Les verrous logiques, antivirus et autres pare-feu, sont inutiles dès lors qu'un intrus accède physiquement à l'ordinateur. C'est en partant de ce constat que Sophos présente aujourd'hui le programme RAPIL (Recognition and Analysis of Potentially Intruding Lifeforms). Le projet vise à reconnaitre non pas l'utilisateur légitime du poste de travail, mais tout intrus présentant des caractéristiques physiques communes aux pirates. En cela, RAPIL est la déclinaison "physique" des technologies antivirus génériques exploitées avec succès depuis plusieurs années dans le domaine antiviral logiciel.

RAPIL s'appuie sur la webcam intégrée à la plupart des ordinateurs récents afin d'obtenir une image de l'utilisateur. Celle-ci est échantillonnée 32 fois par seconde et analysée par le système expert du logiciel. Celui-ci met en oeuvre des techniques bien connues du domaine de l'intelligence artificielle, tels les systèmes classeurs et les arbres de décision, afin de déterminer si le visage en question présente des similarités avec celui d'un auteur de virus ou d'un pirate. Les critères sélectionnés par Sophos sont bien entendus un secret de fabrique bien gardé, mais nous pouvons supposer que les cheveux longs, les t-shirts noirs et une hygiène bucco-dentaire douteuse figurent parmi les références du logiciel.

Selon l'éditeur RAPIL obtient des scores de détection élevés, de l'ordre de 97,78%, lorsque l'utilisateur n'a pas recourt à des techniques d'évasion sophistiquées. En revanche, Sophos admet bien volontiers que le système n'est pas entièrement au point face aux barbes, lunettes et autre couvre-chefs. Il en appelle d'ailleurs à la communauté afin de lui soumettre des échantillons d'images ainsi grimé afin de mieux qualifier sa solution face à ces techniques de polymorphisme avancées.

Il est intéressant de noter que Sophos ne fait finalement que retourner leur propre arme contre les pirates : il y a précisément un an (curieux hasard du calendrier !) ces derniers détournaient les webcams des Mac afin d'espionner leurs utilisateurs. La  société 3M proposait même alors un outil de sécurisation physique innovant afin de lutter contre ces attaques, Apple n'étant pas en mesure de publier un correctif dans les temps.

Sophos propose une présentation détaillée de RAPIL, ainsi qu'une vidéo, sur son site (en anglais) : www.sophos.com/security/blog/2008/04/1246.html.