Microsoft a développé le Projet Ire : un système d’IA autonome qui détecte les malwares par rétro-ingénierie complète sans intervention humaine.
Les chercheurs de Microsoft ont développé un système d’IA autonome capable de détecter les malwares de manière indépendante. Le système est baptisé Projet Ire. Contrairement aux outils de détection classiques, l’agent IA effectue une rétro-ingénierie complète sans connaissance préalable du fichier logiciel.
Le Projet Ire utilise des modèles de langage avancés en combinaison avec des outils d’analyse et de rétro-ingénierie tels que les frameworks open source Ghidra et angr. L’IA reconstruit le flux de contrôle du logiciel, analyse les fonctions et construit une chaîne de preuves pour étayer son évaluation. Cette approche permet d’identifier des malwares complexes sans intervention humaine.
Résultats précis
Lors d’un test pratique, le Projet Ire s’est vu attribuer près de 4 000 fichiers logiciels difficiles à analyser, nécessitant normalement une analyse humaine. Le système a atteint une précision de 0,89 et un rappel de 0,26. En termes simples : 89 % du code identifié comme malware était effectivement malveillant et l’IA a pu détecter 26 % de tous les malwares présents dans les échantillons de test.
Le test portait exclusivement sur des échantillons difficiles. L’efficacité du Projet Ire sur un ensemble classique d’échantillons de test est beaucoup plus élevée avec un rappel de 83 % et une précision de 98 %. L’IA peut également générer des rapports détaillés qui justifient étape par étape la conclusion de la classification. Grâce à cette transparence, il n’est pas difficile de soumettre les résultats à un audit.
Prêt pour la pratique
Les premiers résultats montrent ainsi un potentiel pour la classification autonome des malwares à grande échelle, avec une piste d’audit claire et des possibilités de validation par les équipes de sécurité. Le Projet Ire démontre spécifiquement une grande valeur ajoutée en tant que composant supplémentaire pour l’évaluation des malwares potentiels. Comme étape préalable à l’intervention humaine, le système peut déjà filtrer correctement un quart des malwares, avec très peu de faux positifs.
Microsoft souhaite donc déployer le Projet Ire comme outil d’analyse interne au sein de l’écosystème Defender sous le nom de Binary Analyzer. L’objectif final est de pouvoir analyser les logiciels suspects directement depuis la mémoire lors des premiers contacts, sans intervention manuelle.