Recherche

Reportage: un ingénieur de Symantec raconte ses missions (2)

Tee Shirt à l'effigie de maître Yoda, imprimé du mot « Justice » sur les épaules, Candid Wueest traque les codes malveillants. Reportage chez Symantec en Irlande

Publié par le - mis à jour à
Lecture
3 min
  • Imprimer
Reportage: un ingénieur de Symantec raconte ses missions (2)

Dublin.- Depuis deux ans, Candid Wueest est l'expert malware du centre Symantec Response de Dublin en Irlande. A son actif, cet ingénieur compte la découverte de plusieurs codes particulièrement actifs.

« Ma journée de travail démarre à 9 heures; je commence par m'identifier sur la page qui centralise les questions de nos clients, j'extrais le document suspect et procède à son envoi sur ma machine test « Blackbox », qui n'est pas sur le réseau », explique Candid Wueest.

Cette boîte noire -signée Dell- permet à notre « détective de virus » de tester les différents codes que lui soumettent des clients de l'éditeur d'antivirus. Il doit déterminer si la menace est nouvelle et dangereuse.

« Près de 15% des codes analysés sont propres, mais dans 80% des cas, les chevaux de Troie que nous traitons ont un seul et unique but: tenter de s'enrichir en volant des informations personnelles. Nous travaillons également sur les systèmes Linux et Mac. »

Concrètement, Candid Wueest procède en plusieurs étapes. Il commence à lire le code (strings) et cherche une faille (scan log). Une fois qu'il a découvert la variante, si elle existe, il fait exécuter la menace sur sa machine test qui fait croire au virus qu'il se trouve connecté au Web.

Tout ce processus nécessite 20 minutes de traitement, à l'aide d'utilitaires développés en interne.

« Avec un logiciel de monitoring, on peut analyser le comportement du code, s'il procède à une modification d'une clé du registre; on peut suivre son impact sur les processus, surveiller l'action d'unkeylog. Certains codes sont programmés pour effacer le disque dur d'une cible à une date précise. Il faut là aussi lui donner l'illusion que c'est le moment d'agir » explique Wueest.

Si la menace est nouvelle et qu'elle ne figure pas dans la base de données dont dispose Candid Wueest, il effectue l'identification du code. C'est la deuxième étape de son travail.

Il commence par ouvrir une session de désassemblage du code qui pour l'instant est en binaire, ce qui permet de le rendre lisible. Comme l'indique Wueest, « il ne s'agit ni de langage C ni de Java, mais c'est lisible pour un programmeur. Après, il faut rechercher les traces laissées par le pirate. On peut également faire des recherches dans le code par mots-clés. »

Une fois cette étape d'identification et de classification terminée, il soumet la signature à son collègue, l'Information Developper (ID) avec un petit texte explicatif. L'ID vérifie le sens de ces dernières et fait une relecture de la synthèse proposée par l'ingénieur. Cette étape terminée, un e-mail et un correctif sont envoyés au client.

Curieusement, les ingénieurs du centre de Dublin n'utilisent pas la virtualisation, une technologie pourtant très en vogue qui permet notamment de tester les attaques.

Mais il y a une raison à cela. Selon Wueest, qui ne remet pas en cause la qualité de cette techno, « certains virus ciblent spécifiquement les machines virtuelles », voilà pourquoi il n'utilise pas ce genre de solution.

Livres Blancs #cloud

Voir tous les livres blancs

Vos prochains événements

Voir tous les événements

Voir tous les événements

S'abonner
au magazine
Se connecter
Retour haut de page