De nos jours, faire reposer la sécurité d'un système uniquement sur un antivirus est un pari osé. Même si les antivirus restent un outil nécessaire dans la détection des vecteurs d'attaques génériques, leur efficacité reste encore à démontrer.
L'idée pour les exploiter au mieux n'est pas nouvelle. Elle consiste à combiner les résultats d'un ensemble d'anti-virus permettant ainsi de réduire la menace de codes malveillants qui pèse sur nos systèmes.
D'ailleurs, faire analyser un code par plusieurs anti-virus est souvent la première étape pour un analyste de malware. Celui-ci va vouloir par la suite pousser son analyse en le désassemblant, en l'exécutant dans une sandbox mais aussi en appliquant des outils internes.
Le sujet de cet article est IRMA (Incident Response and Malware Analysis), une plate-forme privée et open-source d'analyse de fichiers. Nous allons rappeler les objectifs de cette plate-forme. Puis, nous détaillons le fonctionnement de celle-ci en mettant en avant l'aspect modulaire de la plate-forme.
Cette présentation sera aussi l'occasion de faire un retour sur le développement de la plate-forme (problématiques techniques rencontrées, la gestion de la communauté open-source, ...), de présenter quelques statistiques sur les anti-virus, mais aussi quelques faits amusants auxquels nous avons été confronté au cours de son développement.