La recherche fondamentale au service de la cyber

Installé à Nancy, le Loria et son Laboratoire de haute sécurité nous ont ouvert leurs portes en marge des assises universitaires Droit et Cybersécurité. La cyber est un sujet phare de la recherche en France.

Nancy accueille plus de 50 000 étudiants. Autant dire que la recherche est un des secteurs d’activité les plus dynamiques de la ville, et on y trouve de nombreuses initiatives et projets scientifiques au sens large. Regroupé sous l’appellation Lorraine Université d’Excellence (LUE), le pôle comprend en effet 68 laboratoires, et près de 4 500 chercheurs et 2 000 doctorants en liaison ou au cœur des grands instituts que sont le CNRS, l’Inserm ou l’Inrae, pour ne citer que les plus connus.

« C’est une politique de mise en commun de tout ce qui fait la recherche en France avec une approche pluridisciplinaire, toujours dans le but d’en faire profiter la société », résume Hélène Boulanger, présidente de l’université de Lorraine.

Parmi ces labos se trouve le Loria, « laboratoire lorrain de recherche en informatique et ses applications », issu en 1997 de la réunion du Crin et de l’Inria Lorraine. C’est avant tout un centre de recherche, mais son objectif est aussi que les fruits de ses recherches puissent être exploités concrètement par des entreprises, en général par le biais d’éditeurs dont certains incubés directement au sein du pôle LUE.

À la racine du mal

En France, dans le cadre du programme et équipements prioritaires de recherche (Prep), une dizaine de projets sont liés de près ou de loin à la cybersécurité (certains touchent la cryptographie et la vérification des protocoles) sur lesquels le Loria collabore. Parmi ces projets, il en porte un directement : le DefMal (Défense contre les programmes malveillants), qui a pour objectif de s’attaquer à l’analyse et à la défense contre les malwares. « Nous sommes avec les malwares dans des cas de cybermalveillance qui touchent non seulement les entreprises, mais aussi les collectivités locales ou les OIV. La plupart sont combinés à des attaques par rançongiciels, souvent avec des systèmes de double extorsion, mais ils servent également à l’espionnage ou dans les conflits tels que ceux que nous connaissons actuellement, en Ukraine ou au Proche-Orient », explique Jean-Yves Marion, professeur à l’université de Lorraine et directeur du Loria.

Lancé il y a un an pour succéder au projet DigiTrust*, DefMal bénéficie d’un budget de 5 millions d’euros réparti sur six ans et se pare de collaborations à grande échelle en France comme à l’international, avec le Cispa en Allemagne ou le Nict au Japon. Il dispose, au sein du campus de l’université de Lorraine, du Laboratoire de haute sécurité (LHS) où les chercheurs axent leur travail sur trois pans.

« L’analyse polymorphe arrive en complément d’autres outils développés par les éditeurs, comme l’EDR ou le XDR »

Régis Lhoste, président de Cyber-Detect

Le premier, et le plus important, concerne le développement de nouvelles méthodes algorithmiques pour détecter et se défendre contre les malwares. « On parle ici de ceux qui attaquent les PC, mais cela concerne également d’autres cibles potentielles, comme les drones, les voitures autonomes et, plus globalement, tous les objets connectés », explique Jean-Yves Marion.

L’équipe du LHS exploite pour ses recherches une base d’environ 35 000 malwares, ce qui représente au final une petite partie de tous ceux qui pullulent sur les réseaux et dans les infrastructures, mais beaucoup sont de simples variations d’une souche commune. C’est d’ailleurs une des caractéristiques qui a déjà permis au DefMal de produire des résultats en développant des outils dits d’analyse polymorphe. Son principe : repérer dans un code des signatures typiques de malwares connus et ainsi prévenir les attaques.

Chaque signature correspond à des centaines de déclinaisons d’un même malware souche, ce qui rend l’outil d’autant plus efficace. Il y a déjà des applications concrètes, la start-up Cyber-Detect l’exploitant dans son outil de protection Gorille (voir encadré). « Personne ne peut assurer une protection à 100 % et l’analyse polymorphe arrive en complément d’autres outils développés par les éditeurs, comme l’EDR ou le XDR », explique Régis Lhoste, président de Cyber-Detect, qui précise que sa solution à base d’analyse polymorphe atteint un taux de détection de 95 à 100 % sur les malwares connus avec moins de 5 % de faux positifs.

Le deuxième axe de travail du projet DefMal est plus empirique puisqu’il consiste à utiliser l’analyse pour mieux comprendre l’aspect comportemental des malwares et des cybercriminels. « On peut, par exemple, identifier un groupe d’attaques en fonction de caractéristiques typiques, mais nous analysons aussi les conséquences des attaques, le tout dans une approche pluridisciplinaire », explique Jean-Yves Marion.

Ce qui rejoint le troisième axe, la mise à disposition d’une plate-forme d’échange pour faire profiter tout l’écosystème des avancées du LHS, qui ne s’arrête pas aux échanges entre chercheurs. Des connexions sont établies entre le laboratoire et les institutions publiques, comme le ministère de la Justice, ComCyberGend (la branche de la gendarmerie spécifiquement dévolue aux cybermenaces) ou l’Anssi.

Des organismes qui eux-mêmes remontent des informations vers le LHS, même si elles sont sélectionnées
et filtrées. Le lien avec le secteur privé est permanent, ce qui change des habitudes qu’on retrouve souvent dans la recherche universitaire. « Il est vrai que la recherche fondamentale se fait généralement sur des temps longs, alors que, dans le cadre de la cybermalveillance, il est indispensable de travailler sur des temps courts car la typologie des attaques évolue rapidement. Avec le Loria et le LHS, nous sommes dans une posture réactive et nous nous adaptons à ces évolutions pour pouvoir produire des résultats rapides quand c’est nécessaire. »

Ainsi, outre les start-up incubées au sein de l’université, le Loria travaille avec des éditeurs qui ont déjà pignon sur rue, comme c’est le cas avec le français Wallix. Ce dernier dispose de chercheurs qui travaillent en collaboration étroite avec le LHS. « Ce qui manque en revanche, c’est un véritable outil qui permettrait de tester les solutions de cybersécurité de façon indépendante car beaucoup d’éditeurs font leurs propres tests et les orientent de façon que leurs solutions produisent les meilleurs résultats », regrette Jean-Yves Marion.

C’est d’ailleurs une des pistes qu’il évoque pour la mise en route de futurs projets au sein du LHS, parmi d’autres, comme la possibilité de plus agir en mode défense vis-à-vis des hackers, mais en mode contre-attaquant de façon à entrer dans leurs systèmes et, par exemple, débloquer des données encryptées par ransomware ou récupérer des rançons payées en cryptomonnaie.

L’analyse des flux financiers et le blanchiment d’argent, souvent corolaires de la cybermalveillance, sont également dans les projets, à condition toutefois de pouvoir les financer, car cela reste le nerf de la guerre, qu’elle soit cyber ou pas.

* Le mandat de dix ans de Jean-Yves Marion à la tête du Loria s’est terminé le 1er octobre 2023 mais il reste à la tête du Laboratoire de haute sécurité. Il a été remplacé à la direction du Loria par Yannick Toussaint.
** DigiTrust avait pour objectif de renforcer la confiance des citoyens dans le monde numérique.