Il y a bien longtemps que l’humanité n’avait pas connu une telle année. Il ne me semble pas avoir vécu une année avec autant de cygnes noirs de types et de formes si différents. Il est évident que je ne parle pas de ceux qui ont des plumes. Il s’agit plutôt d’événements inattendus qui ont des conséquences considérables, selon la théorie de Nassim Nicholas Taleb que ce dernier a présenté dans son livre Le Cygne noir: La puissance de l’imprévisible en 2007. Un des principes de cette théorie est, qu’avec le recul, les événements surprenants qui se sont déjà produits s’avèrent être évidents et prévisibles. Pourtant, personne ne les avait anticipés avant qu’ils n’aient lieu.
Les experts en cybersécurité peuvent gérer l’ambigüité des cygnes noirs et les prédire grâce à YARA
Prenons un exemple : cet épouvantable virus qui a mis le monde entier en quarantaine depuis mars. Il s’avère qu’il existe toute une grande famille de Coronaviridae, plusieurs dizaines, et qu’on en trouve régulièrement de nouvelles mutations. Les chats, les chiens, les oiseaux ou encore les chauves-souris. Tous attrapent ce virus. Les humains aussi. Certains virus ne causent qu’un simple rhume alors que d’autres se manifestent… différemment. Il ne fait aucun doute que nous devons trouver un vaccin pour toute cette famille comme nous l’avons fait pour toutes les autres maladies mortelles : variole, polio, etc. Oui, mais avoir un vaccin n’est pas toujours la solution. Regardez la grippe… il n’y a aucun vaccin immunisant et ce depuis combien de siècles maintenant ? Quoi qu’il en soit, avant de commencer à développer un vaccin vous devez savoir ce que vous recherchez et il semblerait que cela relève plus de l’art que de la science.
Pourquoi est-ce que je vous raconte tout cela ? Quel est le lien… Il s’agit forcément de cybersécurité ou d’un voyage exotique, n’est-ce pas ?! Aujourd’hui, nous allons nous concentrer sur le premier élément.
Les zero-day sont une des cybermenaces existantes les plus dangereuses : ces vulnérabilités de logiciel rares et inconnues (pour les experts en cybersécurités et autres) peuvent causer d’importants et d’atroces dégâts à grande échelle, et ont tendance à rester cachées jusqu’à ce qu’elles soient exploitées, ou à n’être découvertes qu’après.
Pourtant, les experts en cybersécurité ont des outils qui leur permettent de gérer l’ambigüité des cygnes noirs et de les prédire. Je souhaite vous parler de l’un d’entre eux : YARA.
L’équipe GReAT de Costin Raiu a examiné les e-mails de Hacking Team et a établi une règle YARA, capable de détecter un exploit zero-day, à partir de presque rien
Pour faire simple, YARA aide à rechercher et détecter un malware en identifiant les fichiers qui répondent à certains critères et en adoptant une approche qui repose sur des règles afin de décrire les familles de malware selon leurs modèles textuels ou binaires. Tout cela semble bien compliqué. Continuez à lire, vous allez comprendre. Cet outil est donc utilisé pour rechercher des malwares similaires après avoir identifié un modèle. L’objectif est de pouvoir dire que certains programmes malveillants semblent avoir été inventés par les mêmes cybercriminels et à des fins similaires.
Utilisons une autre métaphore, comme celle du cygne noir et avec de l’eau : la mer.
Imaginons que votre réseau est l’océan, avec des milliers de poissons différents, et que vous êtes un pêcheur parti au large sur son bateau qui lance d’énormes filets dérivants pour pêcher. Attention, seules quelques espèces de poissons vous intéressent : les malwares créés par un groupe spécifique de pirates informatiques. Votre filet dérivant est spécial maintenant. Il dispose de plusieurs compartiments et seuls les poissons d’une espèce en particulier (caractéristiques du malware) peuvent être mis dans le compartiment correspondant.
Lorsque vous remontez le filet vous avez beaucoup de poissons, tous compartimentés. Certains sont relativement récents, d’autres sont tout à fait inédits (nouveaux échantillons de malware) et vous ne savez pas grand-chose de ces exemplaires. Pourtant, vous avez des poissons dans des compartiments, par exemple « Ressemble à l’espèce [du groupe de cybercriminels] X » ou « Ressemble à l’espèce [du groupe de cybercriminels] Y ».
Voici un article qui illustre la métaphore du poisson et du pêcheur. En 2015, notre gourou YARA et directeur de GReAT, Costin Raiu, s’est complètement transformé en Sherlock Holmes de l’informatique pour trouver un exploit dans le logiciel Silverlight de Microsoft. Je vous conseille vivement de lire cet article mais, en résumé, Raiu a minutieusement examiné certains échanges d’e-mails que les cybercriminels ont divulgués pour établir une règle YARA à partir de presque rien, et c’est ainsi qu’il a pu trouver l’exploit et protéger le monde entier d’un très gros problème. Les e-mails avaient été envoyés par une entreprise italienne qui s’appelle Hacking Team… Des cybercriminels qui piratent d’autres cybercriminels !
Revenons-en aux règles YARA…
Les particpants reçoivent un certificat à la fin du cours qui confirme leur nouveau statut de ninja YARA. Certains nous ont dit que cette formation les a vraiment aidés dans leur carrière professionnelle
Nous enseignons l’art de la création des règles YARA depuis des années. Les cybermenaces que YARA nous a permis de découvrir sont assez complexes. C’est pourquoi ce cours est toujours présentiel, hors-ligne, et réservé à un nombre réduit de participants qui sont les meilleurs chercheurs en cybersécurité. Depuis mars, et à cause du confinement, il n’a pas été facile d’organiser une formation dans le monde réel. Le besoin de se former n’a pas pour autant disparu et l’intérêt porté à nos cours n’a pas diminué.
C’est tout naturel : les cybercriminels ne cessent d’imaginer de nouvelles attaques encore plus sophistiquées, surtout pendant la quarantaine. Par conséquent, il était tout simplement inacceptable de ne pas partager nos connaissances spécialisées sur YARA. Nous avons donc (1) adapté le format de la formation pour qu’elle puisse être faite en ligne et (2) l’avons rendue accessible à tout le monde. Elle n’est pas gratuite mais le prix est très compétitif et au niveau du marché pour un cours de ce niveau-là (le plus élevé).
Le voilà :
En lire plus :Apprenez à utiliser les règles YARA : comment prédire les cygnes noirs