Chaîne de montage (Assemblyline)

Chaîne de montage (Assemblyline) est un outil d’analyse et de détection de maliciels développé par le CST, qui a été mis à la disposition de la collectivité de la cybersécurité en octobre 2017.

Cet outil a été conçu dans le cadre du programme de cyberdéfense du CST en vue de détecter et d’analyser les fichiers malveillants dès leur réception. À titre de centre d’excellence du gouvernement du Canada en matière de cybersécurité, le CST assure la protection et la défense des réseaux informatiques et de l’information électronique de grande importance pour le gouvernement du Canada. Les membres hautement qualifiés de son personnel s’efforcent chaque jour de protéger le Canada et les Canadiens contre les cybermenaces les plus sophistiquées. Chaîne de montage (Assemblyline) est l’un des outils qu’ils utilisent.

La diffusion d’Assemblyline offre à la collectivité de la cybersécurité l’occasion de se procurer un outil développé par le CST et d’y apporter des améliorations afin d’en faire bénéficier tous les Canadiens.
 

Fonctionnement

Chaîne de montage (Assemblyline) est une plateforme servant à l’analyse de fichiers malveillants, qui a été conçue pour aider les équipes de cyberdéfense à automatiser l’analyse des fichiers et à faire une meilleure utilisation du temps des analystes de la sécurité. L’outil distingue les instances où de grandes quantités de fichiers sont reçues sur le système et est en mesure de rééquilibrer automatiquement sa charge de travail. Les utilisateurs peuvent y ajouter leurs propres outils d’analyse, comme des produits antivirus ou des logiciels personnalisés. Conçu pour être personnalisé par l’utilisateur, Chaîne de montage (Assemblyline) propose aux analystes de la sécurité une interface robuste.

On peut comparer le fonctionnement de Chaîne de montage (Assemblyline) à celui d’un convoyeur à bande. Les fichiers arrivent dans le système et font l’objet d’un tri selon une certaine séquence.

  • Chaîne de montage (Assemblyline) génère de l’information sur chacun des fichiers, puis leur attribue un identifiant unique qui les suit alors qu’ils sont acheminés dans le système.
  • Les utilisateurs peuvent ajouter leurs propres outils d’analyse, que l’on appelle services. Les services sélectionnés par l’utilisateur dans Chaîne de montage (Assemblyline) analysent alors les fichiers à la recherche d’indications de malveillance et en extraient les caractéristiques à des fins d’analyse plus poussée.
  • Lors de l’analyse, le système peut, à tout moment, générer des alertes concernant un fichier malveillant et lui accorder une note.
  • Le système peut également lancer l’exécution de systèmes de défense automatisés. Il est d’ailleurs possible de transmettre les indicateurs de malveillance générés par le système aux autres systèmes de défense.
  • Chaîne de montage (Assemblyline) est en mesure de distinguer les fichiers qui ont déjà été analysés.
Les utilisateurs peuvent y ajouter leurs propres outils d’analyse, comme des produits antivirus ou des logiciels personnalisés, puisque cette plateforme est conçue de manière à être personnalisée par l’utilisateur.
 

Exemple de Chaîne de montage (Assemblyline)

Un agent financier reçoit d’un expéditeur externe un courriel dans lequel est enregistré un fichier .zip protégé par un mot de passe. Le fichier en question contient une feuille de calcul et un document Word à utiliser pour la rédaction d’un rapport annuel. Une heure plus tard, l’agent financier achemine le courriel à trois de ses collègues au sein du même ministère et y joint une image .jpeg représentant la page couverture à utiliser pour le rapport.

Chaîne de montage (Assemblyline) commencera par examiner le courriel initial. Il reconnaît automatiquement les formats des différents fichiers (courriel, fichier .zip, feuille de calcul et document Word) et procède à l’analyse de chacun d’eux. Dans cet exemple, le document Word contient un maliciel intégré, ce que l’agent financier ignore. Une note est accordée au fichier dans son ensemble une fois l’analyse terminée. Les notes qui dépassent un certain seuil déclenchent des alertes. À ce stade, l’analyste de la sécurité peut examiner manuellement le fichier. Le maliciel contenu dans le document Word, quant à lui, est neutralisé par les mesures de sécurité que l’organisme a déjà mises en place.

Au moment où le courriel est transféré, Chaîne de montage (Assemblyline) détermine automatiquement qu’il s’agit d’une copie des fichiers et se concentre sur le nouveau contenu du courriel, à savoir l’image .jpeg.

Chaîne de montage (Assemblyline) réduit le nombre de fichiers non malveillants que les analystes doivent vérifier manuellement et permet aux utilisateurs de consacrer leur temps et leur attention aux fichiers plus nuisibles.
 

La force de Chaîne de montage (Assemblyline)

La force de Chaîne de montage (Assemblyline) réside dans sa capacité à permettre aux utilisateurs d’adapter le système à leurs besoins et dans sa façon de rééquilibrer automatiquement sa charge de travail en fonction du volume des fichiers. Il réduit le nombre de fichiers non malveillants que les analystes de la sécurité doivent vérifier, et permet aux utilisateurs de consacrer leur temps et leur attention aux fichiers plus nuisibles.

Développement de l’outil

Chaîne de montage (Assemblyline) a été conçu à partir du domaine public et d’un logiciel de source ouverte. Le CST est toutefois à l’origine de la majeure partie du code. Bien que l’outil ne comporte aucune technologie commerciale, il est facile de l’intégrer aux technologies de cyberdéfense existantes. De plus, comme il s’agit d’un logiciel de source ouverte, les entreprises peuvent modifier Chaîne de montage (Assemblyline) en fonction de leurs besoins.

Diffusion de Chaîne de montage (Assemblyline) à la collectivité de cyberdéfense

Les fichiers malveillants peuvent permettre aux auteurs de menaces d’accéder aux systèmes sensibles, d’extraire de l’information importante ou de contaminer des services essentiels. Chaîne de montage (Assemblyline) aidera les petites et grandes entreprises à mieux protéger leurs données contre le vol et la compromission. La plupart des logiciels de ce type sont exclusifs à une entreprise et ne sont pas offerts à la collectivité de développement de logiciels. Le CST met son outil Chaîne de montage (Assemblyline) à la disposition des entreprises, des chercheurs dans le domaine de la sécurité, de l’industrie et du milieu universitaire à titre gracieux. La diffusion de Chaîne de montage (Assemblyline) sert les intérêts du Canada et le travail qu’effectue le CST pour protéger les systèmes canadiens, et permet à la collectivité de la cybersécurité d’assurer l’évolution de ce logiciel de source ouverte fort utile. Sa diffusion publique permet de plus aux chercheurs dans le domaine de la sécurité contre les logiciels malveillants de concentrer leurs efforts sur la découverte de nouvelles méthodes de détection de fichiers malveillants.

Où peut-on se le procurer?

Il est possible de se procurer Chaîne de montage (Assemblyline) sur BitBucket, un référentiel de logiciels de source ouverte accessible par tous les détenteurs de comptes. Rappelons que Chaîne de montage (Assemblyline) n’a pas pour vocation de remplacer le logiciel antivirus commercial qui est installé sur votre poste de travail. En outre, quiconque s’intéresse à la cybersécurité peut se joindre à la « collectivité Assemblyline », dans le site de Google, à l’adresse suivante : https://groups.google.com/d/forum/cse-cst-assemblyline.