22èmeédition -Conférences 2014 
19 et 20 mars 2014 
VIPARIS –CNIT –Paris La Défense 
Utilisation de l’analyse statique de ...
22èmeédition -Conférences 2014 
19 et 20 mars 2014 
VIPARIS –CNIT –Paris La Défense 
Préambule 
DO-178B | ED-12B 
Aerospac...
22èmeédition -Conférences 2014 
19 et 20 mars 2014 
VIPARIS –CNIT –Paris La Défense 
Systèmes embarqués sécurisés…
22èmeédition -Conférences 2014 
19 et 20 mars 2014 
VIPARIS –CNIT –Paris La Défense 
Systèmes embarqués actuels… 
Remote C...
22èmeédition -Conférences 2014 
19 et 20 mars 2014 
VIPARIS –CNIT –Paris La Défense 
D’oùviennentles attaques? 
Source: Ve...
22èmeédition -Conférences 2014 
19 et 20 mars 2014 
VIPARIS –CNIT –Paris La Défense 
La plupart des vulnérabilités logicie...
22èmeédition -Conférences 2014 
19 et 20 mars 2014 
VIPARIS –CNIT –Paris La Défense 
Exemple de problème connu
22èmeédition -Conférences 2014 
19 et 20 mars 2014 
VIPARIS –CNIT –Paris La Défense 
Exemple de problème connu
22èmeédition -Conférences 2014 
19 et 20 mars 2014 
VIPARIS –CNIT –Paris La Défense 
Méthodesde vérification/prévention 
•...
22èmeédition -Conférences 2014 
19 et 20 mars 2014 
VIPARIS –CNIT –Paris La Défense 
code 
analysis 
L’analyse statique am...
22èmeédition -Conférences 2014 
19 et 20 mars 2014 
VIPARIS –CNIT –Paris La Défense 
Technologies de pointe en analyse sta...
22èmeédition -Conférences 2014 
19 et 20 mars 2014 
VIPARIS –CNIT –Paris La Défense 
NIST/DHSStudy 
Benchmark indépendanto...
22èmeédition -Conférences 2014 
19 et 20 mars 2014 
VIPARIS –CNIT –Paris La Défense 
Synthèse du benchmark 
tool A 
tool B...
22èmeédition -Conférences 2014 
19 et 20 mars 2014 
VIPARIS –CNIT –Paris La Défense 
Assez peu de recouvrement 
Chaqueouti...
22èmeédition -Conférences 2014 
19 et 20 mars 2014 
VIPARIS –CNIT –Paris La Défense 
Working with security and defense age...
22èmeédition -Conférences 2014 
19 et 20 mars 2014 
VIPARIS –CNIT –Paris La Défense 
Conclusion 
Les systèmesembarquésaffr...
22èmeédition -Conférences 2014 
19 et 20 mars 2014 
VIPARIS –CNIT –Paris La Défense 
Crédits/ Références 
Dr Ralf Huuck 
R...
Prochain SlideShare
Chargement dans…5
×

Intérêt de l'analyse statique pour la prévention des failles de sécurité

384 vues

Publié le

Comment améliorer la sécurité des systèmes embarqués?
Cette présentation effectuée à l'occasion du salon RTS 2014, montre que l'analyse statique des logiciels est une des réponses à cette problématique

Publié dans : Logiciels
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
384
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
9
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Intérêt de l'analyse statique pour la prévention des failles de sécurité

  1. 1. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Utilisation de l’analyse statique de code pour améliorer la sécurité des applications embarquées Jérôme d’ALDERETE Email : jdalderete@antycip.com Tél.: +33 6 08 95 79 64
  2. 2. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Préambule DO-178B | ED-12B Aerospace FDA | IEC 62304 Medical ISO 26262 Automotive IEC 61508 Industrial CENELEC | EN 50128 Railway Safety= sûreté (de fonctionnement) = fiabilité Security = sécurité = protection contre les attaques malveillantes
  3. 3. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Systèmes embarqués sécurisés…
  4. 4. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Systèmes embarqués actuels… Remote Control Interconnections …la connectivité accroit la vulnérabilité
  5. 5. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense D’oùviennentles attaques? Source: Verizon 2012 Data Breach Investigations Report En résumé: 1.Attaquesde l’extérieur 2.Pratiquedu hacking = exploitation des faillesdu logiciel Source: Verizon 2012 Data Breach Investigations Report
  6. 6. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense La plupart des vulnérabilités logicielles sont répertoriées SQL injections buffer overflows crashes + de 200 règles + de 800 règles
  7. 7. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Exemple de problème connu
  8. 8. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Exemple de problème connu
  9. 9. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Méthodesde vérification/prévention •Activitécomplexeà automatiser •Couverturenon déterministe Penetration Testing •Faibleproductivité, limitesen volume de code •Couverturenon déterministe Manual Code Review •Efficacesila menace (signature) estconnue •Solution de contournementtemporaireseulement Application Firewalls •Couverturenon déterministe Dynamic Application Security Testing
  10. 10. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense code analysis L’analyse statique améliore les revues de code •Rapide •Exhaustif •Automatisable •Large spectre de vérifications: •Crashes •Corruption mémoire •Débordement de tableaux •SQL injection •DDoS
  11. 11. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Technologies de pointe en analyse statique Pour avoirle meilleurcompromisvitesse/ précision •InterproceduralAnalysis •Model Checking •SMT solving •Abstract Data Tracking Tousles outilsontles mêmesprétentionssurle papier…
  12. 12. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense NIST/DHSStudy Benchmark indépendantorganisépar le gouvernementUS Généralités: •Campagned’évaluationannuelle •Sélectionde 5 à 10 outilscommerciauxouacadémiques •Publication des résultats-> http://samate.nist.gov/ Base de test: •Projetsopen source (Chromium, Wireshark, Dovecot, …) •Suite de tests spécifiques(+ de 60.0000 casde test)
  13. 13. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Synthèse du benchmark tool A tool B tool C tool D tool E
  14. 14. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Assez peu de recouvrement Chaqueoutila sesproprespoints forts…
  15. 15. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Working with security and defense agencies. Moteurd’analyseC/C++ moderne •Abstract data tracking •model checking •SMT solving •Inter-procedural analysis …Et complet •Erreursd’exécution •RèglesMISRA •RèglesCERT, CWE
  16. 16. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Conclusion Les systèmesembarquésaffrontentles mêmesmenaces queles systèmesd’informationclassiques. Maisavec un impact potentiellementplus grand Pas de solution miracle pour les protéger: •Conception orientéesécurité •Revues de code •Tests L’analysestatiquede code estéconomique, car automatisable, et elleprémunitcontreun grand nombrede faillesconnues.
  17. 17. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Crédits/ Références Dr Ralf Huuck Red Lizard Software / NICTA https://www.securecoding.cert.org http://cwe.mitre.org/ http://redlizards.com jdalderete@antycip.com Démonstration GOANNA: Stand Antycip N°F19

×