTTP vers des serveurs malveillants. Les créateurs de Simda proposaient par ailleurs des prestations « sur commande ». Ils garantissaient par exemple qu’un seul logiciel malveillant soit installé sur une machine donnée. Une fois son travail accompli, le botnet entrait tout simplement en sommeil et ne se réactivait pas au redémarrage. A noter : Kaspersky Lab a mis en place un site Web qui permet de vérifier si une adresse IP s’est déjà connectée au moins une fois à l’un des serveurs de commande et contrôle (C&C) liés à Simda.
Les pirates ne manquent pas d'imagination. Un virus visant les ordinateurs Macintosh d'Apple a pour effet d'intercepter des recettes publicitaires qui devraient théoriquement revenir à Google, affirme un rapport de la société de sécurité Symantec publié mardi. En clair : le virus "Flashback" redirige l'utilisateur vers une page contrôlée par des hackers et qui leur permet de "voler" l'argent de la pub du moteur de recherche. Et ça peut rapporter gros. 10.000 dollars par jour détournés (...) Apple a lancé le mois dernier un "patch" destiné à vaincre le virus Flashback qui infeste les ordinateurs Mac, après avoir identifié une faille dans les programmes Java. Le virus agit sous les ordres de serveurs informatiques "hébergés par des auteurs malveillants" et Apple collabore avec des fournisseurs d'accès internet pour "désactiver ce réseau". 500 à 600.000 ordinateurs infectés Des spécialistes de la sécurité informatique ont estimé en avril que plus d'un demi-million d'ordinateurs Mac pourraient avoir été infectés. Selon les chiffres du site Dr.Web, spécialisé dans les solutions anti-virus, ce sont des appareils fonctionnant sous les systèmes "Mac OS X Snow Leopard" et "Lion" qui ont été infectés par ce "trojan" qui permet également de récupérer certaines coordonnées personnelles, et en premier lieu les coordonnées bancaires. Comment ne pas attraper Flashback ? Le "cheval de troie" Flashback, c'est son petit nom, exploite une faille de sécurité du système d'exploitation. Apple a réagi très vite en sortant une mise à jour à télécharger ici http://support.apple.com/kb/HT5228 pour Java sur Mac OS X, mais 600.000 appareils auraient déjà été infectés. "Mettez à jour votre logiciel pour avoir la dernière version" de Java, conseillent les utilisateurs sur différents réseaux sociaux. Méfiance toutefois concernant n'importe quelle mise à jour. Veillez principalement à utiliser la version officielle mise en place par Apple. Selon les chiffres de Dr.Web, les Etats-Unis sont particulièrement touchés, suivis du Canada et de la Grande-Bretagne. La France, pour l'instant, ne représente qu'à peine 1% des ordinateurs infectés. Le site Dr.Web propose sur son site de savoir si votre Mac est infecté par le "trojan" Flashback : http://www.drweb.fr/flashback/
|
