Le travail d’un chercheur en logiciels malveillants en 10 questions

Trois chercheurs en logiciels malveillants d'ESET décrivent ce que leur travail implique, les compétences dont ils ont besoin et ce qu'il faut pour se lancer dans une carrière réussie dans ce domaine.

Trois chercheurs en logiciels malveillants d’ESET décrivent ce que leur travail implique, les compétences dont ils ont besoin et ce qu’il faut pour se lancer dans une carrière réussie dans ce domaine.

Il y a quelques jours, nous avons examiné comment vous pouvez démarrer votre carrière dans le domaine plus large de la cybersécurité, en tirant parti des idées des chercheurs en sécurité d’ESET avec des décennies d’expérience à leur actif. Comme c’est aujourd’hui la Journée anti-logiciel malveillant, un jour où nous reconnaissons le travail des professionnels de la sécurité, nous avons pensé qu’il était approprié de demander à un trio de chercheurs en logiciels malveillants d’ESET de « prendre le relais » et de partager leurs pensées et expériences sur ce que leurs tâches quotidiennes impliquent.

Peut-être que la résolution d’énigmes est votre truc? Avez-vous un esprit curieux, toujours avide de nouvelles connaissances? Vous envisagez déjà de faire carrière dans la lutte contre la cybercriminalité, mais vous vous demandez si vous avez la tête de l’emploi? Vous appréciez simplement le travail des chercheurs en logiciels malveillants et vous vous demandez pourquoi ils ont choisi cette voie professionnelle?

Quelle que soit la raison ou les raisons de vos questionnements, vous n’avez qu’à consulter nos questions-réponses des chercheurs en cybersécurité d’ESET Lukas StefankoFernando Tavella et Matías Porolli, afin de mieux comprendre pour savoir à quoi ressemble le travail d’un expert en analyse et recherche de logiciels malveillants.

Tout d’abord, comment vous êtes-vous lancé dans l’analyse et la recherche de logiciels malveillants?

Lukas : Tout a commencé lorsque je me suis familiarisé avec l’ingénierie inverse des logiciels et que j’ai essayé de comprendre le fonctionnement et le comportement d’un logiciel sans avoir accès à son code source. À partir de là, la curiosité m’a poussé à comprendre comment les logiciels malveillants fonctionnent, quel est leur but, comment ils communiquent, etc. C’était une nouvelle expérience que j’ai énormément appréciée – et que j’apprécie toujours !

Fernando : Par-dessus tout, j’ai toujours aimé la partie recherche, qu’elle soit axée sur la sécurité ou d’autres activités. Mais lorsque j’ai commencé à travailler dans le domaine de la sécurité, je me suis rendu compte que je préférais l’ingénierie inverse. C’est en raison de sa complexité et de son attrait général que j’ai commencé à participer à des compétitions de capture de drapeau (CTF) et à me plonger dans divers sujets connexes. À un moment donné, je suis tombé sur un logiciel malveillant et j’ai réalisé à quel point il est intéressant de comprendre comment il fonctionne à l’aide d’un langage de bas niveau, quels types de techniques d’obscurcissement et d’évasion il utilise, et comment vous pouvez vous défendre contre certaines menaces.

Matías : En 2011, j’ai remporté le prix universitaire ESET University Award qui est organisé par ESET en Amérique latine et qui consistait à écrire un article de recherche sur des sujets liés à la sécurité informatique. Je n’avais aucune expérience dans l’analyse des logiciels malveillants à cette époque, mais j’ai continué à approfondir mes connaissances dans ce domaine par l’auto-apprentissage. En 2013, j’ai commencé à travailler pour ESET et j’ai commencé à mettre « les mains à la pâtes » avec l’analyse des logiciels malveillants.

À quoi s’apparente pour vous une journée de travail typique, si une telle chose existe?

Lukas : La plupart des journées commencent de la même façon : je consulte les dernières nouvelles en matière de cybersécurité, ma boîte de réception et Twitter. Mais certains jours prennent une tournure dramatique, par exemple lorsque nous découvrons des échantillons de logiciels malveillants nouveaux ou intéressants ou leurs traces qui, selon nous, pourraient nous mettre sur la voie de l’identification de nouvelles campagnes de cybercriminalité ou d’APT. C’est l’une des raisons pour lesquelles il est utile d’avoir de bonnes sources d’information – elles permettent de gagner du temps lors de l’analyse des logiciels malveillants, car certaines astuces peuvent déjà avoir été révélées.

Fernando : En fait, je ne pense pas qu’il y ait une journée typique dans mon travail. Beaucoup de nouvelles choses se produisent chaque jour et varient d’un jour à l’autre. Tout ne peut pas être planifié. Si je fais des recherches sur une campagne de logiciels malveillants en Amérique latine, par exemple, et que cela prend du temps, je passerai la journée à analyser cette menace particulière, tout en me réservant une trentaine de minutes le matin pour me tenir au courant des dernières nouvelles en matière de sécurité. Mais en général, aucune journée ne se ressemble.

Matías : Bien qu’il y ait des jours inhabituels où nous commençons des recherches sur une attaque en cours, j’ai une sorte de routine qui consiste en deux activités principales. La première consiste à chasser les nouvelles menaces dans mes flux d’informations, à suivre les groupes d’attaquants, etc. Ensuite, j’analyse les fichiers malveillants qui résultent de cette activité de chasse ou du travail avec mes collègues, en particulier l’ingénierie inverse et la documentation de ces menaces.

Quelle est la partie la plus passionnante de votre travail?

Lukas : Ce sont en fait toutes ces petites choses qui, ensemble, constituent le processus d’analyse des logiciels malveillants, qui commence avec moi, me grattant la tête avec curiosité. Chaque étape permet ensuite de résoudre le problème et de s’en faire une idée plus précise. Cela signifie que l’analyse statique et dynamique des logiciels malveillants Android consiste à les exécuter sur un appareil réel et à observer leur comportement du point de vue de la victime afin de comprendre leur objectif. Cette analyse révèle, par exemple, avec qui le logiciel malveillant communique et quels types de données il extrait de l’appareil. En examinant ses demandes d’autorisation, vous pouvez deviner les capacités du logiciel malveillant. Cependant, l’analyse dynamique n’est souvent pas suffisante. Pour avoir une meilleure idée du fonctionnement d’un logiciel malveillant et de ses fonctionnalités, il est important de lancer un décompilateur Android et de se salir les mains en analysant le code manuellement.

À partir de là, je commence souvent à faire des recherches et, finalement, à divulguer les campagnes actives de logiciels malveillants, ce que les méchants n’aiment pas vraiment. Il semble que certains suivent mon travail de près. À plusieurs reprises, leur code contenait de courtes notes qui m’étaient destinées. Elles ne sont pas toujours sympathiques. Par exemple, ils donnent mon nom à leurs classes ou à leurs paquets, signent le logiciel malveillant « en mon nom » ou enregistrent même des domaines malveillants qui contiennent mon nom et communiquent ensuite avec le logiciel malveillant. Cependant, je ne le prends pas personnellement.

Figure 1. Certains auteurs de logiciels malveillants semblent suivre de très près le travail de Lukas.

Fernando : C’est l’analyse statique d’une menace, la rétro-ingénierie, la capacité de voir tout le code à bas niveau et, à partir de là, de comprendre le comportement de la menace et ses fonctionnalités les plus intéressantes afin de pouvoir les documenter.

Matías : Ce que je préfère, c’est que j’applique rarement les mêmes méthodes à divers projets de recherche. Les attaquants utilisent diverses plates-formes et technologies, et il n’est pas rare de rencontrer des problèmes spécifiques qui nécessitent des solutions créatives. Par exemple, comment automatiser l’extraction des paramètres des logiciels malveillants pour des milliers de fichiers malveillants ou comment mettre en œuvre la désobstruction des fichiers qui ont été modifiés pour entraver l’analyse.

De quelles recherches ou projets êtes-vous le plus fier?

Lukas : Je dirais probablement que c’est l’un de mes derniers projets de recherche – l’analyse des vulnérabilités des stalkerwares sous Android. J’ai passé des mois à travailler sur ce projet, à examiner 80 applications de harcèlement et à découvrir plus de 150 problèmes graves de sécurité et de confidentialité.

Fernando : Je suis particulièrement fier des recherches que j’ai menées avec Matías sur la campagne d’espionnage au Venezuela qui a exploité le logiciel malveillant Bandook. C’était l’un de mes premiers projets de recherche, mais j’ai pu réaliser une analyse technique complète de la menace qui pesait sur le pays.

Matías : Toute recherche implique beaucoup de travail « en coulisses » qui n’est jamais publié. J’en suis néanmoins très fier, notamment en raison de ce que j’ai dit précédemment sur la nécessité de faire preuve de créativité pour s’attaquer à certains problèmes. Mais si je devais mettre en avant un projet de recherche spécifique, je dirais Evilnum. À l’époque, on ne savait pas grand-chose de ce logiciel malveillant, et on ne savait pratiquement rien du groupe qui l’avait créé. ESET a réussi à replacer l’arsenal malveillant du groupe dans son contexte, à découvrir son objectif et à avoir une vue d’ensemble.

Travaillez-vous en étroite collaboration avec d’autres équipes dans le domaine de la sécurité?

Lukas : Oui. Outre la recherche approfondie, notre objectif principal est de protéger les utilisateurs de nos produits et de détecter les menaces dans la nature. Cela signifie qu’il faut non seulement les partager avec nos équipes internes, mais aussi avec d’autres sociétés de cybersécurité et ainsi contribuer à améliorer la sensibilisation générale aux menaces récentes.

Fernando : J’ai travaillé avec des personnes chargées de la réponse aux incidents, principalement pour les aider à comprendre le comportement de toute menace qu’ils ont vue pendant un incident.

Matías : Nous travaillons constamment avec d’autres professionnels. Un cas qui mérite d’être mentionné est celui où j’ai travaillé avec l’unité néerlandaise de lutte contre la criminalité informatique pour démanteler les serveurs utilisés par Evilnum et effectuer des analyses médico-légales sur ceux-ci.

Quelles sont les compétences essentielles pour votre travail?

Lukas : En ce qui concerne l’analyse des logiciels malveillants Android, je dirais que vous devez comprendre les bases du système d’exploitation, y compris le cycle de vie des applications, et être capable de lire le code source décompilé de Java et Kotlin. Il est également utile de se tenir au courant des dernières découvertes, des outils publiés récemment et même des mises à jour du système d’exploitation et des applications. Ces mises à jour peuvent, par exemple, proposer de nouvelles fonctionnalités pratiques pour les utilisateurs, mais peuvent également contribuer à créer des opportunités dont les malfaiteurs pourraient tirer parti. Heureusement, la plupart des mises à jour gênent les auteurs de logiciels malveillants dans leur travail, plutôt que de les aider.

Fernando : Je pense qu’avoir des connaissances en programmation est très important, mais pas nécessairement écrire du code. Il faut plutôt être capable de le lire et de le comprendre. De même, la connaissance des systèmes d’exploitation, de la cryptographie, de l’architecture des ordinateurs et des réseaux (qu’il s’agisse de protocoles de réseau ou d’analyse du trafic) est le genre de compétences que plus la personne connaît, plus elle est préparée à analyser les logiciels malveillants et à ne pas être frustrée ou à renoncer à essayer.

Matías : En termes de compétences techniques, il faut connaître de nombreux domaines de l’informatique, notamment les réseaux, les systèmes d’exploitation et la programmation. Mon travail exige que vous ayez des connaissances approfondies en rétro-ingénierie, en particulier pour les plateformes Windows.

Y a-t-il un aspect non technique de votre travail avec lequel vous avez des difficultés ? Votre travail vous a-t-il obligé à améliorer ces compétences?

Lukas : Oui, il y en a. Chaque année, j’essaie d’améliorer l’une de mes compétences non techniques, comme écrire des articles de blog, me pousser à parler en public, améliorer mes compétences en matière de présentation, parler aux médias, donner des interviews, etc. La plupart d’entre elles ne sont pas faciles à acquérir pour une personne technique introvertie et me demandent de sortir de ma zone de confort, ce qui est plus facile à dire qu’à faire.

Fernando : J’ai dû améliorer mes compétences rédactionnelles. Bien qu’une équipe révise nos écrits, il est important pour chaque chercheur d’utiliser les bons mots et d’être capable de bien s’exprimer, car leurs résultats reflètent tout le travail qui peut se cacher derrière cet effort de recherche particulier. Je pense donc qu’être capable de s’exprimer et de transmettre clairement ses résultats est presque aussi important que tout le reste.

Matías : Il est important de savoir comment communiquer les résultats de nos analyses, pour qui nous produisons nos rapports, et d’adapter le contenu en conséquence. Il est également important de savoir raconter une histoire, plutôt que de remplir le document de descriptions techniques.

Selon vous, quels sont les traits de personnalité ou les compétences non techniques que doit posséder un chercheur en logiciels malveillants?

Lukas : Je pense que l’enthousiasme pour résoudre les problèmes et la volonté d’apprendre de nouvelles choses sont les forces motrices. Tout le reste s’apprend en cours de route.

Fernando : Je pense qu’il y a deux caractéristiques très importantes qu’un chercheur en logiciels malveillants doit avoir : la capacité d’apprendre par soi-même et la curiosité.

Matías : La curiosité, la capacité à se concentrer sur une tâche, la volonté de résoudre les problèmes, la patience et un sens aigu du détail.

Comment faites-vous pour continuer à élargir vos connaissances? Comment vous tenez-vous à jour?

Lukas : Je dois dire que rester à jour prend beaucoup de temps chaque jour. Cependant, j’ai appris à me tenir à jour en utilisant des flux RSS et des canaux de médias sociaux dédiés et fiables, en lisant des articles de blog et des tweets de chercheurs de mes pairs et d’autres entreprises de cybersécurité, ainsi que des recherches universitaires et via des alertes Google. Une fois que j’ai trouvé les nouvelles les plus importantes et que je les ai lues, j’essaie de les partager avec d’autres passionnés de sécurité mobile via mon canal Telegram, afin de leur faire gagner du temps lorsqu’ils sont à la recherche d’informations sur la sécurité mobile.

Fernando : Je vais généralement sur Twitter pour trouver des informations partagées par des collègues chercheurs et pour lire leurs publications. De cette façon, je suis informé des nouvelles campagnes et des nouvelles techniques qui peuvent être déployées par les cybercriminels. En outre, si un élément a attiré mon attention dans une recherche, je le note et je m’y plonge pendant mon temps libre. Il peut s’agir de n’importe quoi, par exemple un chiffre ou une méthode d’obscurcissement d’un logiciel malveillant.

Matías : Il faut lire les actualités et se tenir au courant de ce qui se passe. Je suggère d’utiliser les réseaux sociaux pour suivre les entreprises de sécurité et s’informer sur les nouvelles recherches, ou même suivre d’autres chercheurs. Lisez aussi les blogs sur la sécurité informatique : WeLiveSecurity, par exemple 😊

Quel message souhaiteriez-vous transmettre aux personnes désireuses de se lancer dans une carrière dans la recherche sur les logiciels malveillants?

Lukas : Lancez-vous. La passion et l’enthousiasme sont essentiels et permettent à tout chercheur en herbe d’assimiler plus facilement les informations et les connaissances. En outre, si vous avez du mal à comprendre quelque chose, ne vous inquiétez pas : vos futurs collègues se feront un plaisir de vous l’expliquer.

Fernando : Allez-y une étape à la fois. Participez aux concours de la FFC portant sur divers sujets liés à l’analyse des logiciels malveillants, tels que l’ingénierie inverse, la cryptographie et l’analyse du trafic réseau. Il n’est pas nécessaire de commencer par disséquer un logiciel malveillant, car cela peut être trop complexe. En outre, lisez ce que d’autres ont déjà fait, afin de tirer des enseignements des analyses de menaces précédemment détectées et de voir comment les échantillons de logiciels malveillants fonctionnaient. Si vous lisez et recherchez suffisamment, vous remarquerez que certaines variantes de logiciels malveillants ont certaines caractéristiques en commun – par exemple, elles modifient les entrées du registre afin de s’installer sur l’ordinateur de la victime. De plus, en lisant l’article d’un autre chercheur, vous pouvez voir ce qu’il a considéré comme important dans cette menace spécifique, ce qui est un point de vue que vous devriez exploiter lorsque vous vous lancez dans l’analyse d’un logiciel malveillant pour la première fois.

Matías : Gardez votre calme et identifiez les constantes cryptographiques.

Voilà, c’est fait. Nous espérons que cela vous a donné suffisamment de matière à réflexion. Vous passez un tiers de votre vie au travail. Pourquoi ne pas choisir une carrière où vous pourrez avoir un impact et contribuer à rendre la technologie plus sûre pour tous?

Bonne journée anti-logiciel malveillant!

Infolettre

Discussion