{"id":15576,"date":"2020-09-07T08:51:35","date_gmt":"2020-09-07T08:51:35","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=15576"},"modified":"2020-09-07T08:51:35","modified_gmt":"2020-09-07T08:51:35","slug":"cybersecurity-expert-training","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/cybersecurity-expert-training\/15576\/","title":{"rendered":"Apprenez \u00e0 utiliser les r\u00e8gles YARA : comment pr\u00e9dire les cygnes noirs"},"content":{"rendered":"

Il y a bien longtemps que l\u2019humanit\u00e9 n\u2019avait pas connu une telle ann\u00e9e. Il ne me semble pas avoir v\u00e9cu une ann\u00e9e avec autant de cygnes noirs de types et de formes si diff\u00e9rents. Il est \u00e9vident que je ne parle pas de ceux qui ont des plumes<\/a>. Il s\u2019agit plut\u00f4t d\u2019\u00e9v\u00e9nements inattendus qui ont des cons\u00e9quences consid\u00e9rables, selon la th\u00e9orie<\/a> de Nassim Nicholas Taleb<\/a> que ce dernier a pr\u00e9sent\u00e9 dans son livre Le Cygne noir: La puissance de l\u2019impr\u00e9visible<\/a><\/em> en 2007. Un des principes de cette th\u00e9orie est, qu\u2019avec le recul, les \u00e9v\u00e9nements surprenants qui se sont d\u00e9j\u00e0 produits s\u2019av\u00e8rent \u00eatre \u00e9vidents et pr\u00e9visibles. Pourtant, personne ne les avait anticip\u00e9s avant qu\u2019ils n\u2019aient lieu.<\/p>\n

Prenons un exemple\u00a0: cet \u00e9pouvantable virus qui a mis le monde entier en quarantaine depuis mars. Il s\u2019av\u00e8re qu\u2019il existe toute une grande famille<\/a> de Coronaviridae<\/em>, plusieurs dizaines, et qu\u2019on en trouve r\u00e9guli\u00e8rement de nouvelles mutations. Les chats, les chiens, les oiseaux ou encore les chauves-souris. Tous attrapent ce virus. Les humains aussi. Certains virus ne causent qu\u2019un simple rhume alors que d\u2019autres se manifestent\u2026 diff\u00e9remment. Il ne fait aucun doute que nous devons trouver un vaccin pour toute cette famille comme nous l\u2019avons fait pour toutes les autres maladies mortelles\u00a0: variole, polio, etc. Oui, mais avoir un vaccin n\u2019est pas toujours la solution. Regardez la grippe\u2026 il n\u2019y a aucun vaccin immunisant et ce depuis combien de si\u00e8cles maintenant\u00a0? Quoi qu\u2019il en soit, avant de commencer \u00e0 d\u00e9velopper un vaccin vous devez savoir ce que vous recherchez et il semblerait que cela rel\u00e8ve plus de l\u2019art que de la science.<\/p>\n

Pourquoi est-ce que je vous raconte tout cela\u00a0? Quel est le lien\u2026 Il s\u2019agit forc\u00e9ment de cybers\u00e9curit\u00e9 ou d\u2019un voyage exotique, n\u2019est-ce pas\u00a0?! Aujourd\u2019hui, nous allons nous concentrer sur le premier \u00e9l\u00e9ment.<\/p>\n

Les zero-day<\/a> sont une des cybermenaces existantes les plus dangereuses\u00a0: ces vuln\u00e9rabilit\u00e9s de logiciel rares et inconnues (pour les experts en cybers\u00e9curit\u00e9s et autres) peuvent causer d\u2019importants et d\u2019atroces d\u00e9g\u00e2ts \u00e0 grande \u00e9chelle, et ont tendance \u00e0 rester cach\u00e9es jusqu\u2019\u00e0 ce qu\u2019elles soient exploit\u00e9es, ou \u00e0 n\u2019\u00eatre d\u00e9couvertes qu\u2019apr\u00e8s.<\/p>\n

Pourtant, les experts en cybers\u00e9curit\u00e9 ont des outils qui leur permettent de g\u00e9rer l\u2019ambig\u00fcit\u00e9 des cygnes noirs et de les pr\u00e9dire. Je souhaite vous parler de l\u2019un d\u2019entre eux : YARA<\/a>.<\/p>\n

Pour faire simple, YARA aide \u00e0 rechercher et d\u00e9tecter un malware en identifiant les fichiers qui r\u00e9pondent \u00e0 certains crit\u00e8res et en adoptant une approche qui repose sur des r\u00e8gles afin de d\u00e9crire les familles de malware selon leurs mod\u00e8les textuels ou binaires. Tout cela semble bien compliqu\u00e9. Continuez \u00e0 lire, vous allez comprendre. Cet outil est donc utilis\u00e9 pour rechercher des malwares similaires apr\u00e8s avoir identifi\u00e9 un mod\u00e8le. L\u2019objectif est de pouvoir dire que certains programmes malveillants semblent avoir \u00e9t\u00e9 invent\u00e9s par les m\u00eames cybercriminels et \u00e0 des fins similaires.<\/p>\n

Utilisons une autre m\u00e9taphore, comme celle du cygne noir et avec de l\u2019eau\u00a0: la mer.<\/p>\n

Imaginons que votre r\u00e9seau est l\u2019oc\u00e9an, avec des milliers de poissons diff\u00e9rents, et que vous \u00eates un p\u00eacheur parti au large sur son bateau qui lance d\u2019\u00e9normes filets d\u00e9rivants pour p\u00eacher. Attention, seules quelques esp\u00e8ces de poissons vous int\u00e9ressent\u00a0: les malwares cr\u00e9\u00e9s par un groupe sp\u00e9cifique de pirates informatiques. Votre filet d\u00e9rivant est sp\u00e9cial maintenant. Il dispose de plusieurs compartiments et seuls les poissons d\u2019une esp\u00e8ce en particulier (caract\u00e9ristiques du malware) peuvent \u00eatre mis dans le compartiment correspondant.<\/p>\n

Lorsque vous remontez le filet vous avez beaucoup de poissons, tous compartiment\u00e9s. Certains sont relativement r\u00e9cents, d\u2019autres sont tout \u00e0 fait in\u00e9dits (nouveaux \u00e9chantillons de malware) et vous ne savez pas grand-chose de ces exemplaires. Pourtant, vous avez des poissons dans des compartiments, par exemple \u00ab\u00a0Ressemble \u00e0 l\u2019esp\u00e8ce [du groupe de cybercriminels] X\u00a0\u00bb ou \u00ab\u00a0Ressemble \u00e0 l\u2019esp\u00e8ce [du groupe de cybercriminels] Y\u00a0\u00bb.<\/p>\n

Voici un article<\/a> qui illustre la m\u00e9taphore du poisson et du p\u00eacheur. En 2015, notre gourou YARA et directeur de GReAT<\/a>, Costin Raiu, s\u2019est compl\u00e8tement transform\u00e9 en Sherlock Holmes de l\u2019informatique pour trouver un exploit<\/a> dans le logiciel Silverlight de Microsoft. Je vous conseille vivement de lire cet article mais, en r\u00e9sum\u00e9, Raiu a minutieusement examin\u00e9 certains \u00e9changes d\u2019e-mails que les cybercriminels ont divulgu\u00e9s pour \u00e9tablir une r\u00e8gle YARA \u00e0 partir de presque rien, et c\u2019est ainsi qu\u2019il a pu trouver l\u2019exploit et prot\u00e9ger le monde entier d\u2019un tr\u00e8s gros probl\u00e8me. Les e-mails avaient \u00e9t\u00e9 envoy\u00e9s par une entreprise italienne qui s\u2019appelle Hacking Team\u2026 Des cybercriminels qui piratent d\u2019autres cybercriminels\u00a0!<\/p>\n

Revenons-en aux r\u00e8gles YARA\u2026<\/p>\n

Nous enseignons l\u2019art de la cr\u00e9ation des r\u00e8gles YARA depuis des ann\u00e9es. Les cybermenaces que YARA nous a permis de d\u00e9couvrir sont assez complexes. C\u2019est pourquoi ce cours est toujours pr\u00e9sentiel, hors-ligne, et r\u00e9serv\u00e9 \u00e0 un nombre r\u00e9duit de participants qui sont les meilleurs chercheurs en cybers\u00e9curit\u00e9. Depuis mars, et \u00e0 cause du confinement, il n\u2019a pas \u00e9t\u00e9 facile d\u2019organiser une formation dans le monde r\u00e9el. Le besoin de se former n\u2019a pas pour autant disparu et l\u2019int\u00e9r\u00eat port\u00e9 \u00e0 nos cours n\u2019a pas diminu\u00e9.<\/p>\n

C\u2019est tout naturel\u00a0: les cybercriminels ne cessent d\u2019imaginer de nouvelles attaques encore plus sophistiqu\u00e9es, surtout<\/a> pendant la quarantaine. Par cons\u00e9quent, il \u00e9tait tout simplement inacceptable de ne pas partager nos connaissances sp\u00e9cialis\u00e9es sur YARA. Nous avons donc (1) adapt\u00e9 le format de la formation pour qu\u2019elle puisse \u00eatre faite en ligne et (2) l\u2019avons rendue accessible \u00e0 tout le monde. Elle n\u2019est pas gratuite mais le prix est tr\u00e8s comp\u00e9titif et au niveau du march\u00e9 pour un cours de ce niveau-l\u00e0 (le plus \u00e9lev\u00e9).<\/p>\n

Le voil\u00e0<\/a> :<\/p>\n

\"Chassez<\/p>\n

Quoi d\u2019autre\u00a0?<\/p>\n

Ah, oui.<\/p>\n

\u00c9tant donn\u00e9 les probl\u00e8mes li\u00e9s au virus dans le monde entier, nous aidons toujours ceux qui sont en premi\u00e8re ligne. Au tout d\u00e9but de cette histoire de corona, nous avons offert des licences aux \u00e9tablissements m\u00e9dicaux<\/a>. Pour aller plus loin, nous avons d\u00e9cid\u00e9 d\u2019aider des organisations \u00e0 but non lucratif et des ONG qui se battent pour que certains droits soient reconnus ou qui cherchent \u00e0 cr\u00e9er un cyberespace plus s\u00fbr. Cliquez ici<\/a> pour consulter la liste compl\u00e8te. Notre formation YARA est gratuite pour toutes ces organisations.<\/p>\n

Pourquoi\u00a0? Parce que les ONG g\u00e8rent des informations tr\u00e8s sensibles qui peuvent \u00eatre pirat\u00e9es par des attaques cibl\u00e9es<\/a>, et certaines ONG ne peuvent pas s\u2019offrir le luxe d\u2019avoir leur propre d\u00e9partement d\u2019experts informatiques.<\/p>\n

\"FormationVoyons rapidement ce que ce cours inclut\u00a0:<\/p>\n