Lutte automatisée contre les virus au royaume d’Android

,
Chaque jour, 2000 applications malveillantes contenant des virus sont mises en ligne sur les marchés d'applications Android.

Les smartphones sont loin d’être à l’abri des virus et autres logiciels malveillants. Identifier et isoler ces derniers est donc un enjeu crucial pour assurer la sécurité des utilisateurs et de leurs données. Ludovic Apvrille, de Télécom ParisTech, développe un cadre de travail automatisé pour déceler les applications à risque sous le système d’exploitation Android.

 

2000 nouveaux virus voient le jour quotidiennement, prêts à se répandre dans le monde entier. Et porter un masque ou vous laver les mains ne vous sera d’aucun recours. Mais rassurez-vous, il s’agit là d’envahisseurs inoffensifs pour la santé des humains. Votre smartphone Android, en revanche, peut se faire du souci. La plupart des virus informatiques sur le système d’exploitation de Google sont identifiés automatiquement, grâce à des algorithmes reconnaissants les programmes malveillants existants et leurs dérivés. Mais il en reste qui passent au travers des mailles du filet numérique ; de nouveaux virus développés par des individus ou organisations malintentionnées et dont le fonctionnement n’est pas encore référencé. Les déceler est la mission de Ludovic Apvrille, chercheur à Télécom ParisTech en conception et analyse des systèmes embarqués.

 

L’analyse de SherlockDroid et le classement d’Alligator

Pour cela, il utilise un couple de programmes complémentaires. Tout d’abord : SherlockDroid, qui n’a pas hérité du célèbre détective que son nom, mais aussi ses capacités d’enquête. Car son rôle est de parcourir, de filtrer et d’analyser de manière automatisée les applications présentes sur les marchés. Développé par la société anti-virus Fortinet, ce programme extrait pour chaque application passée au crible des propriétés qui serviront par la suite les identifier comme malveillantes ou non. Parmi ces propriétés : le nombre de fichiers, les packages logiciels référencés et les permissions demandées au téléphone. SherlockDroid va même jusqu’à étudier les mécanismes utilisés pour la publicité ou pour envoyer des rapports d’erreurs et des statistiques. Il arrive en effet que ces moyens soient utilisés pour exporter des données personnelles vers des tiers.

Une fois ces informations extraites des applications, SherlockDroid passe la main à Alligator, un logiciel libre de classification développé par Ludovic Apvrille. « À partir des propriétés recensées, Alligator permet de déterminer si une application est plutôt malveillante ou non » détaille le chercheur. Certes, les algorithmes de classification existent déjà, triant des objets informatiques en fonction de leur similarité avec ce qu’ils ont « appris » à identifier comme référence — dans ce cas des applications malveillantes. Mais Alligator a la particularité de combiner automatiquement plusieurs de ces algorithmes pour améliorer les performances en classification correcte. Cela lui permet d’en déduire un score de dangerosité et de catégoriser l’application comme bienveillante ou malveillante.

 

L'association de logiciels SherlockDroid/Alligator scanne et identifie parmi les centaines de milliers d'application disponibles sur les marchés celles qui sont le plus à risque.

L’association de logiciels SherlockDroid/Alligator scanne et identifie parmi les centaines de milliers d’application disponibles sur les marchés celles qui sont le plus à risque.

 

L’association de SherlockDroid et d’Alligator a déjà fait ses preuves. Aujourd’hui, 15 virus totalement inconnus jusqu’alors ont été isolés depuis 2014, année de début d’expérimentation. Le nombre peut sembler dérisoire lorsqu’il est comparé aux 2000 programmes malveillants quotidiens. « En réalité, la plupart des applications malveillantes qui sortent chaque jour sont des virus déjà connus. SherlockDroid/Alligator identifie des applications très différentes, de genres nouveaux » précise Ludovic Apvrille. Enfin, même si Alligator réduit énormément l’ensemble des applications à analyser, cela représente encore beaucoup de temps pour examiner « à la main » chaque alarme qu’il déclenche afin de savoir si elle contient bien un virus. Parfois, cela prend plusieurs mois. « Et puis ce n’est pas le rôle du laboratoire de Telecom ParisTech d’analyser ces alarmes, rappelle le scientifique. Nous sommes là avant tout pour proposer et mettre en place des solutions efficaces et originales. »

 

Changer le paradigme de détection des virus

Or à ce niveau, le succès est indéniable. Le duo de logiciels est le moyen d’identification automatisé le plus performant rapporté dans la littérature. « Avant SherlockDroid et Alligator, il n’y avait rien, ou seulement très peu de chose » pointe Ludovic Apvrille, relativisant au passage en mentionnant que le principal concurrent d’Alligator, nommé DroidRanger, n’a identifié que deux virus.

Du reste, le volume n’est pas à la charge des chercheurs, mais plutôt des sociétés d’anti-virus. Et pour celles-ci, Alligator est un outil qui change la donne : « Jusqu’à présent, les sociétés trouvaient de nouveaux virus plutôt par hasard, par le biais des clients qui leur donnent des échantillons lorsqu’ils ont un problème avec leur machine » explique Ludovic Apvrille, juste avant de recevoir un email de Fortinet lui indiquant avoir trouvé un nouveau virus grâce à Alligator. Preuve que l’algorithme automatisé séduit les entreprises, qui ont par ailleurs une bien plus grande capacité de suivi manuel des applications faisant l’objet d’une alerte que les chercheurs.

 

Protéger l’utilisateur et ses données

Mais qu’advient-il de ces applications, une fois qu’elles sont identifiées et certifiées malveillantes ? Difficile à dire. « Le retrait des marchés est difficile car ceux-ci sont souvent à l’étranger, regrette Ludovic Apvrille. Mais lorsqu’ils sont dans le pays, les sociétés d’anti-virus peuvent contacter les autorités judiciaires. » Ces sociétés jouent la carte du travail collaboratif, et partagent régulièrement leurs informations sur les nouveaux virus trouvés. À charge à chacune d’elles de développer ses solutions pour y faire face.

Pour le particulier, certaines bonnes pratiques sont à adopter pour se tenir éloigné des problèmes, comme regarder les commentaires avant de télécharger une application. Il est évident que si des utilisateurs rapportent des problèmes après l’installation sur le smartphone, il vaut mieux éviter de les imiter. « Mais parfois des virus restent cachés pendant six mois » met en garde le chercheur. Outre la vigilance, le meilleur moyen de lutter contre ces nouveaux virus reste de se munir d’un anti-virus sur son smartphone. Une pratique qui peine encore à émerger. « C’est d’ailleurs paradoxal, car nous avons bien plus de données privées et délicates sur un téléphone portable que sur un ordinateur » observe Ludovic Apvrille. Il ajoute d’ailleurs en guise d’anecdote que même parmi les chercheurs experts du domaine, certains « se font avoir par des applications malveillantes ou du phishing bien élaboré ». Comme quoi, personne n’est à l’abri !

 

En savoir + sur les recherches menées en cybersécurité

 

[box type= »shadow » align= »aligncenter » class= » » width= »95% »]

Le+bleu

 Alligator, un logiciel libre de classification des données

 

Développé par Ludovic Apvrille depuis 2014, Alligator n’est pas spécifiquement destiné à la classification des applications malveillantes. De par sa combinaison de méthodes d’apprentissage supervisé et d’intelligence artificielle déjà connues, il peut être adapté à d’autres usages. Ludovic Apvrille l’a par exemple déjà utilisé pour optimiser la classification d’images faciales (homme/femme, maquillage/pas de maquillage, etc.) dans le cadre d’une recherche menée avec Jean-Luc Dugelay d’Eurecom.

Aujourd’hui, le chercheur de Télécom ParisTech cherche à diversifier les applications pour montrer la flexibilité de son logiciel libre, qu’il encourage les sociétés à télécharger, utiliser et modifier.

[/box]

1 réponse

Trackbacks (rétroliens) & Pingbacks

  1. […] Lutte automatisée contre les virus au royaume d’Androïd […]

Laisser un commentaire

Rejoindre la discussion?
N’hésitez pas à contribuer !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *