Le 21 janvier 2020, le LHS (Laboratoire de Haute Sécurité) a ouvert ses portes pour les étudiants du Master VSOC (Veille Stratégique et Organisation des Connaissances). Cette visite a été complétée par deux conférences, une sur l’analyse de la virologie et des malwares et la sécurité réseaux, et l'autre sur la surveillance à grande échelle. Cette visite a été organisée dans le cadre de leurs modules sur la sécurité de l'information et sur la gestion des risques. Elle a également fait écho à la signature d'un accord de partenariat sur la cybersécurité entre le Loria et le CISPA, et à la table ronde sur la menace cyber organisée par les jeunes IHEDN Gd-Est, à laquelle certains étudiants du Master ont assisté.
Dirigé par Jean-Yves Marion, le Laboratoire de Haute Sécurité est une cellule du LORIA (laboratoire Lorrain de recherche en informatique et ses applications) et de l’Inria Nancy Grand Est. Il a pour objectif de faire des expérimentations sur la manifestation des systèmes d’attaque et de défense contre des codes malveillants et les attaques à grande échelle sur Internet.
Conférence sur la virologie, par Fabrice Sabatier, ingénieur de Recherche au Loria
Fabrice Sabatier nous a éclairé sur les différents types de malwares (malicious software), codes malveillants qui attaquent les ordinateurs, les smartphones et les objets connectés. Ainsi nous distinguons botnet, spyware, trojan, spyware, adware et ransomware.
Le premier phénomène de ce genre est apparu dans les années 1990 où l’on parlait de virus, un programme qui se réplique dans un autre programme comme le ferait un virus biologique. La prolifération se faisait par disquette pour ensuite commencer à se répliquer à travers les machines d’un même réseau, avant de se développer en se propageant via internet.
Dans le contexte actuel où 127 millions de codes malveillants apparaissent chaque mois, de plus en plus d’entreprises et d’institutions sont menacées d’attaques cybercriminelles. Le LHS exécute des expérimentations et manipulations à caractères sensibles, telles que l’analyse de codes malveillants, sans risquer de contaminer l’ensemble du réseau, et propose des solutions préventives ou curatives. Des techniques d'extraction de la signature du virus, à savoir le bit du programme qui ne change pas malgré la mutation, sont développées pour détecter un programme malveillant et l’éradiquer.
Conférence sur la sécurité des réseaux et la surveillance à grande échelle, par Frédéric Beck, ingénieur de Recherche à l’Inria
Frédéric Beck est affecté au Service Développement et Expérimentation (SED), et s’occupe de l’administration et de la maintenance du LHS. Lors de cette conférence on y découvre tout ce qui va concerner la cybersécurité mais aussi la sécurité au niveau du LHS. Ils sécurisent les échanges et collectent des données d’attaque afin de les étudier. Enfin, ils garantissent la sécurité des données qu’ils collectent.
Pour effectuer leur collecte de données, ils possèdent des sondes réparties sur plusieurs pays, ce qui permet d’avoir une large vision de ce qu’il se passe sur internet. Ces sondes leur permettent de capturer le trafic, de l’analyser en termes d’attaque, de repérer des tentatives d’attaque ou des attaques réussies, ou encore du contenu malveillant. En terme de contenu malveillant comme les virus, ils vont les stocker de manière sécurisée. En effet, Frédéric Beck nous apprend que les virus n’ont pas uniquement des impacts au niveau du matériel, mais cela peut aussi être des impacts physiques sur le monde, c’est pour cette raison que le stockage sécurisé de ces virus est extrêmement important.
La sécurité des réseaux et la surveillance à grande échelle permettent de prédire les attaques et de les détecter. Si une attaque se produit, ils n’ont que 30 secondes pour réagir. Cette prédiction se fait par l’étude de signaux faibles. Pour ce faire, ils utilisent un télescope réseau relié à leurs différentes sondes qui capturent des informations différentes, ensuite ils regroupent ces données capturées afin de les analyser. L'idée est ingénieuse : se faire attaquer pour récupérer du contenu malveillant. Comment procèdent-ils ? : ils mettent en place des honeypots, des machines qui font semblant d’être vulnérables pour se faire attaquer. Une fois les honeypots atteints, ils isolent le contenu malveillant pour le traiter par la suite.
Pour en savoir plus sur le LHS https://lhs.loria.fr/?page_id=377&lang=fr
Aïcha Bourhanzour et Mathilde Friard, étudiantes en Master Veille Stratégique et Organisation des Connaissances (VSOC)