Résumé

Le premier cours a introduit la problématique de la sécurité du logiciel et montré en quoi elle va au-delà de la problématique de la sûreté de fonctionnement : le logiciel doit résister non seulement aux « bugs » et aux pannes accidentelles (sûreté), mais aussi aux attaques et à l’utilisation malveillante (sécurité). Nous avons ensuite étudié trois attaques récentes et représentatives de la diversité des failles de sécurité du logiciel : l’attaque Heartbleed sur les serveurs web utilisant la bibliothèque OpenSSL, à base d’accès hors bornes dans des tampons mémoire ; l’attaque Log4Shell sur la bibliothèque de journalisation Log4j, qui injecte du code arbitraire dans des données contrôlées par l’attaquant ; l’attaque sur le smart contract DAO de la cryptomonnaie Ethereum, exploitant la vulnérabilité de ce contrat vis-à-vis d’opérations ré-entrantes.

Sécurité du logiciel : introduction et études de cas

Résumé

Documents et médias

Intervenant(s)

Xavier Leroy

Événements

Sécurité du logiciel : introduction et études de cas

Flux d'information

Influence de la qualité des spécifications sur la sécurité logicielle

Isolation logicielle

Differential Privacy: From the Central Model to the Local Model and their Generalization

Tempus fugit : attaques par observation du temps

Verified Implementations for Real-World Cryptographic Protocols

Typage et sécurité

Attaques par injection de faute et protections logicielles

Compilation et sécurité

Obfuscation du logiciel : brouiller le code pour protéger les programmes

Calculer sur des données chiffrées ou privées

Transient Execution Attacks and Defenses

Voir aussi