Des Français ont conçu une IA capable de découvrir par elle-même de nouveaux virus

Glimps est capable de reconnaître les codes malveillants et de détecter leurs variations.

Dans le jeu du chat et de la souris entre les cybercriminels et les personnes travaillant dans la cybersécurité, il est souvent compliqué pour ces derniers de suivre la cadence. Entre la multiplication des ransomwares, chevaux de Troie, et autres malwares, il est difficile de pouvoir tous les reconnaître et les détecter. C’est d’autant plus vrai lorsque des variants de ces virus apparaissent, en se basant sur la totalité ou juste une partie du code d’un autre virus.

La start-up Glimps propose d’affronter ce problème sous un nouvel angle. Au lieu d’établir une base de données dans laquelle tous les malwares connus sont référencés, la société a développé un algorithme d’intelligence artificielle basé sur le deep learning, lui permettant d’apprendre à reconnaître les malwares.

Tu es une très jolie fleur

Pour expliquer le fonctionnement de leur produit, les créateurs de Glimps utilisent une analogie avec le cerveau humain : « Si on montre une fleur à quelqu’un, il va penser au concept de fleur », explique Frédéric Grelot, cofondateur de Glimps. « Il ne va pas nécessairement retenir les détails, comme le nombre de pétales ou la couleur, mais il va retenir le concept. Si on lui montre à nouveau une fleur ensuite, il sera capable de la reconnaître. C’est ce qu’est capable de faire Glimps avec du code, dans ce que nous appelons la “conceptualisation de code”. »

Oh le joli malware !
Ses créateurs ont donc appris à Glimps à reconnaître du code et plus spécifiquement du code malveillant. « Notre intelligence artificielle est capable de créer des concepts en regardant du code informatique. L’intelligence artificielle est très tolérante aux modifications et aux variants. C’est ça qui fait la puissance de la détection de notre technologie. On est capable de détecter des concepts et non pas juste des fichiers. »

Cela permet à Glimps de détecter un nombre de malwares beaucoup plus élevé, tout en apprenant continuellement au fur et à mesure de son exposition avec des codes malveillants. Ce qui lui permet de détecter les variants d’un malware en se basant sur un fonctionnement analogue.

Une analyse détaillée de la menace

Une fois le virus détecté, Glimps est capable de fournir des indications sur la nature et le fonctionnement de celui-ci. « Quand on veut réagir face à ce type de menace, on a besoin de comprendre son fonctionnement. Si l’attaquant a utilisé une bibliothèque open source qu’il a ensuite modifié et amélioré, on va quand même être capable de le détecter et d’indiquer qu’il fait partie de telle bibliothèque, qu’il réalise de la capture de clavier, de la communication réseau, etc. »

Bienvenue dans la famille

Une fois que l’intelligence artificielle a reconnu le code malveillant, elle est capable de caractériser les concepts de code détecté en indiquant qu’il fait partie par exemple de la famille de ransomware Babuk. Ces informations complémentaires permettent aux analystes de Glimps de savoir quelle famille de virus ils ont sous les yeux, quels codes malveillants il contient et la solution appropriée à mettre en place. Dans le cas d’un ransomware par exemple, l’analyste sait qu’il doit isoler son réseau et éteindre les machines pour éviter qu’elles ne soient chiffrées.

Un maillon de la chaine
Glimps se présente comme une solution de détection et d’analyse de malwares, mais n’entend pas lutter contre eux. S’il est capable d’arrêter un processus malveillant sur une machine ou encore de supprimer un mail de phishing, il délègue la charge de la lutte sur d’autres solutions. Le logiciel se veut ainsi un premier maillon de la lutte contre la cybercriminalité, en proposant un outil innovant et efficace pour détecter les malwares.