Il existe deux types d’attaquants : des petites organisations qui gagnent un peu d’argent avec leurs ransomware, ou de grosses organisations qui attaquent des gouvernements, des grandes entreprises, etc. Ici ils s’intéressent aux petits attaquants. Le malware qui est sur l’écran est un vrai malware, ancien (donc résolu) mais il a vraiment existé ; pourrait encore se déclencher sur un vieux téléphone non mis à jour par exemple. Dans le cas présent, c’est un ransomware qui chiffre les photos du propriétaire du téléphone : la victime ne peut plus voir ses photos sur son téléphone sauf si elle paie. Pour faire de l’analyse dynamique de malware sur téléphone, les chercheurs obligent le malware à s’exécuter afin d’observer ce qu’il fait, en jouant avec l’interface graphique ou en forçant l’application. Les graphes montrent ce qui se passe pendant l’attaque. Un code va récupérer l’application que l’on veut tester, tout se fait tout seul sur le téléphone portable ; l’exécution du code malveillant a été forcée et il s’est exécuté. Ici on voit une multitude de sms « evil sms » ; en vrai ce serait un envoi de numéros surtaxés.
Sur le grand écran : graphe des processus à gauche : fichier image (IMG … en orange l’appli qui devient un processus ; l’attaquant communique via TOR = nœuds relais qui permettent à l’attaquant de rester anonymes – à chaque fois c’est chiffré différemment ligne temporelle = graphe orange nombres d’événements : relié au graphe dessus quand on le lance, permet de voir quand le malware se lance ; il laisse les images chiffrées. L’objectif est comprendre comment fonctionne le malware, ce que font les graphes sur le grand écran ; le malware attend toujours quelque chose pour se lancer : le travail de l’équipe est de trouver une éventuelle anomalie dans le téléphone. dernier graphe en haut à droite : peut se déplier pour voir le code dans le détail ; c’est pour cela qu’ils essaient de voir toute la chaîne.
Le LHS de Rennes est connecté à celui de Nancy, ils n’ont donc besoin que d’un minimum infrastructures mais l'accès aux équipements est tout aussi sécurisé. Dans la salle il y a une connexion directe sur internet, qui permet isoler le réseau interne d’Inria de ce réseau-là sur lequel l’équipe teste des malwares. LE LHS de Rennes possède du matériel spécifique : cage de Faraday, oscilloscope, générateur de signaux. La cage est utilisée pour lancer des expériences avec des attaques en fautes par injection d’ondes électromagnétiques. Le LHS de Rennes a plusieurs partenaires : La région Bretagne : financement seulement DGA, Direction générale de l’armement : financement + fournissent des ingénieurs à Bruz à quelques kms d’ici Centrale Supélec, qui a mis une chaire au LHS ici sur les malwares (analyse de vulnérabilité) Leur agenda de recherche est complémentaire du LHS de Nancy.
|