Consolider les défenses anti-malwares avec l’intelligence artificielle

• Cloud
• Cybersécurité
• IA
• Recherche
• Technologie

Partager sur Twitter : Consolider les défenses anti-malwares avec l’intelligence artificielle (Nouvelle fenêtre) Partager sur Linkedin : Consolider les défenses anti-malwares avec l’intelligence artificielle (Nouvelle fenêtre)

Chaque seconde, 3,2 nouveaux malwares et/ou applications potentiellement indésirables[1] (Potentially Unwanted Application, PUA) sont découverts à l’échelle de la planète. La menace représentée par les logiciels malveillants n’est pas nouvelle, mais elle ne cesse de gagner en volume et en sophistication, d’autant plus avec les possibilités ouvertes par l’IA générative.
Orange contribue à la riposte notamment par deux outils innovants.

Utiliser l’IA pour modifier la structure d’un malware et tenter de l’invisibiliser aux yeux d’un système de détection, afin d’éprouver la résilience de ce dernier

Un dispositif d’analyse polyvalent et performant

Le premier, Maldive, consiste en un pipeline complet de détection et d’analyse de malwares. Celui-ci intègre une brique d’analyse (MalID), une base de données où sont stockés les fichiers malveillants et les rapports d’analyse associés (Malika), et une interface web permettant aux utilisateurs d’interagir avec les deux précédents composants.

MalID, qui constitue le cœur de la solution, repose sur des mécanismes d’analyse statique, dynamique et par IA pour décomposer et passer au crible les fichiers placés en entrée. En sortie, un rapport exhaustif est produit et forme ainsi une fiche d’identité détaillée du fichier malveillant – nature, métadonnées, informations de comportement, etc. – accessible et exploitable par les analystes malware/cyber.

Ce pipeline, aujourd’hui à l’état de prototype, présente des niveaux de performance similaires à ceux de solutions du marché. Il atteint notamment un taux de fiabilité de 90 à 95% en termes de détection et de classification sur des jeux de tests, selon des temps d’analyse inférieurs à la minute (en statique/IA). Sa singularité s’exprime sur d’autres points.

Souveraineté et évolutivité

Déjà, Maldive présente l’avantage de regrouper et de centraliser des fonctions qui sont souvent désagrégées : tout ce dont l’analyste a besoin se trouve dans l’outil. Surtout, « sa plus-value majeure réside dans son code souverain, explique Benjamin Marais, Ingénieur de recherche. Nous gardons la main sur le pipeline de bout en bout et pouvons ainsi éviter toute dépendance à des plateformes d’analyse externes. Cela est important s’agissant de maîtrise des données, et pour notre capacité à enrichir le produit au gré de la transformation des menaces et des attentes des utilisateurs, en itération. À ce titre, notre feuille de route 2026 inclut en particulier des réflexions sur l’explicabilité des modèles que nous développons, un enjeu essentiel pour favoriser l’adoption de la solution par les experts métiers. »

Merlin, une dose d’alchimie dans les malwares

La seconde innovation, Merlin, avance une proposition audacieuse : utiliser l’IA pour modifier la structure d’un malware et tenter de l’invisibiliser aux yeux d’un système de détection, afin d’éprouver la résilience de ce dernier.

« Le projet, qui part d’une problématique de recherche, a obtenu des résultats probants qui ont suscité l’intérêt de la DSEC [Direction Sécurité Groupe d’Orange], pour une utilisation à des fins de test de l’efficacité des antivirus en effet, précise Tony Quertier, Chercheur sénior et Lead technique IA & Cyber. Car l’objectif final réside exclusivement dans l’audit et le benchmarking des solutions du marché et des modèles sur lesquels ils se fondent, pour orienter la prise de décision. »

Mais comment fonctionne Merlin ? « Nous utilisons l’apprentissage par renforcement, reprend Tony. Pour schématiser, le programme accomplit une action, regarde si celle-ci porte ses fruits et on le récompense si c’est le cas. Nous avons défini une série d’actions que l’algorithme pouvait entreprendre, puis celui-ci a appris et retenu les plus efficaces, c’est-à-dire ce qu’il faut ajouter au malware pour que celui-ci ne soit plus détecté. »

De la recherche à la valorisation

Orange teste avec HarfangLab, spécialiste français de la cybersécurité, la robustesse de ses solutions de Merlin, élargissant et ajustant régulièrement le catalogue d’actions de modification.

Après avoir fait ses preuves en environnement de laboratoire, Maldive pourrait prochainement transiter vers un terrain d’opérations réel, alors que des discussions sur l’étude de cas d’usage sont en cours au sein du Groupe Orange. Affaire à suivre !

[1] Source https://portal.av-atlas.org/