Comment Glimps veut détecter les logiciels malveillants

La détection des maliciels reste un défi, malgré les nombreuses avancées réalisées depuis que les outils spécialisés ont pris la mesure des limites des listes de signatures. Joshua Saxe, directeur scientifique de Sophos, allait même jusqu’à estimer récemment que l’utilisation des données de VirusTotal pour entraînement des modèles d’apprentissage automatique a atteint ses limites. Quid, donc, pour aller plus loin ?

C’est ce à quoi travaillent depuis fin 2019 les fondateurs de Glimps, Cyrille Vignon, Frédéric Grelot, Jérémy Bouetard et Valérian Comiti, quatre anciens de la Direction générale de l’armement (DGA). Dans un entretien téléphonique, Frédéric Grelot revient sur son parcours, et explique s’être formé lui-même à l’intelligence artificielle entre 2015 et 2016. Des travaux personnels qui ont trouvé des prolongements à la DGA, mais surtout… dans la création de Glimps.

L’idée est d’une simplicité élégante : notre cerveau est capable de reconnaître des informations connues malgré d’éventuelles variations, grâce à sa capacité de conceptualisation, d’abstraction, donc, par rapport à l’information brute de départ. « Aujourd’hui, nous savons écrire des algorithmes capables de conceptualisation », explique Frédéric Grelot. Et c’est ce que Glimps s’est attaché à faire, en l’appliquant au code machine : « on parle de concepts code ». Ça, c’est pour l’idée de base. De là, l’équipe de Glimps a développé deux produits.

Le premier d’entre eux est Glimps Malware, un outil centré sur la détection à partir de l’examen de fichiers exécutables – sur des partages de fichiers, des pièces jointes de courriel, des téléchargements, etc. Il s’adresse en particulier aux analystes dans les centres opérationnels de sécurité (SOC), en interne, ou mutualisés chez des prestataires de services de sécurité managés (MSSP).

Glimps Malware ne se contente pas de l’identification, il aide également à la levée de doutes, avec l’extraction d’indicateurs de compromissions exploitables pour approfondir l’enquête. Dans cette perspective, il ne fait d’ailleurs pas l’impasse sur les antivirus plus classiques : les rapports de certains, comme ClamAV, notamment, peuvent être intégrés.

L’outil embarque en outre un orchestrateur, qui peut être enrichi par des plug-ins. De quoi compléter les analyses, mais surtout dépaqueter les fichiers à analyser afin d’analyser le cœur exécutable, en passant outre les emballages ajoutés pour le maquiller, par les attaquants.

Pour l’heure, Glimps Malware se concentre sur le code assembleur. Mais le support du code dit managé – VBS, PowerShell, Java, .Net, etc. – est prévu, à terme : « il n’y a pas d’impasse technique. Mais les contraintes propres au développement initial d’une jeune pousse expliquent que cela arrivera dans un second temps ». De fait, à ce stade du développement de l’entreprise, disperser ses ressources pourrait s’avérer fatal.

Mais la force de l’approche de Glimps lui permet de ne pas se limiter au code x86, et de supporter également les architectures ARM, PowerPC, etc. : « c’est comme pour les langues étrangères ; plus l’on en apprend, plus il est facile d’en apprendre de nouvelles », illustre Frédéric Grelot.

Le second produit se destine à tous ceux qui réalisent des prestations d’audit sur du code, et notamment embarqué : « la réutilisation de code est courante. Glimps Audit va aider à identifier les composants, à partir d’une bibliothèque de concepts code ». L’objectif est donc là d’identifier par exemple le recours à d’éventuels composants présentant des vulnérabilités : « potentiellement, nous pouvons identifier jusqu’à 90 % des composants. L’analyste pourra concentrer son énergie sur les 10 % restant du code ».

« Il y a encore six mois, nous n’étions que quatre. Aujourd’hui, nous sommes seize. »

L’approche de Glimps peut rappeler, du moins dans les résultats produits, celle d’Intezer. Mais non : « Intezer s’appuie sur des condensats de blocs élémentaires de code ». Et selon les expériences conduites par l’équipe de la jeune pousse française, cette technique est loin d’être imparable… L’approche de Glimps a déjà été plusieurs fois saluée, jusqu’à recevoir le prix du public des startups lors de la European Cyber Week en 2019… quelques semaines après sa création. Et la jeune pousse commence à se développer : « il y a encore six mois, nous n’étions que quatre », explique Frédéric Grelot… « aujourd’hui, nous sommes seize ». Et les recrutements se poursuivent.