Dans quelques années, les pirates auront peut-être la vie plus dure, car ils auront de plus en plus en mal à trouver des vulnérabilités dans les logiciels. Pourquoi? Parce que les systèmes auront peut-être la capacité de trouver eux-même leurs failles et, surtout, de les corriger. Comme le ferait n’importe quel « hacker whitehat ». C’est en tous les cas ce que souhaite la Darpa, la célèbre agence de recherche et développement de l’armée américaine. Et pour y arriver, elle investit plusieurs millions de dollars dans un concours baptisé « Cyber Grand Challenge » (CGC) qui vise à récompenser le meilleur « robot-hacker ».
Plus d’une centaine d’équipes de chercheurs réparties dans le monde entier se sont mises sur les rangs pour créer une telle machine, lorsque le programme CGC a été lancé en juin 2014. A l’occasion de la conférence DEF CON 23, qui vient de se dérouler à Las Vegas, la Darpa a présenté les sept équipes finalistes de cet évènement hors du commun. On notera au passage qu’elles sont toutes américaines. Dans exactement un an, chacune reviendra à Las Vegas pour la prochaine DEF CON, installera son supercalculateur et le lancera contre les machines des six autres compétiteur dans le cadre d’un « Capture The Flag » (CTF), c’est-à-dire un combat de hacking.
Les CTF existent depuis longtemps et sont organisés à l’occasion de chaque manifestation de hackers. Mais jamais un tel jeu n’a été organisé avec des machines comme participants. Et pour cause: hacker des programmes est une tâche extrêmement complexe. Il y a quelques années, personne n’aurait seulement imaginé qu’une machine pourrait la réaliser.
Mais Michael Walker, ancien hacker et responsable du programme CGC au sein de la Darpa, y croit dur comme fer. Lors de sa présentation à DEF CON 23, il n’hésite pas à faire l’analogie avec d’autres jeux où, contre toute attente, les ordinateurs sont passés maîtres: les échecs, le go, le poker, le jeopardy… Mais comparé à une partie d’échecs, un CTF est beaucoup plus complexe. L’espace de jeu n’est pas limité à 64 cases, il est quasiment infini. Les joueurs sont confrontés à de multiples stratégies adverses, à des situations inédites, à des logiciels qu’ils doivent décortiquer par rétro-ingénierie alors qu’ils ne les ont jamais vus avant. C’est là que réside la principale difficulté pour les chercheurs: il faut réussir à saisir la logique de ce travail d’orfèvre et la synthétiser dans un programme. Une quête un peu folle que la Darpa revendique haut et fort. « Notre but est d’inventer une technologie du futur, une technologie qui soit réellement capable de réagir à des nouvelles menaces informatiques en temps réel », souligne Michael Walker.
La tâche est énorme, mais ne semble d’ores-et-déjà pas impossible. Pour se qualifier, les sept équipes de chercheurs ont toutes dû présenter un prototype logiciel capable de détecter des failles dans un certains nombre de binaires et de les corriger. A l’occasion de DEF CON, Michael Walker a fait une démonstration : au travers d’un logiciel de visualisation, il a montré le déroulement d’un programme bogué, puis du même programme après avoir été automatiquement patché.
Le Cyber Grand Challenge marque-t-il la fin des hackers et le début d’une ère sans failles logicielles? Giovanni Vigna réfute cette affirmation. Professeur d’informatique à l’université de Santa Barbara et habitué des CTF de DEF CON, il dirige l’une des sept équipes finalistes (Shellphish) du CGC « On ne pourra jamais créer un logiciel capable d’analyser n’importe quel logiciel. Cela découle du problème de l’arrêt, qui a été mathématiquement prouvé. L’idée, avec le CGC, c’est de créer des algorithmes capables de réaliser dans un certain contexte des analyses de code statiques et dynamiques, de détecter les éventuelles erreurs d’exécution, de les reproduire et de les patcher. C’est déjà un bon début », explique-t-il.
L’homme se montre satisfait et il a de quoi l’être. En se qualifiant pour la phase finale, son équipe a empoché une première récompense de 750.000 dollars. Dans un an, si leur robot-hacker gagne la compétition, elle repartira avec 2 millions de dollars, ce qui lui permettra de continuer les recherches dans ce domaine.
Lire aussi:
Notre dossier Black Hat et DEF CON Las Vegas
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.