Gmail recourt au machine learning pour mieux flairer les fichiers joints infectés

Google a introduit fin 2019 un nouveau système pour contrer les documents infectés envoyés vers Gmail. L’outil de détection fait appel au machine learning pour tenter de s'adapter au plus vite à l’évolution des méthodes des cybercriminels. Car si Google se targue d’être en mesure de bloquer 99,9% des menaces qui atteignent les boîtes de réception Gmail, maintenir une telle efficacité nécessite d'améliorer en permanence les technologies qui identifient les pièces jointes contenant un malware. «Notre scanner de logiciels malveillants traite plus de 300 milliards de pièces jointes chaque semaine pour bloquer les contenus nuisibles. 63% des documents malveillants que nous bloquons diffèrent d'un jour à l'autre», explique le géant du web.

Ce nouveau scanner dopé à l’IA est pour l’heure employé uniquement pour les documents Office, le type de fichiers joints le plus couramment exploité par les cyberpirates. A noter que les documents Office sont impliqués dans 56% des attaques par malware dans Gmail. Basé sur un modèle de deep learning formé avec TFX (TensorFlow Extended), le nouvel outil de détection commence déjà à faire ses preuves, affirme Google. Depuis son lancement, il a en effet permis d’augmenter de 10% les détections quotidiennes de documents Office abritant des scripts malveillants. Dans le cas d’attaques par rafales, le gain d'efficacité atteint les 150%, précise la firme.

Le modèle de deep learning à l’œuvre est couplé à plusieurs analyseurs customisés pour chaque type de fichier. Ceux-ci sont chargés de passer le document au crible, d'identifier les patterns d'attaque communs, d'extraire les macros, de désobstruer le contenu et d'effectuer l'extraction de caractéristiques discriminantes. Le nouveau scanner de protection des boîtes de réception de Gmail fonctionne en parallèle avec les autres technologies de détection déjà en service. Ces différents outils contribuent ensemble au verdict final du moteur de décision.