Introduction
Qu’est-ce que YARA, historique et positionnement.
YARA est un outil open source de correspondance de motifs sur fichiers, mémoire ou flux. Les chercheurs malware y décrivent des familles via des règles : chaînes (texte, hex, regex) et une condition booléenne.
À quoi ça sert ?
- Classifier des échantillons (malware, hack tools, web shells).
- Chasser des menaces à grande échelle (disques, partages, images mémoire).
- Alimenter sandboxes, EDR et plateformes TI.
YARA et YARA-X
YARA 4.x (documentation) reste maintenu. YARA-X (documentation) est le successeur en Rust, déjà utilisé par VirusTotal (Livehunt, Retrohunt). La plupart des règles existantes fonctionnent sans modification.
YARA vs Sigma
| YARA | Sigma | |
|---|---|---|
| Cible | Fichiers / mémoire | Logs SIEM |
| Format | Langage YARA | YAML |
Les deux sont complémentaires dans un SOC.
Validation
Avant déploiement, valider les règles avec YARA-X (yr check rules.yar) ou YARA classique, et tester sur un corpus benign (goodware) pour mesurer les faux positifs. Outils : yaraQA, YARA-CI.
Limites
Faux positifs, packing/obfuscation, et coût de scan si les chaînes sont mal choisies — voir Performance et Conventions.