formation
Il y a bien longtemps que l’humanité n’avait pas connu une telle année. Il ne me semble pas avoir vécu une année avec autant de cygnes noirs de types et de formes si différents. Il est évident que je ne parle pas de ceux qui ont des plumes. Il s’agit plutôt d’événements inattendus qui ont des conséquences considérables, selon la théorie de Nassim Nicholas Taleb que ce dernier a présenté dans son livre Le Cygne noir: La puissance de l’imprévisible en 2007. Un des principes de cette théorie est, qu’avec le recul, les événements surprenants qui se sont déjà produits s’avèrent être évidents et prévisibles. Pourtant, personne ne les avait anticipés avant qu’ils n’aient lieu.
Prenons un exemple : cet épouvantable virus qui a mis le monde entier en quarantaine depuis mars. Il s’avère qu’il existe toute une grande famille de Coronaviridae, plusieurs dizaines, et qu’on en trouve régulièrement de nouvelles mutations. Les chats, les chiens, les oiseaux ou encore les chauves-souris. Tous attrapent ce virus. Les humains aussi. Certains virus ne causent qu’un simple rhume alors que d’autres se manifestent… différemment. Il ne fait aucun doute que nous devons trouver un vaccin pour toute cette famille comme nous l’avons fait pour toutes les autres maladies mortelles : variole, polio, etc. Oui, mais avoir un vaccin n’est pas toujours la solution. Regardez la grippe… il n’y a aucun vaccin immunisant et ce depuis combien de siècles maintenant ? Quoi qu’il en soit, avant de commencer à développer un vaccin vous devez savoir ce que vous recherchez et il semblerait que cela relève plus de l’art que de la science.
Pourquoi est-ce que je vous raconte tout cela ? Quel est le lien… Il s’agit forcément de cybersécurité ou d’un voyage exotique, n’est-ce pas ?! Aujourd’hui, nous allons nous concentrer sur le premier élément.
Les zero-day sont une des cybermenaces existantes les plus dangereuses : ces vulnérabilités de logiciel rares et inconnues (pour les experts en cybersécurités et autres) peuvent causer d’importants et d’atroces dégâts à grande échelle, et ont tendance à rester cachées jusqu’à ce qu’elles soient exploitées, ou à n’être découvertes qu’après.
Pourtant, les experts en cybersécurité ont des outils qui leur permettent de gérer l’ambigüité des cygnes noirs et de les prédire. Je souhaite vous parler de l’un d’entre eux : YARA.
Pour faire simple, YARA aide à rechercher et détecter un malware en identifiant les fichiers qui répondent à certains critères et en adoptant une approche qui repose sur des règles afin de décrire les familles de malware selon leurs modèles textuels ou binaires. Tout cela semble bien compliqué. Continuez à lire, vous allez comprendre. Cet outil est donc utilisé pour rechercher des malwares similaires après avoir identifié un modèle. L’objectif est de pouvoir dire que certains programmes malveillants semblent avoir été inventés par les mêmes cybercriminels et à des fins similaires.
Utilisons une autre métaphore, comme celle du cygne noir et avec de l’eau : la mer.
Imaginons que votre réseau est l’océan, avec des milliers de poissons différents, et que vous êtes un pêcheur parti au large sur son bateau qui lance d’énormes filets dérivants pour pêcher. Attention, seules quelques espèces de poissons vous intéressent : les malwares créés par un groupe spécifique de pirates informatiques. Votre filet dérivant est spécial maintenant. Il dispose de plusieurs compartiments et seuls les poissons d’une espèce en particulier (caractéristiques du malware) peuvent être mis dans le compartiment correspondant.
Lorsque vous remontez le filet vous avez beaucoup de poissons, tous compartimentés. Certains sont relativement récents, d’autres sont tout à fait inédits (nouveaux échantillons de malware) et vous ne savez pas grand-chose de ces exemplaires. Pourtant, vous avez des poissons dans des compartiments, par exemple « Ressemble à l’espèce [du groupe de cybercriminels] X » ou « Ressemble à l’espèce [du groupe de cybercriminels] Y ».
Voici un article qui illustre la métaphore du poisson et du pêcheur. En 2015, notre gourou YARA et directeur de GReAT, Costin Raiu, s’est complètement transformé en Sherlock Holmes de l’informatique pour trouver un exploit dans le logiciel Silverlight de Microsoft. Je vous conseille vivement de lire cet article mais, en résumé, Raiu a minutieusement examiné certains échanges d’e-mails que les cybercriminels ont divulgués pour établir une règle YARA à partir de presque rien, et c’est ainsi qu’il a pu trouver l’exploit et protéger le monde entier d’un très gros problème. Les e-mails avaient été envoyés par une entreprise italienne qui s’appelle Hacking Team… Des cybercriminels qui piratent d’autres cybercriminels !
Revenons-en aux règles YARA…
Nous enseignons l’art de la création des règles YARA depuis des années. Les cybermenaces que YARA nous a permis de découvrir sont assez complexes. C’est pourquoi ce cours est toujours présentiel, hors-ligne, et réservé à un nombre réduit de participants qui sont les meilleurs chercheurs en cybersécurité. Depuis mars, et à cause du confinement, il n’a pas été facile d’organiser une formation dans le monde réel. Le besoin de se former n’a pas pour autant disparu et l’intérêt porté à nos cours n’a pas diminué.
C’est tout naturel : les cybercriminels ne cessent d’imaginer de nouvelles attaques encore plus sophistiquées, surtout pendant la quarantaine. Par conséquent, il était tout simplement inacceptable de ne pas partager nos connaissances spécialisées sur YARA. Nous avons donc (1) adapté le format de la formation pour qu’elle puisse être faite en ligne et (2) l’avons rendue accessible à tout le monde. Elle n’est pas gratuite mais le prix est très compétitif et au niveau du marché pour un cours de ce niveau-là (le plus élevé).
Le voilà :
Quoi d’autre ?
Ah, oui.
Étant donné les problèmes liés au virus dans le monde entier, nous aidons toujours ceux qui sont en première ligne. Au tout début de cette histoire de corona, nous avons offert des licences aux établissements médicaux. Pour aller plus loin, nous avons décidé d’aider des organisations à but non lucratif et des ONG qui se battent pour que certains droits soient reconnus ou qui cherchent à créer un cyberespace plus sûr. Cliquez ici pour consulter la liste complète. Notre formation YARA est gratuite pour toutes ces organisations.
Pourquoi ? Parce que les ONG gèrent des informations très sensibles qui peuvent être piratées par des attaques ciblées, et certaines ONG ne peuvent pas s’offrir le luxe d’avoir leur propre département d’experts informatiques.
Voyons rapidement ce que ce cours inclut :
- 100 % en ligne, formation à votre rythme. Vous pouvez la faire de façon intensive, en quelques soirées, ou l’étaler sur un mois.
- L’équilibre parfait entre la théorie et la pratique. Il y a un laboratoire virtuel où vous pouvez vous entraîner à écrire les règles et à rechercher des échantillons de malware dans notre collection.
- Exercices pratiques à partir d’attaques de cyber-espionnage réelles.
- Un module sur l’art de rechercher ce que vous ne connaissez pas vraiment. Ou lorsque votre intuition vous dit qu’un cyber-méchant rôde mais que vous ne savez pas où il est ou de qui il s’agit.
- Remise d’un certificat à la fin du cours qui confirme votre nouveau statut de ninja YARA. Certains de nos anciens participants nous ont dit que cette formation les a vraiment aidés dans leur carrière professionnelle.
Voilà, les amis : vous ajoutez une autre corde particulièrement utile à votre arc pour lutter contre les cybermenaces très sophistiquées. En attendant, rien n’a changé ici à K. Nous continuons à faire notre travail de cyber-détectives pour que nous puissions vous en dire encore plus sur nos toutes dernières découvertes et expériences pratiques dans notre combat pour la bonne cause.
Conseils