Neutraliser les logiciels malveillants avec la rétro-ingénierie

Les possibilités sont immenses dans un monde numérique. Plus la technologie se développe, plus de nouveaux services sont offerts, conséquemment, les personnes malveillantes profitent désormais du canal par lequel attaquer les institutions et entreprises. Alors que la protection contre les virus et maliciels s'améliore, les pirates trouvent d'autres moyens d'infecter les ordinateurs et appareils mobiles. Pour le secteur de la cybersécurité, il s'agit de suivre les tendances et comprendre la menace avant qu'elle ne se propage trop.

Les sociétés en sécurité informatique demandent donc une compétence en particulier pour les futurs ingénieurs : les capacités de rétro-ingénierie. D'ailleurs, Kapersky, un des leaders dans le domaine, a lancé des formations pour parfaire des expertises. 45% des apprenants réclamaient des cours en rétro-ingénierie. Ce qu'ils offrent parmi leurs modules depuis décembre 2022.

Analyser les menaces

D'abord, expliquons le principe de rétro-ingénierie. Il s'agit d'une technique pour extraire les connaissances dans le design d'un objet. Cela peut être autant un avion, un appareil téléphonique ou une application. Ainsi, dans le cas de la cybersécurité, les ingénieurs analysent le logiciel malveillant afin de comprendre comment il fonctionne, son but, etc. En découvrant ces informations, il sera plus facile de développer une défense contre le maliciel en question.

Facile ? Oui et non puisque ces logiciels ne sont pas souvent simples. D'autant moins que la rétro-ingénierie ne peut se faire avant qu'il ne soit découvert. Il peut être difficile de saisir les commandes menant aux problèmes et à l'infection d'un virus. Généralement, les spécialistes vont le placer dans un bac à sable pour voir comment il se comporte. Cela se déroule donc ainsi :

1. Ils obtiennent le maliciel
2. Ils font une analyse statique (sans que le logiciel fonctionne)
3. Vient ensuite une analyse dynamique
4. Le code est désassemblé, décompilé et analysé
5. Les résultats sont documentés et un rapport est créé
6. Ce dernier est partagé avec des organisations et chercheurs en sécurité pour développer une protection

La question de l'ingénierie inversée est intéressante puisque certains la considèrent comme non éthique. En effet, il peut être facile de créer des logiciels plus dangereux encore avec ces connaissances. Toutefois, les milieux de la sécurité l'utilisent de plus en plus parce qu'ils peuvent alors user des mêmes stratégies que les pirates. Ces derniers analysent les systèmes d'exploitation et trouvent les failles dans chaque version.

Des applications disponible pour tous

Ainsi, le secteur de la cybersécurité se sert des applications de rétro-ingénierie. Un des plus populaires est Ghidra. Il s'agit d'un outil gratuit, ouvert et développé par la NSA (National Security Agency) américaine. Il désassemble le code binaire de logiciels malveillants pour mieux les comprendre. D'ailleurs, en 2019, l'agence de sécurité a mis le logiciel à la disposition du grand public. Par conséquent, des curieux peuvent tout à fait utiliser l'application afin de décortiquer un fichier binaire. Il existe d'autres solutions comme ImHex, AndroGuard, Radare2, Binsec, etc.

Cet usage de plus en plus important pour l'ingénierie inversée oblige même les pirates à changer leurs approches. Ainsi, en 2022, un cheval de Troie a été développé afin de faire éteindre les ordinateurs essayant de l'analyser. En effet, plus les ingénieurs contrent les logiciels malveillants, moins leurs créateurs peuvent faire d'argent avec, entre autres des logiciels de rançons, et en bloquant des entreprises. Le futur de la cybersécurité et des menaces à venir proviendront donc en partie de la rétro-ingénierie.

Crédit photo : fr.depositphotos.com

Références :

Bates, Kryzts. "Comprendre Les Concepts De Rétro-ingénierie." Gamingdeputy France. Dernière mise à jour : 17 janvier 2023.
https://www.gamingdeputy.com/fr/comprendre-les-concepts-de-retro-ingenierie/.

"Binsec." CEA-List. Dernière mise à jour : 3 juin 2022. https://list.cea.fr/fr/page/binsec-lanalyse-de-code-binaire-pour-la-securite/.

EC-Council. "A Quick Guide to Reverse Engineering Malware." Cybersecurity Exchange. Dernière mise à jour : 11 octobre 2022. https://www.eccouncil.org/cybersecurity-exchange/ethical-hacking/malware-reverse-engineering/#:~:text=What%20Is%20Reverse%20Engineering%20Malware,it%20(Ortolani%2C%202018).

Fox, Neil. "Comment utiliser Ghidra pour la rétro-ingénierie des malwares." Varonis. Dernière mise à jour : 24 mai 2022.
https://www.varonis.com/fr/blog/how-to-use-ghidra.

Jenifa, Ashlin. "9 Meilleurs Outils D'ingénierie Inverse Pour Les Professionnels De La Sécurité." Geekflare. Dernière mise à jour : 13 décembre 2022.
https://geekflare.com/fr/best-reverse-engineering-tools/.

"Kaspersky Has Launched a New Online Cybersecurity Training 'Reverse Engineering 101'." Financialpost. Dernière mise à jour : 21 décembre 2022.
https://financialpost.com/globe-newswire/kaspersky-has-launched-a-new-online-cybersecurity-training-reverse-engineering-101.

"Kaspersky Research Finds Reverse Engineering Is the Most On-Demand Skill Among InfoSec Specialists." Dark Reading. Dernière mise à jour : 21 décembre 2022.
https://www.darkreading.com/operations/kaspersky-research-finds-reverse-engineering-is-the-most-on-demand-skill-among-infosec-specialists-in-2022.

Osborne, Charlie. "Trickbot Will Now Try to Crash Researcher PCs to Stop Reverse Engineering Attempts." ZDNET. Dernière mise à jour : 26 janvier 2022.
https://www.zdnet.com/article/trickbot-will-now-try-to-crash-researcher-pcs-to-stop-reverse-engineering-attempts/.

Smith, Amily. "Malware Reverse Engineering And How It Works." Download.zone. Dernière mise à jour : 2 janvier 2023.
https://download.zone/malware-reverse-engineering/.

Ajouter à mes listes de lecture