L’IA, talon d’Achille des antivirus ?
Des chercheurs sont parvenus à tromper l’algorithme de l’antivirus de BlackBerry Cylance pour qu’il identifie comme légitimes des fichiers malveillants.
Plus de deux ans après son assaut foudroyant, WannaCry peut-il encore échapper à un antivirus ?
L’équipe de Skylight (entreprise australienne de cybersécurité) a prouvé que oui… en trompant un algorithme.
Ses travaux se sont portés sur la solution PROTECT, signée Cylance.
La société récemment passée dans le giron de BlackBerry a fait de l’IA l’atout principal du produit. Elle va jusqu’à affirmer que ce dernier est capable de détecter des fichiers malveillants avant même leur création.
En s’appuyant sur des informations publiques issues notamment de brevets et de vidéos de conférences, les chercheurs de Skylight ont décortiqué l’algorithme.
Ils ont constaté que l’antivirus attribuait aux fichiers un score allant de -1 (le plus dangereux) à 1. Cette procédure de scoring fonctionne exclusivement sur la base de l’entraînement préalable de l’algorithme. Elle n’utilise ni signatures, ni heuristique.
Parmi les éléments susceptibles de pondérer le score attribué à un fichier figure une liste blanche. Quelques dizaines d’exécutables y figurent, afin d’éviter les faux positifs.
Skylight en a sélectionné un (un jeu en ligne), en a extrait des chaînes de caractères et les a insérées dans des fichiers malveillants.
Ceux-ci ont vu leur score remonter d’autant plus sensiblement qu’on y intégrait de chaînes de caractères issues de l’exécutable du jeu. Ainsi WannaCry est-il passé de -1 à 0,545.
88,54 % des quelque 400 fichiers testés ont ainsi passé le « contrôle qualité ». Les exécuter – dans une machine virtuelle – n’a pas davantage fait réagir l’antivirus.
Les chercheurs reconnaissent ne pas avoir testé la technique sur d’autres antivirus « axés IA ». Ils estiment toutefois qu’elle donnerait probablement des résultats similaires.
Photo d’illustration © padu_foto – Shutterstock.com