BlackBerry Cylance réplique aux fragilités dénoncées de son antivirus
Cylance tempère les propos des chercheurs qui disent avoir contourné son antivirus en trompant l’algorithme d’apprentissage automatique sur lequel il repose.
L’antivirus CylancePROTECT est-il si vulnérable que l’ont laissé entendre les équipes de Skylight ?
L’entreprise australienne de cybersécurité avait publiquement exposé, jeudi 18 juillet, une méthode de contournement qu’elle disait « universelle ».
Cette dernière lui avait permis de tromper l’algorithme du logiciel pour qu’il identifie comme légitimes des fichiers malveillants.
Cylance a répliqué dimanche 21 juillet.
La société récemment passée dans le giron de BlackBerry assure que la méthode en question n’est pas « universelle ». Elle ne permettrait en l’occurrence de contourner que « certaines composantes du produit » et dans « certaines circonstances ».
Skylight s’est appuyé une liste blanche où figuraient des exécutables destinés à éviter les faux positifs. Ses équipes ont extrait des chaînes de caractères d’un de ces exécutables et les ont insérées dans des fichiers malveillants. Ceux-ci ont vu remonter nettement le score de confiance que l’antivirus leur accordait.
Selon les termes de Cylance, la faille autorisait « la manipulation de certaines caractéristiques extraites des fichiers analysés ». Elle a fait l’objet d’un correctif qui sera diffusé « dans les prochains jours » sur les appareils équipés de CylancePROTECT.
La démarche a impliqué plusieurs modifications :
- davantage de contrôles pour détecter l’éventuelle manipulation de caractéristiques ;
- un renforcement de l’algorithme afin qu’il détecte lorsque certaines caractéristiques ont un « poids » trop important dans l’évaluation du fichier ;
- la suppression, parmi les données fournies à ce même algorithme, des caractéristiques le plus susceptibles d’être manipulées.
Illustration © siiixth – Shutterstock.com