L’ANR met en place 5 nouvelles mesures de simplification

CE25 - Réseaux de communication multi-usages, infrastructures de hautes performances, sciences et technologies logicielles

Vers l'automatisation des analyses de vulnérabilités – TAVA

Résumé de soumission

L'Internet des Objets ouvre de nouvelles possibilités de cyber-attaques massives
à travers l'utilisation d'objets compromis. Les méthodes de développement
manuelles ne sont pas suffisantes pour faire face au danger croissant que ces
menaces représentent. Il est donc nécessaire de faire appel à des methodes
automatiques de détection de vulnérabilités, notamment dans le cadre de
processus de certification. Les techniques actuellement à l'état de l'art
(fuzzing, exécution symbolique) sont confrontées à trois principaux défis:
la détection de vulnérabilités complexes, l'évaluation de la criticité des
vulnérabilités détectées (prenant en compte les capacités de l'attaquant)
et le passage à l'échelle.

TAVA combine les techniques les plus avancées des méthode formelles, statiques
et symboliques, et de la sécurité pour détecter et analyser efficacement des
vulnérabilités complexes. Ce projet donnera lieu à trois principaux résultats:

- du point de vue scientifique : il établira un cadre d'analyse de programmes
résolument orienté vers la recherche de vulnérabilités -- contrairement aux
approches existantes dédiées à la recherche de bugs -- comprenant de nouveaux
résultats théoriques et algorithmiques et des outils capables de prendre en
compte à la fois des modèles d'attaquant spécifiques et des notions
d'exploitabilité ;

- du point de vue technologique : il développera AVABOX, un boîte à outils
pour l'évaluation et la certification de logiciels IoT, offrant des
fonctionnalités uniques en terme d'analyse de vulnérabilités et de modèles
d'attaquant. De plus, AVABOX étant construit sur la plateforme open-source
BINSEC, TAVA permettra de consolider fortement cette dernière, avec l'ambition
d'en faire une plateforme de référence pour l'analyse de code binaire;

- du point de vue de la valorisation : AMOSSYS bénéficiera pleinement du projet
pour améliorer sa ligne de produits et de services grace à AVABOX. En particulier
il évaluera l'intérêt de cette approche sur des études de cas représentatives
d'analyses de sécurité dans l'IoT et proposera des recommandations pour une
intégration productive des outils dans le processus de certification
(schémas de Critères Communs, CSPN, et futurs schémas européens).

Sébastien Bardin (CEA SACLAY)

L'auteur de ce résumé est le coordinateur du projet, qui est responsable du contenu de ce résumé. L'ANR décline par conséquent toute responsabilité quant à son contenu.

AMOSSYS AMOSSYS
LIST CEA SACLAY
VERIMAG - UGA VERIMAG

Aide de l'ANR 747 011 euros
Début et durée du projet scientifique : février 2021 - 42 Mois

Explorez notre base de projets financés

L’ANR met à disposition ses jeux de données sur les projets, cliquez ici pour en savoir plus.