... plus utile à long terme. « Les voyous ne changent pas leur code si souvent », s'exclame Greg Hoglund.

Une plate-forme d'anti-virus traditionnelle identifie des variantes de programmes malveillants. Cette recherche peut ancrer une nouvelle forme de détection d'intrusions qui analyse profondément les programmes malveillants pour trouver les empreintes et pour les assigner à un groupe d'attaquants en se basant notamment sur les objectifs du programme, ajoute-t-il.

Par exemple, si le programme malveillant est conçu pour voler les numéros de cartes bancaires de particuliers, une entreprise pourrait le classer comme une menace nettement moins importante qu'un logiciel malveillant qui chercherait à voler la propriété intellectuelle de la société.

« Vous n'allez pas réussir à garder les voyous hors de votre réseau », note Greg Hoglund. « Mais si vous pouvez les détecter le plus tôt possible vous êtes en mesure d'empêcher les pertes ».

Le fait d'utiliser ces empreintes comme des signatures par lesquelles le programme malveillant est détecté, permettrait aux programmes de détection des intrusions de se focaliser davantage sur le fait de les filtrer plutôt que de se concentrer sur les contenants (« wrappers ») dans lesquels ils sont envoyés. Ce qui permettrait de développer une bibliothèque de signatures plus stable, étant donné que les hackers changent rarement leurs codes. Ces signatures seraient plus efficaces sur de longues périodes.

Pour le faire, ces systèmes de détection de signatures doivent être placés sur les terminaux (PC de bureau, serveurs, passerelles, smartphones, ...) là où le code s'exécute et peuvent être lus dans la mémoire du PC comme un texte lisible par un être humain. Dans le réseau, un ensemble exécutable ne révèlerait pas ces caractéristiques.

Lors de la conférence, Greg Hoglund a présenté un outil appelé Fingerprint, qui analyse et compare les ressemblances parmi les objets sous-jacents trouvés à différents endroits du logiciel malveillant. Les entreprises pourraient utiliser cet outil pour déterminer quel hacker identifiable a écrit le code et quelles sont les actions prévues.

Cela peut à son tour donner à l'entreprise une idée sur le fait qu'ils soient ou non attaqués de façon concertée par un groupe ou si c'est juste une attaque isolée, au hasard. En utilisant ce type d'analyse, Greg Hoglund précise qu'il a trouvé qu'un seul pirate identifiable était responsable pour avoir pris pour cible la défense nationale tout comme une base militaire cinq ans auparavant.

Les résultats montraient que le hacker était le même, et utilisait un environnement de développement en chinois, indiquant que les attaques venaient de cette zone. Certains des codes sources utilisés étaient exactement des copies de code de hackers chinois commercialisés dans ce pays.

. Web-profils.com, la place de marché du conseil et de l'ingénierie