La détection de maliciels reste un chantier ouvert

Des chercheurs en sécurité ont trouvé un moyen de conduire l’agent de détection de maliciels de Cylance à classer des logiciels malveillants comme inoffensifs. Adi Ashkenazy et Shahar Zini, respectivement PDG et directeur financier de Skylight Cyber, ont analysé le moteur détection et le modèle utilisé par Cylance Protect pour trouver une façon de les « tromper systématiquement, en créant un contournement universel ».

Dans un billet de blog, ils expliquent avoir analysé « le processus d’extraction de caractéristiques », et misé sur « sa forte dépendance aux chaînes de caractères » ainsi que sur « son fort biais pour cette approche spécifique », afin « d’élaborer un contournement simple et plutôt amusant ». De fait, assurent-ils, « en ajoutant une liste sélectionnée de chaînes de caractères à un fichier malveillant, nous sommes capables de modifier son score de manière significative, en évitant la détection. Cette méthode s’est avérée efficace pour 100 % des 10 maliciels les plus répandus en mai 2019, et pour près de 90 % d’un échantillon plus large de 384 logiciels malveillants ».

Adi Ashkenazy et Shahar Zini indiquent avoir mis une semaine à développer ce contournement, et décidé de ne pas contacter BlackBerry Cylance avant de publier les résultats de leurs travaux le 18 juillet dernier parce que, pour eux, il ne s’agit pas d’une vulnérabilité logicielle, « mais plutôt d’un contournement passif ». Surtout, leurs efforts vont au-delà du seul Cylance : « nous cherchions à faire des recherches spécifiques sur les éditeurs d’outils de protection contre les maliciels purement basés sur l’intelligence artificielle, afin de savoir si l’approche peut résister à un attaquant déterminé ». Ce qui exclut de fait des acteurs multipliant les mécanismes d’analyse et de détection, comme Symantec ou TrendMicro.

Adi Ashkenazy et Shahar Zini auraient aimé se pencher sur les produits d’Endgame, de DeepInstinct ou encore de CrowdStrike, mais ce dernier « était techniquement plus difficile à obtenir (nous avons essayé) » que celui de Cylance. D’où les essais réalisés à l’encontre de ce dernier. Mais dans les faits, « c’est la perception de l’intelligence artificielle que l’on voulait tester et exposer ». Toutes les informations techniques nécessaires à la correction du modèle ont été depuis transmises à l’éditeur.

Mais pour Adi Ashkenazy, l’ajustement du modèle de Cylance pourrait prendre du temps : « cela dépend vraiment de la façon dont ils le résolvent. Ils peuvent probablement créer rapidement un correctif avec un mécanisme de type “liste noire” (qui serait facilement vaincu). Cependant, pour résoudre le biais que nous avons trouvé au cœur du problème, il faut beaucoup de travail lourd ». Pour lui, l’éditeur « devrait probablement modifier son processus de sélection des caractéristiques et réduire considérablement sa dépendance aux chaînes de caractères, avant de réentraîner le modèle lui-même et de le valider rigoureusement ». Ce n’est pas tout : il faudrait également rendre plus difficile le travail de rétro-ingénierie « et supprimer les mécanismes de liste blanche/noire ou réduire leur point. C’est certainement faisable, mais ce n’est pas comparable à l’envoi d’une nouvelle signature comme dans le monde de l’antivirus traditionnel ».

Cylance n’a pas manqué de réagir aux travaux de Skylight Cyber. Dès le 21 juillet, l’éditeur a affirmé disposer d’un correctif prêt à être distribué rapidement à ses clients. Pour lui, toutefois, Skylight Cyber n’a pas trouvé un contournement universel, mais une vulnérabilité dans son modèle permettant « la manipulation d’un type spécifique de caractéristique analysée par l’algorithme qui, dans des circonstances limitées, conduira le modèle à une conclusion erronée ».

Alors Cylance avance une réponse en trois volets : « tout d’abord, nous avons ajouté des contrôles anti-altération à l’analyseur afin de détecter les manipulations des caractéristiques et les empêcher d’avoir un impact sur le score du modèle. Deuxièmement, nous avons renforcé le modèle lui-même pour détecter lorsque certaines caractéristiques deviennent proportionnellement surpondérées. Enfin, nous avons supprimé les caractéristiques du modèle qui étaient les plus susceptibles d’être altérées ». Et l’éditeur d’assurer pouvoir « tirer parti de la puissance de [son] architecture cloud » pour « déployer automatiquement ces améliorations, avec un impact minimal sur [ses] clients ».

Cylance défend également son recours à l’apprentissage automatique, assurant que la protection contre les maliciels basée sur l’intelligence artificielle est « conçue pour évoluer ». Et d’indiquer au passage en être aujourd’hui à la sixième génération de son modèle d’apprentissage automatique : « les progrès que nous avons réalisés nous permettent de nous adapter rapidement à l’évolution de l’industrie ».

Mais pour Skylight Cyber, la question est surtout celle du « poids du modèle [établi par une technique d’intelligence artificielle] dans le produit ». Car pour Adi Ashkenazy et Shahar Zini, « la solution réside dans une approche hybride » en misant sur l’intelligence artificielle et l’apprentissage automatique pour l’inconnu, tout en s’appuyant sur des « des techniques éprouvées » pour les menaces connues.

En fait, le message de Skylight Cyber n’est pas nouveau. Lors de l’édition 2017 de RSA Conference, les équipes de Bromium avaient affiché un regard critique sur les solutions de protection du poste de travail alors dites de nouvelle génération : elles avaient produit une démonstration dans laquelle un rançongiciel connu, mais repackagé, passait au travers des mailles du filet de… Cylance. Un peu plus tard, dans un webinar, Simon Crosby soulignait d’ailleurs les limites de l’apprentissage automatique appliqué à la protection contre les menaces, mentionnant notamment les travaux du projet EvadeML et une présentation des équipes de BluVector – depuis racheté par Comcast –, à l’été 2016, lors de la conférence BSidesLV. Et le sujet a encore été évoqué lors de l’édition 2018 de cette conférence. Mais les acteurs de l’industrie sont loin de jouer la politique de l’autruche, comme Sophos et Endgame ont pu le montrer par le passé, voire ici Cylance.

Avec nos confrères de SearchSecurity.com (groupe TechTarget)