{"id":10808,"date":"2018-08-13T13:59:38","date_gmt":"2018-08-13T13:59:38","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=10808"},"modified":"2019-11-22T08:57:20","modified_gmt":"2019-11-22T08:57:20","slug":"behavioral-model","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/behavioral-model\/10808\/","title":{"rendered":"La mort d’eVoldemort"},"content":{"rendered":"

Les comptes de f\u00e9e et les histoires fantastiques ont depuis longtemps dissip\u00e9 le mythe sur l\u2019invincibilit\u00e9 des vilains (alors qu\u2019en informatique<\/a>, nous faisons face au m\u00eame mythe depuis plus de 20 ans<\/a>). Chaque Voldemort d\u00e9pend de la s\u00e9curit\u00e9 de son journal, de sa bague, de son serpent, de son\u2026 bref, je suppose que vous connaissez d\u00e9j\u00e0 tout sur les Horcruxes. Et le succ\u00e8s de votre lutte contre le mal, qu\u2019il s\u2019agisse d\u2019un compte de f\u00e9e ou de l\u2019espace virtuel, d\u00e9pend de deux qualit\u00e9s principales\u00a0: pers\u00e9v\u00e9rance et intelligence (c\u2019est-\u00e0-dire, de votre technologie). Aujourd\u2019hui, je vais vous expliquer comment la pers\u00e9v\u00e9rance et l\u2019intelligence, ainsi que les r\u00e9seaux neuronaux, l\u2019apprentissage automatique<\/a>, la s\u00e9curit\u00e9 Cloud<\/a> et le savoir des experts (le tout int\u00e9gr\u00e9 dans nos produits) vous prot\u00e8geront des futures menaces potentielles.<\/p>\n

D\u2019ailleurs, nous avons d\u00e9j\u00e0<\/a> parl\u00e9 de la protection contre les futures cybermenaces avant (plus d\u2019une fois<\/a>, \u00e0 maintes reprises, nous en avons m\u00eame ri). Vous vous demanderez peut-\u00eatre\u00a0: pourquoi une telle obsession\u00a0?<\/p>\n

C\u2019est parce que ces technologies sont exactement ce qui fait la diff\u00e9rence avec une fausse intelligence artificielle<\/a> et des produits qui utilisent des informations vol\u00e9es pour d\u00e9tecter les malwares<\/a>. Identifier la s\u00e9quence de code qui utilise une signature connue une fois que le malware a d\u00e9j\u00e0 p\u00e9n\u00e9tr\u00e9 dans le syst\u00e8me et jou\u00e9 des mauvais tours \u00e0 l\u2019utilisateur\u00a0? Personne n\u2019a besoin de \u00e7a, \u00e7a serait comme \u00a0\u00bb\u00a0un cataplasme sur une jambe de bois\u00a0\u00ab\u00a0.<\/p>\n

N\u00e9anmoins, tr\u00e8s peu d\u2019acteurs du secteur sont capables d\u2019anticiper la fa\u00e7on de penser des cybervilains, d\u2019appr\u00e9hender les vuln\u00e9rabilit\u00e9s auxquelles ils s\u2019int\u00e9ressent et de r\u00e9pandre des filets invisibles capables d\u2019une d\u00e9tection automatique instantan\u00e9e. Une bien triste r\u00e9alit\u00e9. D\u2019ailleurs, tr\u00e8s peu, selon les tests ind\u00e9pendants<\/a>. WannaCry<\/a>, la plus grande \u00e9pid\u00e9mie de cette d\u00e9cennie, en est la preuve\u00a0: gr\u00e2ce \u00e0 la technologie System Watcher<\/a>, nos produits ont prot\u00e9g\u00e9 proactivement nos utilisateurs contre cette cyberattaque.<\/p>\n

L\u2019\u00e9l\u00e9ment cl\u00e9 est\u00a0: il est impossible d\u2019avoir trop de protection contre les futures cybermenaces. Aucun \u00e9mulateur ou syst\u00e8me d\u2019analyse sp\u00e9cialis\u00e9 en big data<\/a> n\u2019est capable de couvrir tous les vecteurs de menace possibles. Les filets invisibles doivent couvrir tous les niveaux et tous les canaux, autant que possible, en suivant l\u2019activit\u00e9 de tous les objets du syst\u00e8me, afin de s\u2019assurer qu\u2019ils ne pourront pas causer de probl\u00e8mes, tout en maintenant une utilisation minimum des ressources, z\u00e9ro \u00a0\u00bb\u00a0faux positif\u00a0<\/a>\u00a0\u00bb et 100% de compatibilit\u00e9 avec d\u2019autres applications afin d\u2019\u00e9viter les \u00e9crans bleus de la mort.<\/p>\n

L\u2019industrie malware continue \u00e9galement de se d\u00e9velopper. Les cybervilains ont appris (et continue de leur enseigner) \u00e0 leurs cr\u00e9ations \u00e0 se dissimuler dans le syst\u00e8me de mani\u00e8re efficace\u00a0: \u00e0 changer leur structure et leur comportement, \u00e0 utiliser un mode d\u2019action plus lent (minimise l\u2019utilisation des ressources informatiques, se r\u00e9veille suivant un emploi du temps, se fait discret apr\u00e8s avoir p\u00e9n\u00e9tr\u00e9 l\u2019ordinateur cibl\u00e9, etc.), \u00e0 plonger tout au font du syst\u00e8me, \u00e0 dissimuler leurs traces, \u00e0 utiliser des m\u00e9thodes \u00a0\u00bb\u00a0nettes\u00a0\u00a0\u00bb ou \u00a0\u00bb\u00a0presque nettes\u00a0\u00ab\u00a0. Mais l\u00e0 o\u00f9 il y a un Voldemort, il y a \u00e9galement des Horcruxes, qu\u2019il est essentiel de d\u00e9truire afin d\u2019en finir avec cet \u00eatre malin. La question est comment les trouver.<\/p>\n

Il y a quelques ann\u00e9es, nos produits ont renforc\u00e9 leur arsenal de technologies de protection contre les cybermenaces avanc\u00e9es en adoptant une invention int\u00e9ressante (brevet RU2654151<\/a>). Elle utilise un mod\u00e8le comportemental \u00e9volutif afin d\u2019assurer une identification tr\u00e8s pr\u00e9cise des anomalies suspectes dans le syst\u00e8me, la localisation des sources et les suppressions effectu\u00e9es par le plus \u00a0\u00bb\u00a0prudent\u00a0\u00a0\u00bb des vers.<\/p>\n

Comment cela fonctionne\u00a0?<\/p>\n

Une fois activ\u00e9, n\u2019importe quel objet laisse des traces sur l\u2019ordinateur. L\u2019utilisation du disque dur ou de la m\u00e9moire, l\u2019acc\u00e8s aux ressources du syst\u00e8me, les transferts de fichiers sur le r\u00e9seau, d\u2019une mani\u00e8re ou d\u2019une autre, chaque malware finira par se manifester. M\u00eame dans les cas des malwares les plus sophistiqu\u00e9s, leurs traces ne peuvent \u00eatre compl\u00e8tement effac\u00e9es. De plus, les tentatives d\u2019effacer des traces cr\u00e9eront d\u2019autres traces et ainsi de suite.<\/p>\n

Comment pouvons-nous savoir si ces traces appartiennent \u00e0 des applications l\u00e9gitimes ou \u00e0 des malwares\u00a0? Le tout, sans utiliser trop de puissance de calcul de l\u2019ordinateur\u00a0? Voici comment.<\/p>\n

Le produit antivirus collecte des informations sur les activit\u00e9s des applications (les commandes ex\u00e9cut\u00e9es, leurs param\u00e8tres, leur acc\u00e8s aux ressources critiques du syst\u00e8me, etc.) et utilise ces informations afin de construire un mod\u00e8le comportemental, d\u00e9tecter les anomalies et calculer le facteur de malveillance. Mais je veux que vous pr\u00eatiez attention \u00e0 la m\u00e9thode que nous utilisons pour y parvenir. Souvenez-vous, la rapidit\u00e9 des op\u00e9rations est tout aussi importante que la fiabilit\u00e9. Et c\u2019est l\u00e0 que les maths, ou plus pr\u00e9cis\u00e9ment le r\u00e9sum\u00e9 math\u00e9matique, rentre en jeu.<\/p>\n

Le mod\u00e8le comportemental cr\u00e9\u00e9 reste tr\u00e8s petit afin de pouvoir obtenir les informations comportementales n\u00e9cessaires et d\u2019autre part, afin de ne pas utiliser trop de ressources syst\u00e8me. M\u00eame en surveillant de pr\u00e8s les performances de l\u2019ordinateur, il est impossible de d\u00e9tecter le moindre signe de cette technologie.<\/p>\n

Example\u00a0:<\/p>\n

Le calcul du facteur de malveillance repose sur quatre attributs externes\u00a0:<\/p>\n