Fotolia

Jim Dolce, Lookout : moins d’une journée pour découvrir une nouvelle menace

Fort d’une impressionnante base installée, le patron de Lookout estime pouvoir découvrir toute nouvelle application malicieuse en moins d’une journée après son apparition.

Lookout s’est fait une spécialité de la sécurité des terminaux mobiles. L’entreprise propose notamment des services d’évaluation de la sécurité des applications ainsi que de renseignement sur les menaces mobiles. Le tout de manière intégrée avec les solutions de gestion de la mobilité d’entreprise (EMM) d’AirWatch, MobileIron, ou encore Microsoft, notamment.

LeMagIT : quel recours avez-vous à l’apprentissage automatique – Machine Learning – pour identifier les applications mobiles malicieuses ?

Jim Dolce : Je dois commencer par vous parler de notre double modèle commercial, grand public et entreprises. Lookout s’est lancé 2008, initialement pour proposer une solution de protection les logiciels malveillants, principalement pour Android, et le grand public. J’ai rejoint Lookout six ans plus tard avec pour mission principale de l’ouvrir au marché entreprises. Cette seconde approche dépend en fait de la première.

L’activité grand public nous fournit les données télémétriques. C’est la source de volumes de données massifs : nous comptons aujourd’hui 100 millions d’utilisateurs grand public. Cinq à six millions de nouveaux utilisateurs viennent les rejoindre à chaque trimestre. C’est sur les terminaux de ces utilisateurs que nous collectons des données sur les menaces. Elles viennent alimenter notre Cloud. C’est là que nous utilisons des algorithmes d’apprentissage machine, supervisés et non supervisés. Les modèles qu’ils produisent sont utilisés pour notre offre entreprise.

Notre base installée nous a permis de collecter les empreintes – hash – d’environ 38 millions de binaires. Et ce chiffre gonfle de 20 000 à 30 000 chaque jour. Nous récupérons aussi les binaires correspondant à des empreintes, via des accords passés avec les magasins applicatifs. Car nous faisons aussi de la vérification d’applications pour eux. Il ne s’agit pas forcément d’applications distinctes : nous suivons les différentes versions de chaque application.

[…] Nous disposons d’une importante équipe, dite de de recherche et réponse, qui ré-entraîne continuellement nos algorithmes d’apprentissage automatique. Les menaces deviennent de plus en plus sophistiquées et complexes. Je pense qu’il est important de conserver l’humain dans le processus afin de nous adapter à la nature évolutive de la menace.

Comment procédez-vous là, par analyse statique du code, par analyse dynamique ?

Nous conduisons de nombreux tests, statiques et dynamiques. Et également pour des entreprises, pour les applications qu’elles développent en interne. Nous cherchons trois choses : les logiciels malveillants, les vulnérabilités, et nous étudions le comportement des applications.

Nous vérifions par exemple ce que l’application est capable de faire à l’exécution : est-ce qu’elle communique avec une adresse IP externe ? Si oui, pouvons-nous géolocaliser cette adresse ? Est-ce qu’elle accède aux contacts ? Au courrier électronique ?

Nous avons donc dès lors l’empreinte du binaire, le binaire lui-même, et son profil comportemental. Nous savons si le binaire contient un composant malveillant ou des vulnérabilités. Et si c’est le cas, nous savons également quelles sont ces vulnérabilités. Et nous voilà avec un ensemble de données de plus en plus gros. Et c’est l’ensemble de ces informations que nous utilisons pour proposer un produit aux entreprises.

Il s’agit d’une couche de supervision sur les terminaux déployés dans l’entreprise, qu’ils soient administrés par EMM ou non, proposés dans le cadre d’un programme de COPE, ou acceptés dans une approche BYOD. Nous fournissons un portail utilisateur, mais également des interfaces pour les systèmes d’EMM ou encore de gestion des informations et des événements de sécurité (SIEM). Nous sommes le renseignement sur les menaces transmettant toutes les informations nécessaires à l’éventuelle remédiation.

Compte tenu de l’étendue de votre base installée, combien de temps pourrait, statistiquement, vous rester invisible une application malicieuse ?

Nous parlons de la probabilité qu’une application malicieuse apparaisse sur au moins un des 100 millions d’appareils équipés, n’est-ce pas ? Nous pensons que nous disposons des moyens de découvrir des menaces inédites. Je dirais qu’en l’espace d’une journée, une nouvelle application malicieuse apparaîtra sur l’un des terminaux que nous surveillons, finira dans notre système, y sera analysée, et dès lors classée comme malveillante. L’espace d’une journée. Et dès que l’application est repérée, nos clients sont protégés. 

Pour approfondir sur Protection du terminal et EDR