SlideShare une entreprise Scribd logo

Intérêt de l'analyse statique pour la prévention des failles de sécurité

Jérôme d'Alderete
Jérôme d'Alderete

Comment améliorer la sécurité des systèmes embarqués? Cette présentation effectuée à l'occasion du salon RTS 2014, montre que l'analyse statique des logiciels est une des réponses à cette problématique

Logiciels
1  sur  17
Télécharger pour lire hors ligne
22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Utilisation de l’analyse statique de code pour améliorer la sécurité des applications embarquées Jérôme d’ALDERETE Email : jdalderete@antycip.com Tél.: +33 6 08 95 79 64
22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Préambule DO-178B | ED-12B Aerospace FDA | IEC 62304 Medical ISO 26262 Automotive IEC 61508 Industrial CENELEC | EN 50128 Railway Safety= sûreté (de fonctionnement) = fiabilité Security = sécurité = protection contre les attaques malveillantes
22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Systèmes embarqués sécurisés…
22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Systèmes embarqués actuels… Remote Control Interconnections …la connectivité accroit la vulnérabilité
22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense D’oùviennentles attaques? Source: Verizon 2012 Data Breach Investigations Report En résumé: 1.Attaquesde l’extérieur 2.Pratiquedu hacking = exploitation des faillesdu logiciel Source: Verizon 2012 Data Breach Investigations Report
22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense La plupart des vulnérabilités logicielles sont répertoriées SQL injections buffer overflows crashes + de 200 règles + de 800 règles
22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Exemple de problème connu
22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Exemple de problème connu
22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Méthodesde vérification/prévention •Activitécomplexeà automatiser •Couverturenon déterministe Penetration Testing •Faibleproductivité, limitesen volume de code •Couverturenon déterministe Manual Code Review •Efficacesila menace (signature) estconnue •Solution de contournementtemporaireseulement Application Firewalls •Couverturenon déterministe Dynamic Application Security Testing
22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense code analysis L’analyse statique améliore les revues de code •Rapide •Exhaustif •Automatisable •Large spectre de vérifications: •Crashes •Corruption mémoire •Débordement de tableaux •SQL injection •DDoS
22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Technologies de pointe en analyse statique Pour avoirle meilleurcompromisvitesse/ précision •InterproceduralAnalysis •Model Checking •SMT solving •Abstract Data Tracking Tousles outilsontles mêmesprétentionssurle papier…
22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense NIST/DHSStudy Benchmark indépendantorganisépar le gouvernementUS Généralités: •Campagned’évaluationannuelle •Sélectionde 5 à 10 outilscommerciauxouacadémiques •Publication des résultats-> http://samate.nist.gov/ Base de test: •Projetsopen source (Chromium, Wireshark, Dovecot, …) •Suite de tests spécifiques(+ de 60.0000 casde test)
22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Synthèse du benchmark tool A tool B tool C tool D tool E
22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Assez peu de recouvrement Chaqueoutila sesproprespoints forts…
22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Working with security and defense agencies. Moteurd’analyseC/C++ moderne •Abstract data tracking •model checking •SMT solving •Inter-procedural analysis …Et complet •Erreursd’exécution •RèglesMISRA •RèglesCERT, CWE
22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Conclusion Les systèmesembarquésaffrontentles mêmesmenaces queles systèmesd’informationclassiques. Maisavec un impact potentiellementplus grand Pas de solution miracle pour les protéger: •Conception orientéesécurité •Revues de code •Tests L’analysestatiquede code estéconomique, car automatisable, et elleprémunitcontreun grand nombrede faillesconnues.
22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Crédits/ Références Dr Ralf Huuck Red Lizard Software / NICTA https://www.securecoding.cert.org http://cwe.mitre.org/ http://redlizards.com jdalderete@antycip.com Démonstration GOANNA: Stand Antycip N°F19

Recommandé

Connectwave, la plateforme d'expérimentation et d'usages des Objets Connectés
Connectwave, la plateforme d'expérimentation et d'usages des Objets ConnectésConnectwave, la plateforme d'expérimentation et d'usages des Objets Connectés
Connectwave, la plateforme d'expérimentation et d'usages des Objets ConnectésCNRFID
 
Objectifs du meetup "Paris Sigfox User Group"
Objectifs du meetup "Paris Sigfox User Group"Objectifs du meetup "Paris Sigfox User Group"
Objectifs du meetup "Paris Sigfox User Group"Yann DOUZE
 
Exploitation - Sécurité
Exploitation - SécuritéExploitation - Sécurité
Exploitation - SécuritéLOMBARDI-INGENIERIE
 
Méthode de la carte mentale : mindmapping
Méthode de la carte mentale : mindmappingMéthode de la carte mentale : mindmapping
Méthode de la carte mentale : mindmappingCesam Fall
 
Figaronron - Concert Sud Radio (12-06-2009)
Figaronron - Concert Sud Radio (12-06-2009)Figaronron - Concert Sud Radio (12-06-2009)
Figaronron - Concert Sud Radio (12-06-2009)Figaronron Figaronron
 
Start-Up : pourquoi faire des RP ? Kalima pour Cap Digital
Start-Up : pourquoi faire des RP ? Kalima pour Cap DigitalStart-Up : pourquoi faire des RP ? Kalima pour Cap Digital
Start-Up : pourquoi faire des RP ? Kalima pour Cap DigitalKalima Public Relations
 
Día de la paz curso4eso grupo c juan antonio lopez filgaira y oscar lopez san...
Día de la paz curso4eso grupo c juan antonio lopez filgaira y oscar lopez san...Día de la paz curso4eso grupo c juan antonio lopez filgaira y oscar lopez san...
Día de la paz curso4eso grupo c juan antonio lopez filgaira y oscar lopez san...mjolengua
 
Éducation thérapeuthique du patient (ETP): quelles compétences communicationn...
Éducation thérapeuthique du patient (ETP): quelles compétences communicationn...Éducation thérapeuthique du patient (ETP): quelles compétences communicationn...
Éducation thérapeuthique du patient (ETP): quelles compétences communicationn...Colloque "La communication au coeur de la e-santé"
 

Recommandé

Connectwave, la plateforme d'expérimentation et d'usages des Objets Connectés
Connectwave, la plateforme d'expérimentation et d'usages des Objets ConnectésConnectwave, la plateforme d'expérimentation et d'usages des Objets Connectés
Connectwave, la plateforme d'expérimentation et d'usages des Objets ConnectésCNRFID
 
Objectifs du meetup "Paris Sigfox User Group"
Objectifs du meetup "Paris Sigfox User Group"Objectifs du meetup "Paris Sigfox User Group"
Objectifs du meetup "Paris Sigfox User Group"Yann DOUZE
 
Exploitation - Sécurité
Exploitation - SécuritéExploitation - Sécurité
Exploitation - SécuritéLOMBARDI-INGENIERIE
 
Méthode de la carte mentale : mindmapping
Méthode de la carte mentale : mindmappingMéthode de la carte mentale : mindmapping
Méthode de la carte mentale : mindmappingCesam Fall
 
Figaronron - Concert Sud Radio (12-06-2009)
Figaronron - Concert Sud Radio (12-06-2009)Figaronron - Concert Sud Radio (12-06-2009)
Figaronron - Concert Sud Radio (12-06-2009)Figaronron Figaronron
 
Start-Up : pourquoi faire des RP ? Kalima pour Cap Digital
Start-Up : pourquoi faire des RP ? Kalima pour Cap DigitalStart-Up : pourquoi faire des RP ? Kalima pour Cap Digital
Start-Up : pourquoi faire des RP ? Kalima pour Cap DigitalKalima Public Relations
 
Día de la paz curso4eso grupo c juan antonio lopez filgaira y oscar lopez san...
Día de la paz curso4eso grupo c juan antonio lopez filgaira y oscar lopez san...Día de la paz curso4eso grupo c juan antonio lopez filgaira y oscar lopez san...
Día de la paz curso4eso grupo c juan antonio lopez filgaira y oscar lopez san...mjolengua
 
Éducation thérapeuthique du patient (ETP): quelles compétences communicationn...
Éducation thérapeuthique du patient (ETP): quelles compétences communicationn...Éducation thérapeuthique du patient (ETP): quelles compétences communicationn...
Éducation thérapeuthique du patient (ETP): quelles compétences communicationn...Colloque "La communication au coeur de la e-santé"
 
Tractament sida 2011
Tractament sida 2011Tractament sida 2011
Tractament sida 2011miguelmolina2008
 
Analisis blog
Analisis blogAnalisis blog
Analisis blogVeyka Cruz
 
Marketing Und Bibliotheken
Marketing Und BibliothekenMarketing Und Bibliotheken
Marketing Und BibliothekenZukunftswerkstatt
 
Open Initiatives: Vorteile offener Wissensproduktion und Informationsbereitst...
Open Initiatives: Vorteile offener Wissensproduktion und Informationsbereitst...Open Initiatives: Vorteile offener Wissensproduktion und Informationsbereitst...
Open Initiatives: Vorteile offener Wissensproduktion und Informationsbereitst...uherb
 
Bilder Ralos Nord Italien
Bilder Ralos Nord ItalienBilder Ralos Nord Italien
Bilder Ralos Nord ItalienErhard Renz
 
Die virtuelle Zweigstelle: Bibliotheken in Facebook, MySpace, StudiVZ & Co.
Die virtuelle Zweigstelle: Bibliotheken in Facebook, MySpace, StudiVZ & Co.Die virtuelle Zweigstelle: Bibliotheken in Facebook, MySpace, StudiVZ & Co.
Die virtuelle Zweigstelle: Bibliotheken in Facebook, MySpace, StudiVZ & Co.Zukunftswerkstatt
 
Wälzung
WälzungWälzung
WälzungErhard Renz
 
Abipbox
AbipboxAbipbox
AbipboxTELE-satellite deu
 
Marketing2
Marketing2Marketing2
Marketing2JohnHaasen
 
Organizacion
OrganizacionOrganizacion
OrganizacionPedroPlanasSilva
 
DFKOM Social Media Newsroom
DFKOM Social Media NewsroomDFKOM Social Media Newsroom
DFKOM Social Media Newsroomviadoo GmbH
 
Valéry_Angie
Valéry_AngieValéry_Angie
Valéry_Angiebarnardoneillc
 
L'aménagement touristique de l'espace rural en France
L'aménagement touristique de l'espace rural en FranceL'aménagement touristique de l'espace rural en France
L'aménagement touristique de l'espace rural en Franceuniverscetia
 
Six-guns - Présentation de la boutique
Six-guns - Présentation de la boutiqueSix-guns - Présentation de la boutique
Six-guns - Présentation de la boutiqueFigaronron Figaronron
 
Campana de un solo volante
Campana de un solo volanteCampana de un solo volante
Campana de un solo volantejaviersanchezmata
 
Évaluer l'information sur Internet et prescrire des ressources aux patients- ...
Évaluer l'information sur Internet et prescrire des ressources aux patients- ...Évaluer l'information sur Internet et prescrire des ressources aux patients- ...
Évaluer l'information sur Internet et prescrire des ressources aux patients- ...Colloque "La communication au coeur de la e-santé"
 
Geren aula5
Geren aula5Geren aula5
Geren aula5Mayré Rojas
 
ICT-Ausbildungspartnerschaft für Byangabo
ICT-Ausbildungspartnerschaft für ByangaboICT-Ausbildungspartnerschaft für Byangabo
ICT-Ausbildungspartnerschaft für ByangaboJoachim Graf
 
Diapo Afrique 1
Diapo Afrique 1Diapo Afrique 1
Diapo Afrique 1Stephanieds
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
Houssem BOULFRAKH - WebPhone (Projet de fin d'études)
Houssem BOULFRAKH - WebPhone (Projet de fin d'études)Houssem BOULFRAKH - WebPhone (Projet de fin d'études)
Houssem BOULFRAKH - WebPhone (Projet de fin d'études)Houssam_Eddine Boulfrakh
 

Contenu connexe

En vedette

Open Initiatives: Vorteile offener Wissensproduktion und Informationsbereitst...
Open Initiatives: Vorteile offener Wissensproduktion und Informationsbereitst...Open Initiatives: Vorteile offener Wissensproduktion und Informationsbereitst...
Open Initiatives: Vorteile offener Wissensproduktion und Informationsbereitst...uherb
 
Bilder Ralos Nord Italien
Bilder Ralos Nord ItalienBilder Ralos Nord Italien
Bilder Ralos Nord ItalienErhard Renz
 
Die virtuelle Zweigstelle: Bibliotheken in Facebook, MySpace, StudiVZ & Co.
Die virtuelle Zweigstelle: Bibliotheken in Facebook, MySpace, StudiVZ & Co.Die virtuelle Zweigstelle: Bibliotheken in Facebook, MySpace, StudiVZ & Co.
Die virtuelle Zweigstelle: Bibliotheken in Facebook, MySpace, StudiVZ & Co.Zukunftswerkstatt
 
DFKOM Social Media Newsroom
DFKOM Social Media NewsroomDFKOM Social Media Newsroom
DFKOM Social Media Newsroomviadoo GmbH
 
L'aménagement touristique de l'espace rural en France
L'aménagement touristique de l'espace rural en FranceL'aménagement touristique de l'espace rural en France
L'aménagement touristique de l'espace rural en Franceuniverscetia
 
Six-guns - Présentation de la boutique
Six-guns - Présentation de la boutiqueSix-guns - Présentation de la boutique
Six-guns - Présentation de la boutiqueFigaronron Figaronron
 
ICT-Ausbildungspartnerschaft für Byangabo
ICT-Ausbildungspartnerschaft für ByangaboICT-Ausbildungspartnerschaft für Byangabo
ICT-Ausbildungspartnerschaft für ByangaboJoachim Graf
 

En vedette (19)

Tractament sida 2011
Tractament sida 2011Tractament sida 2011
Tractament sida 2011
 
Analisis blog
Analisis blogAnalisis blog
Analisis blog
 
Marketing Und Bibliotheken
Marketing Und BibliothekenMarketing Und Bibliotheken
Marketing Und Bibliotheken
 
Open Initiatives: Vorteile offener Wissensproduktion und Informationsbereitst...
Open Initiatives: Vorteile offener Wissensproduktion und Informationsbereitst...Open Initiatives: Vorteile offener Wissensproduktion und Informationsbereitst...
Open Initiatives: Vorteile offener Wissensproduktion und Informationsbereitst...
 
Bilder Ralos Nord Italien
Bilder Ralos Nord ItalienBilder Ralos Nord Italien
Bilder Ralos Nord Italien
 
Die virtuelle Zweigstelle: Bibliotheken in Facebook, MySpace, StudiVZ & Co.
Die virtuelle Zweigstelle: Bibliotheken in Facebook, MySpace, StudiVZ & Co.Die virtuelle Zweigstelle: Bibliotheken in Facebook, MySpace, StudiVZ & Co.
Die virtuelle Zweigstelle: Bibliotheken in Facebook, MySpace, StudiVZ & Co.
 
Wälzung
WälzungWälzung
Wälzung
 
Abipbox
AbipboxAbipbox
Abipbox
 
Marketing2
Marketing2Marketing2
Marketing2
 
Organizacion
OrganizacionOrganizacion
Organizacion
 
DFKOM Social Media Newsroom
DFKOM Social Media NewsroomDFKOM Social Media Newsroom
DFKOM Social Media Newsroom
 
Valéry_Angie
Valéry_AngieValéry_Angie
Valéry_Angie
 
L'aménagement touristique de l'espace rural en France
L'aménagement touristique de l'espace rural en FranceL'aménagement touristique de l'espace rural en France
L'aménagement touristique de l'espace rural en France
 
Six-guns - Présentation de la boutique
Six-guns - Présentation de la boutiqueSix-guns - Présentation de la boutique
Six-guns - Présentation de la boutique
 
Campana de un solo volante
Campana de un solo volanteCampana de un solo volante
Campana de un solo volante
 
Évaluer l'information sur Internet et prescrire des ressources aux patients- ...
Évaluer l'information sur Internet et prescrire des ressources aux patients- ...Évaluer l'information sur Internet et prescrire des ressources aux patients- ...
Évaluer l'information sur Internet et prescrire des ressources aux patients- ...
 
Geren aula5
Geren aula5Geren aula5
Geren aula5
 
ICT-Ausbildungspartnerschaft für Byangabo
ICT-Ausbildungspartnerschaft für ByangaboICT-Ausbildungspartnerschaft für Byangabo
ICT-Ausbildungspartnerschaft für Byangabo
 
Diapo Afrique 1
Diapo Afrique 1Diapo Afrique 1
Diapo Afrique 1
 

Similaire à Intérêt de l'analyse statique pour la prévention des failles de sécurité

Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
Houssem BOULFRAKH - WebPhone (Projet de fin d'études)
Houssem BOULFRAKH - WebPhone (Projet de fin d'études)Houssem BOULFRAKH - WebPhone (Projet de fin d'études)
Houssem BOULFRAKH - WebPhone (Projet de fin d'études)Houssam_Eddine Boulfrakh
 
Presentation sans video france convention 2014
Presentation sans video france convention 2014 Presentation sans video france convention 2014
Presentation sans video france convention 2014 Wildix
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielCyber Security Alliance
 
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisationCyvip formation-approche-et-reussite-d-un-projet-de-virtualisation
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisationCERTyou Formation
 
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)CERTyou Formation
 
Extr4.0rdinaire - L'IA, on y va ! - 15/02/2024
Extr4.0rdinaire - L'IA, on y va ! - 15/02/2024Extr4.0rdinaire - L'IA, on y va ! - 15/02/2024
Extr4.0rdinaire - L'IA, on y va ! - 15/02/2024Infopole1
 
20070320 01 - Démarche qualité logicielle et outillage (SNCF)
20070320 01 - Démarche qualité logicielle et outillage (SNCF)20070320 01 - Démarche qualité logicielle et outillage (SNCF)
20070320 01 - Démarche qualité logicielle et outillage (SNCF)LeClubQualiteLogicielle
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itSecludIT
 
Meetup Voiture Connectée et Autonome #23 chez Léonard groupe Vinci avec PSA, ...
Meetup Voiture Connectée et Autonome #23 chez Léonard groupe Vinci avec PSA, ...Meetup Voiture Connectée et Autonome #23 chez Léonard groupe Vinci avec PSA, ...
Meetup Voiture Connectée et Autonome #23 chez Léonard groupe Vinci avec PSA, ...Laurent Dunys
 
Intégrez la RFID et les Objets Connectés dans vos processus industriels
Intégrez la RFID et les Objets Connectés dans vos processus industrielsIntégrez la RFID et les Objets Connectés dans vos processus industriels
Intégrez la RFID et les Objets Connectés dans vos processus industrielsCNRFID
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSEvaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSNBS System
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 

Similaire à Intérêt de l'analyse statique pour la prévention des failles de sécurité (20)

Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
Houssem BOULFRAKH - WebPhone (Projet de fin d'études)
Houssem BOULFRAKH - WebPhone (Projet de fin d'études)Houssem BOULFRAKH - WebPhone (Projet de fin d'études)
Houssem BOULFRAKH - WebPhone (Projet de fin d'études)
 
Presentation sans video france convention 2014
Presentation sans video france convention 2014 Presentation sans video france convention 2014
Presentation sans video france convention 2014
 
TECHCARE GROUP
TECHCARE GROUPTECHCARE GROUP
TECHCARE GROUP
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisationCyvip formation-approche-et-reussite-d-un-projet-de-virtualisation
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation
 
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)
 
Extr4.0rdinaire - L'IA, on y va ! - 15/02/2024
Extr4.0rdinaire - L'IA, on y va ! - 15/02/2024Extr4.0rdinaire - L'IA, on y va ! - 15/02/2024
Extr4.0rdinaire - L'IA, on y va ! - 15/02/2024
 
Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018
 
20070320 01 - Démarche qualité logicielle et outillage (SNCF)
20070320 01 - Démarche qualité logicielle et outillage (SNCF)20070320 01 - Démarche qualité logicielle et outillage (SNCF)
20070320 01 - Démarche qualité logicielle et outillage (SNCF)
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud it
 
Meetup Voiture Connectée et Autonome #23 chez Léonard groupe Vinci avec PSA, ...
Meetup Voiture Connectée et Autonome #23 chez Léonard groupe Vinci avec PSA, ...Meetup Voiture Connectée et Autonome #23 chez Léonard groupe Vinci avec PSA, ...
Meetup Voiture Connectée et Autonome #23 chez Léonard groupe Vinci avec PSA, ...
 
Intégrez la RFID et les Objets Connectés dans vos processus industriels
Intégrez la RFID et les Objets Connectés dans vos processus industrielsIntégrez la RFID et les Objets Connectés dans vos processus industriels
Intégrez la RFID et les Objets Connectés dans vos processus industriels
 
Snort
SnortSnort
Snort
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSEvaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 

Intérêt de l'analyse statique pour la prévention des failles de sécurité

  • 1. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Utilisation de l’analyse statique de code pour améliorer la sécurité des applications embarquées Jérôme d’ALDERETE Email : jdalderete@antycip.com Tél.: +33 6 08 95 79 64
  • 2. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Préambule DO-178B | ED-12B Aerospace FDA | IEC 62304 Medical ISO 26262 Automotive IEC 61508 Industrial CENELEC | EN 50128 Railway Safety= sûreté (de fonctionnement) = fiabilité Security = sécurité = protection contre les attaques malveillantes
  • 3. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Systèmes embarqués sécurisés…
  • 4. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Systèmes embarqués actuels… Remote Control Interconnections …la connectivité accroit la vulnérabilité
  • 5. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense D’oùviennentles attaques? Source: Verizon 2012 Data Breach Investigations Report En résumé: 1.Attaquesde l’extérieur 2.Pratiquedu hacking = exploitation des faillesdu logiciel Source: Verizon 2012 Data Breach Investigations Report
  • 6. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense La plupart des vulnérabilités logicielles sont répertoriées SQL injections buffer overflows crashes + de 200 règles + de 800 règles
  • 7. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Exemple de problème connu
  • 8. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Exemple de problème connu
  • 9. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Méthodesde vérification/prévention •Activitécomplexeà automatiser •Couverturenon déterministe Penetration Testing •Faibleproductivité, limitesen volume de code •Couverturenon déterministe Manual Code Review •Efficacesila menace (signature) estconnue •Solution de contournementtemporaireseulement Application Firewalls •Couverturenon déterministe Dynamic Application Security Testing
  • 10. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense code analysis L’analyse statique améliore les revues de code •Rapide •Exhaustif •Automatisable •Large spectre de vérifications: •Crashes •Corruption mémoire •Débordement de tableaux •SQL injection •DDoS
  • 11. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Technologies de pointe en analyse statique Pour avoirle meilleurcompromisvitesse/ précision •InterproceduralAnalysis •Model Checking •SMT solving •Abstract Data Tracking Tousles outilsontles mêmesprétentionssurle papier…
  • 12. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense NIST/DHSStudy Benchmark indépendantorganisépar le gouvernementUS Généralités: •Campagned’évaluationannuelle •Sélectionde 5 à 10 outilscommerciauxouacadémiques •Publication des résultats-> http://samate.nist.gov/ Base de test: •Projetsopen source (Chromium, Wireshark, Dovecot, …) •Suite de tests spécifiques(+ de 60.0000 casde test)
  • 13. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Synthèse du benchmark tool A tool B tool C tool D tool E
  • 14. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Assez peu de recouvrement Chaqueoutila sesproprespoints forts…
  • 15. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Working with security and defense agencies. Moteurd’analyseC/C++ moderne •Abstract data tracking •model checking •SMT solving •Inter-procedural analysis …Et complet •Erreursd’exécution •RèglesMISRA •RèglesCERT, CWE
  • 16. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Conclusion Les systèmesembarquésaffrontentles mêmesmenaces queles systèmesd’informationclassiques. Maisavec un impact potentiellementplus grand Pas de solution miracle pour les protéger: •Conception orientéesécurité •Revues de code •Tests L’analysestatiquede code estéconomique, car automatisable, et elleprémunitcontreun grand nombrede faillesconnues.
  • 17. 22èmeédition -Conférences 2014 19 et 20 mars 2014 VIPARIS –CNIT –Paris La Défense Crédits/ Références Dr Ralf Huuck Red Lizard Software / NICTA https://www.securecoding.cert.org http://cwe.mitre.org/ http://redlizards.com jdalderete@antycip.com Démonstration GOANNA: Stand Antycip N°F19