Une équipe d’armasuisse et de l’EPF de Zurich présente une nouvelle approche de détection de cyberattaques

Berne, 12.06.2017 – armasuisse Sciences et technologies et l’EPF de Zurich ont développé une nouvelle méthode de détection ciblée de cyberattaques contre des réseaux informatiques. Cette méthode soutient la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC).

Les organes étatiques et les entreprises sont toujours plus menacés par des cyberattaques visant des données dignes de protection. L’attaque dont RUAG a été l’objet récemment est un exemple typique d’une telle attaque. Les attaquants infectent un ordinateur interne de l’entreprise, dont ils se servent ensuite pour analyser le réseau informatique interne et voler des données en grande quantité.
De telles attaques, dites «Advanced Persistent Threat (APT)», sont très difficiles à détecter avec les instruments de sécurité actuels. Souvent, une organisation ne constate qu’après des mois, voire des années, qu’un intrus s’est infiltré dans ses réseaux.

Vincent Lenders (armasuisse Sciences et technologies) et Pavlos Lamprakis, Ruggiero Dargenio, David Gugelmann, Markus Happe et Laurent Vanbever (EPF Zurich) ont mis au point une méthode d’un nouveau type pour détecter les canaux de communication entre un Malware présent sur un ordinateur infecté et le serveur de commande de l’attaquant. Avec l’approche présentée, il est possible de distinguer en quelques heures les canaux ordinaires de communication HTTP (C&C-Channels) des Malware APT.

La publication «Unsupervised Detection of APT C&C Channels using Web Request Graphs» sera présentée au début juillet à Bonn, à la conférence DIMVA. Ce travail est le résultat d'un projet de recherche réalisé en collaboration par armasuisse Sciences et technologies et le Zurich Information Security and Privacy Center (ZISC), de l’Ecole polytechnique fédérale de Zurich. Ce travail soutient la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC).

Instituée il y a 14 ans, la conférence DIMVA est organisée par le Special Interest Group Security – Intrusion Detection (SIDAR) et la société allemande «Gesellschaft für Informatik (GI)». Cette conférence est reconnue comme l’un des leaders dans les domaines de la détection des intrusions et des Malware ainsi que pour l’analyse des faiblesses. Des experts internationaux du monde scientifique, de l’industrie et des autorités s’y rencontrent chaque année pour échanger les résultats de la recherche.

Adresse en cas de questions

Kaj-Gunnar Sievert
Chef de la communication d'armasuisse
058 464 62 47

Editeur