kalafoto - Fotolia
Repérer les logiciels malveillants sans casser le chiffrement
Des chercheurs de Cisco montrent comment détecter les communications de logiciels malveillants malgré leur chiffrement avec TLS, et sans chercher à le casser.
« L’utilisation de TLS par des logiciels malveillant pose de nouveaux défis à la détection de menaces basée sur le réseau, parce que les techniques traditionnelles de recherche de motifs ne peuvent pas être appliqués ». C’est avec ce constat désormais bien connu que Blake Anderson, Subharthi Paul et David McGrew, de Cisco, introduisent leurs travaux.
Peu s’aventureront à les contredire alors que le chiffrement s’avère clairement être une avancée à double tranchant pour les DSI. L’inspection des flux chiffrés ne manque d’ailleurs pas de poser des problèmes de performances et de créer des risques pour la confidentialité des données des utilisateurs. Les trois chercheurs relèvent en outre avoir travaillé sur un échantillon où 10 % des logiciels malveillants utilisent TLS – « cette tendance rend la détection de menaces plus difficile parce qu’elle rend l’utilisation de l’inspections de paquets en profondeur (DPI) ineffective ». Dès lors, pour eux, « il est important de déterminer si un trafic réseau est bénin ou malicieux, et de le faire d’une manière qui préserve l’intégrité du chiffrement ».
Et justement, ils semblent tenir une solution. Dans leur rapport d’étude, ils expliquent ainsi que « TLS introduit un ensemble complexe de caractéristiques observables permettant de tirer de nombreuses inférences tant sur le client que sur le serveur ». De quoi « détecter et comprendre les communications de logiciels malveillants », tout préservant la confidentialité des échanges légitimes. Mieux encore, selon les chercheurs, ces caractéristiques rendent possible l’attribution précise à une famille de logiciels malveillants de communications détectées, « y compris avec un unique flux chiffré ».
En l’occurrence, il s’agit d’observer les échanges, en clair, durant la phase d’initialisation du lien TLS. Mais uniquement : « l’utilisation de TLS par les logiciels malveillants diffère du trafic entreprise et, pour la plupart des familles, ce fait peut être mis à profit pour classifier des motifs de trafic malicieux ». Pas question de revendiquer une quelconque facilité car, même en s’appuyant sur l’apprentissage machine, « il est clair que certaines familles/sous-familles sont plus difficiles à classer ».
Mais les chercheurs assurent toutefois réussir à 90,3 % à attribuer un flux réseau chiffré isolé à la bonne famille de logiciels malveillants, et à plus de 93 % « en utilisant tous les flux chiffrés sur une fenêtre de 5 minutes ». Avec humilité, ils estiment malgré tout qu’un « acteur malveillant motivé pourrait essayer d’échapper à la détection en répliquant les caractéristiques d’un trafic d’entreprise », même si un tel exercice « nécessite un effort continu, non trivial, d’ingénierie logicielle ».