Eset : « le machine learning est perçu à tort comme spécifique aux produits NextGen »

LeMagIT : Certains acteurs historiques de la protection du poste de travail se sont orientés vers des acteurs dits de nouvelle génération, comme Sophos avec le rachat d’Invincea. Que pensez-vous de ces démarches ?

Righard Zwienenberg : Eset pense que l’apprentissage automatique est une remarquable technologie pour compléter la protection. C’est pour cela que nous l’embarquons dans nos produits et dans notre framework d’analyse depuis 2008. Ce n’est que parce que de nouvelles entreprises se présentant elles-mêmes comme de « nouvelle génération » ont besoin d’avoir l’air différent, et qu’elles promeuvent le machine learning comme un buzzword, que l’apprentissage automatique est perçu (à tort) comme une technologie spécifique à la nouvelle génération.

Dès lors, l’apprentissage automatique pour l’analyse statique de fichiers n’apporte rien de nouveau et existe déjà depuis plus d’une décennie.

Plusieurs acteurs misent sur une approche globale pour lutter contre les logiciels malveillants, en associant étroitement points de terminaison et équipements réseau. Cette approche peut-elle changer la donne ?

Ces approches peuvent bien sûr changer la donne, mais encore une fois, ce n’est pas nouveau. Nous adoptions toutes les approches possibles autour du point de terminaison, en plus de l’analyse « traditionnelle », de l’analyse réseau (qui a, par exemple, empêché WannaCry de s’inviter sur les systèmes protégés par Eset en bloquant le paquet SMB malicieux lié à l’exploit EternalBlue), détection de botnet, détection d’exploit, analyse avancée de la mémoire, etc. C’est la raison pour laquelle les produits de sécurité sont désormais appelés suites de sécurité.

Récemment, des chercheurs de l’université de Cardiff et d’Airbus ont présenté des travaux permettant d’identifier un maliciel avec un niveau élevé de fiabilité en seulement quelques secondes d’exécution. Quel regard portez-vous sur ces travaux ?

C’est le genre de recherche que nous encourageons. Toute nouvelle approche apportant un complément pour sécuriser l’écosystème est bienvenue.

Mais pour le moment, le niveau de précision atteint par leur modèle reste limité, avec 93 % après 4 secondes d’exécution en moyenne. Pour un modèle académique, cela peut paraître suffisant, et pour un démonstrateur, cela peut fonctionner. Mais dans le monde réel, un taux d’efficacité de 93 % est insuffisant. Avec une estimation basse de 500 000 nouveaux échantillons malveillants par jour, cela revient à risquer de passer à côté de 35 000. Et même si le maliciel est détecté après 4 secondes, cela veut dire qu’il est déjà en cours d’exécution et peut être en train de conduire des actions destructrices.

La conclusion du papier est qu’il s’agit à ce jour de « la première analyse de la mesure selon laquelle un fichier peut être prédit comme malicieux durant son exécution, plutôt qu’en utilisant un journal d’activité complet après celle-ci ». Cela laisse de côté les méthodes de sécurité additionnelles des produits qui intègrent détection avant exécution, en cours d’exécution, et remédiation.

L’autre problème est que l’apprentissage automatique des produits dits de nouvelle génération – et cela semble également concerner ce modèle – ne fonctionne qu’avec des binaires, et pas avec les fichiers de données tels que les documents, les feuilles de calcul, les Pdf, etc. Et ces fichiers peuvent embarquer du contenu actif, ou un exploit – comme un dépassement de mémoire tampon – susceptible de résulter en l’exécution de code arbitraire.