Symposium sur la sécurité des technologies de l'information et des communications

Les grands modèles de langage (ou Large Language Models, LLM) et l'IA générative ont complètement redéfini le paysage de l'intelligence artificielle ces deux dernières années. Des progrès ont été réalisés sur les architectures, les méthodes d'entraînement, et de nombreux datasets publics ont été mis à disposition par la communauté, ainsi que des modèles pré-entraînés, permettant de nouveaux usages à un coût relativement faible. En parallèle, du côté des cyberattaques l'essor des outils malveillants Powershell a conduit à trouver des méthodes innovantes pour améliorer leur détection. Nous proposons une méthode moderne et efficace de détection des scripts Powershell, en utilisant un LLM initialement entraîné sur la complétion et la caractérisation de code. Nous expliquerons les avantages de l'utilisation d'un modèle pré-entraîné, différentes façons de l'adapter à notre tâche, et présenterons les résultats. En particulier, nous expliquerons comment nous avons pu utiliser le modèle entraîné et lui demander "quand il se trompait", mettant en lumière les erreurs dans le jeu de données d'entraînement. Nous expliquerons d'où proviennent ces erreurs, et comment nous avons pu améliorer le modèle de manière itérative en les corrigeant, ce qui permettra à plus de personnes de reproduire nos découvertes et de corriger les pièges associés aux jeux de données bruités. Nous ouvrirons également la discussion sur ce que l'on peut entendre comme "malveillant" au sujet d'un fichier Powershell, selon les objectifs que l'on peut avoir.