Des chercheurs de l'Université Ben Gourion du Néguev apprennent aux ordinateurs à identifier par eux-mêmes les nouveaux virus. L'objectif ? Renforcer la sécurité de nos systèmes informatiques.

Une détection basée sur le système de signature

Chaque virus informatique est différent. Il porte en lui une signature numérique qui lui est propre. 

Un logiciel anti-virus fonctionne ainsi comme une grande base de signatures, mise à jour le plus souvent possible et qui vérifie en permanence que l'on ne retrouve pas la signature d'un virus dans l'un des programmes installés sur l'ordinateur (sinon, le programme est bloqué ou supprimé).

Pour constituer une telle base, les éditeurs d'anti-virus doivent d'abord "attraper" les programmes malveillants sur les réseaux et les analyser.

Une fois la signature obtenue, elle est intégrée dans la prochaine mise à jour de l'anti-virus. 

Ce processus est fastidieux et présente une faiblesse majeure : un nouveau virus infectant un ordinateur avant que sa signature ne fasse partie de la base signatures ne sera pas détecté. 

Par ailleurs, de subtiles variations d'un même virus changeront sa signature et mettront ainsi en échec le programme de protection.

L'apprentissage automatique appliqué à la détection de virus

Et si un ordinateur était capable d'apprendre à détecter lui-même des virus inconnus ? C'est le but des nouveaux programmes développés par des chercheurs en apprentissage automatique (Machine Learning), une technique qui permet à des ordinateurs d'identifier des schémas, ou des comportements dans le cas des virus.

"L'approche de l'apprentissage automatique utilise des algorithmes qui synthétisent le comportement de programmes sains et de programmes malveillants, plutôt qu'une signature spécifique.

Ils sont ainsi capables de classifier des nouveaux programmes, malveillants ou non", explique Lior Rokach, professeur et fondateur du Machine Learning Research Laboratory à l'Université Ben Gourion du Néguev.

Plus précisément, cette méthode consiste à apprendre au logiciel anti-virus à identifier à quoi ressemble un programme malveillant, et à ce qu'il affine lui-même les critères d'identification au cours du temps, générant ce que l'on appelle des "statements". 

"Généralement, ces statements sont très faibles et apportent peu d'information, explique Kevin Allix, un doctorant en sécurité informatique à l'Université du Luxembourg. Mais si nous avons plusieurs centaines de milliers de ces statements, le peu d'information qu'ils apportent s'additionne pour parvenir à une prédiction assez fiable de la dangerosité d'un programme."

Vers des programmes de détection hybrides

Cette méthode commence à faire ses preuves. Les derniers travaux conduits par le professeur Rokach en partenariat avec Yuval Elovici, directeur du T-Lab et du laboratoire de cyber-sécurité de l'Université Ben Gourion, et le professeur Asa Shabtai, de la même université, ont obtenu un taux de faux positifs (un programme sain est détecté comme un virus) compris entre 5 et 10%.

Un taux bas, mais qui ne permet pas une commercialisation en l'état. En effet, l'utilisateur excédé par des alertes inutiles trop fréquentes aura de grandes chances de désactiver son anti-virus. 

La solution ? Selon le professeur Rokach, on devrait voir apparaître dans le futur des programmes hybrides, combinant une base de signatures et un module d'apprentissage, ce dernier envoyant les détections suspectes à l'éditeur pour analyse.

Sources: bulletins-electronique