Séminaire R3S présenté par Olivier Levillain, le 13/05/2020 à 11h par Webconf

Un séminaire sera donné par Olivier Levillain, nouveau membre intégré dans l’équipe R3S du laboratoire Samovar

Quand : le mercredi 13 mai 2020, à 11h00
Moyen : Webconf : https://webconf.imtbs-tsp.eu/frontend/mar-7hd-7hk

Titre : « Projet ANR GASP : vers une approche générique pour sécuriser les protocoles réseau »

Slides de la présentation et vidéo du séminaire

===
Résumé :
===
Dans notre monde toujours plus connecté, nous reposons fortement sur les protocoles réseau pour communiquer les uns avec les autres. Pour assurer la confidentialité et l’intégrité des données échangées, il est donc nécessaire d’évaluer et d’améliorer la sécurité de ces protocoles et de leur implémentation. Cette observation concerne évidemment les protocoles dits de sécurité tels que TLS ou SSH, mais il est également important de s’intéresser aux protocoles applicatifs complexes de plus haut niveau, comme HTTP/2, et aux protocoles de plus bas niveau comme DNS ou BGP.

Les failles de sécurité sont en effet omniprésentes dans nos protocoles réseau, que ce soit au niveau de la spécification ou à cause d’erreurs d’implémentation : spécifications incomplètes, problèmes de corruption mémoire, erreurs logiques, raccourcis dans les machines à état, attaques cryptographiques, etc.

Le projet GASP, financé par l’ANR dans le cadre de l’appel à projet générique 2019, propose un cadre générique pour décrire les protocoles et en dériver des outils automatiquement. Pour cela, nous nous intéresserons à la conception de langages pour décrire les messages, mais aussi les machines à états. Ainsi, nous pourrons dériver des implémentations de référence. Nous comptons aussi développer des scanners réseau des fuzzers pour tester les piles existantes.

L’impact recherché à court terme sera de mieux connaître les protocoles, leurs implémentations et leurs déploiements. À long terme, les langages produits pourront aider à produire de meilleures spécifications et accélérer le développement de piles logicielles.

====
Biographie :
====
Olivier Levillain est maître de conférences en sécurité des systèmes d’information à Télécom SudParis. Auparavant, il a été responsable du centre de formation à la SSI au sein de l’agence nationale de la sécurité des systèmes d’information (ANSSI). Il a également travaillé dans les laboratoires de la sous-direction expertise de l’ANSSI, sur des sujets variés allant des attaques sur les mécanismes bas-niveau des architectures matérielles aux infrastructures de gestion de clés. Plus récemment ses travaux ont porté sur les protocoles réseau sécurisés (et plus particulièrement SSL/TLS), les langages de programmation (études JavaSec et LaFoSec, présentation Mind Your Languages).