Thèse en cours

Méthodologie générique d'analyse de possibilités d'exploit d'une vulnérabilité dans un logiciel.

FR  |  
EN
Auteur / Autrice : Jonathan Brossard
Direction : Véronique Legrand
Type : Projet de thèse
Discipline(s) : Sciences pour l'ingénieur spécialité Informatique
Date : Inscription en doctorat le 01/10/2021
Etablissement(s) : Paris, HESAM
Ecole(s) doctorale(s) : École doctorale Sciences des métiers de l'ingénieur
Partenaire(s) de recherche : Laboratoire : Cedric - Centre d'études et de recherche en informatique et communications
établissement de préparation de la thèse : Conservatoire national des arts et métiers (France)

Mots clés

FR  |  
EN

Résumé

FR  |  
EN

Durant la phase de test de logiciel en cours de développement, les développeurs ont recours, pour avérer des vulnérabilités, à des analyseurs de code statiques. Ces analyseurs exigent une expertise. Ils sont très souvent dédiés à un type de vulnérabilité et exigent en entrée le code source ce qui n'est pas toujours possible. En effet, cette exigence est parfois partiellement satisfaite (le code source fait appel, dans certaines situations, à des programmes binaires compilés dont le code source est indisponible pour des raisons de propriété industrielle). De plus, ces analyseurs génèrent une énorme quantité de résultats difficilement vérifiables manuellement. Ils produisent aussi un grand nombre de faux positifs; ce qui les rend inexploitables par les développeurs. Ceci oblige les éditeurs de logiciels ainsi que les industriels à mettre en place des processus chronophages tels que la « Sécurité Produit » ou l'approche par les risques préconisée par l'ISO/27005. En recherche, la littérature propose plusieurs méthodes d'analyse de possibilité d'exploit d'une vulnérabilité dans un logiciel. Les contributions de recherche nécessitent, pour la plupart, la disponibilité du code source et ne traite qu'un type de vulnérabilité à la fois.