De nos jours, faire reposer la sécurité d'un système uniquement sur un
antivirus est un pari osé. Même si les antivirus restent nécessaires dans la
détection de logiciels malveillants, leur efficacité reste encore à démontrer
face à des attaquants motivés et de plus en plus astucieux.

Pour réduire la menace de codes malveillants qui pèse sur nos systèmes, l'idée
d'utiliser plusieurs logiciels antivirus et de combiner leurs résultats est une
pratique admise. Des services d'analyse de fichiers à la demande (publiques et
privées) ont ainsi vu le jour, mais leur usage en milieu professionnel est
souvent controversées par les problèmes qu'ils engendrent, notamment vis-à-vis
de la confidentialité: les fichiers analysés sont-ils détruit immédiatement
après l'analyse ? Qui ont accès à ces documents ? etc.

Par ailleurs, faire analyser un fichier par plusieurs antivirus reste souvent
limité, voire insuffisant. Ce n'est souvent qu'une première étape pour un
malware analyst, qui va pousser davantage son analyse en le désassemblant, en
l'exécutant dans une sandbox, en utilisant ses propres outils, etc. afin de se
forger son propre avis sur le fichier analysé.

Ce tutoriel porte sur I.R.M.A. (Incident Response and Malware Analysis), une
plate-forme et un framework open-source d'analyse de fichiers. Nous rappellerons
les problématiques et les objectifs qui ont amené à la genèse de ce projet.
Puis, nous détaillerons l'architecture et le fonctionnement de celle-ci et les
différents usages qui peuvent en être fait. Cette présentation sera aussi
l'occasion de faire un retour sur le développement de ce produit, en
particulier les échecs subis, les problématiques techniques rencontrées, le
passage d'un Proof-of-Concept à l'industrialisation, etc.