Thèse soutenue

Nouvelles approches de la sécurité informatique reposant sur la vision offensive et bas-niveau des systèmes
FR  |  
EN
Accès à la thèse
Auteur / Autrice : Baptiste David
Direction : Eric Filiol
Type : Thèse de doctorat
Discipline(s) : Informatique (AM)
Date : Soutenance le 07/12/2021
Etablissement(s) : Paris, HESAM
Ecole(s) doctorale(s) : École doctorale Sciences des métiers de l'ingénieur
Partenaire(s) de recherche : Laboratoire : N&S Numérique et Société - Laboratoire Procédés et Ingénierie en Mécanique et Matériaux
établissement de préparation de la thèse : École nationale supérieure d'arts et métiers (1780-....)
Jury : Président / Présidente : Samia Bouzefrane
Examinateurs / Examinatrices : Eric Filiol, Mirna Džamonja, Antonella Santone, Johann Barbier, Maroun Chamoun, Bimal Kumar Roy
Rapporteurs / Rapporteuses : Mirna Džamonja, Antonella Santone

Mots clés

FR  |  
EN

Résumé

FR  |  
EN

La compréhension de la sécurité informatique passe nécessairement par une réelle maitrise des briques de technologies élémentaires qui constituent son socle et par une compréhension des dynamiques qui motivent l’émergence de nouvelles menaces.C’est dans cet objectif que les travaux de recherche de cette thèse ont été menés. Il nous tenait à cœur d’intégrer une vision duale, c’est-à-dire autant offensive que défensive, pour faire face aux menaces actuelles et à venir. Tant par une connaissance très technique que par la maitrise des dynamiques liées aux contraintes de l’attaquant, il a été ici possible de concevoir des outils à la fois offensifs et défensifs.Les présents travaux visent à améliorer la défense de plusieurs systèmes après une phase préalable de recherche des failles dans ces derniers. Ainsi nous avons travaillé sur plusieurs axes pour offrir une solide défense dans la profondeur. Dans un premier temps, nous avons amélioré la sécurité du compilateur MASM en découvrant une faille présente depuis plus de 20 ans, qui permettait jusqu’alors à un attaquant d’introduire silencieusement des backdoors lors de la compilation des programmes. Nous avons également dévoilé de nouvelles techniques d’évasion pour les malwares dans l’objectif de mieux anticiper ces dernières. Une de ces techniques permet de détecter n’importe quel type d’environnement d’analyse automatique utilisé de nos jours. Au meilleur de notre connaissance, aucune autre technique ne propose de telles capacités opérationnelles. Enfin, nous nous sommes penchés sur le fonctionnement des keyloggers, grâce à un travail inédit de documentation des mécanismes internes de Windows 10 par rétro-conception.Cette étude nous a permis d’élaborer une solution contre les keyloggers, qui est plus performante que l’ensemble de celles existant à ce jour. De la correction de vulnérabilités trouvées dans un compilateur à la conception de nouvelles techniques d’évasion, nous nous sommes assurés d’apporter des solutions innovantes pour améliorer la sécurité des systèmes à long terme. Cela par le biais d’outils que nous avons construit pour neutraliser les keyloggers, par la conception de méthodes de forensic basées sur l’analyse du service Superfetch, par la découverte de nouvelles techniques de détection de crawler-traps, par l’étude de système de chiffrementtotal basés sur l’UEFI et enfin par à la création d’algorithmes de classification de malware. Ces différentes recherches ont abouti sur de nombreux résultats, dont la parution de la CVE-2018-8232, l’édition d’articles scientifiques et de publication dans des conférences internationales académiques et de hacking telles que Defconou Black Hat US.En conclusion, nous avons cherché à privilégier des travaux qui visent à analyser, évaluer et améliorer la sécurité d’un projet à différents niveaux. C’est pourquoi beaucoup de domaines ont été abordés car la sécurité informatique est un domaine global et finalement multidisciplinaire, qui nécessite bien souvent des compétencestransverses. Ce qui fait que nos travaux œuvrent avant tout à sécuriser l’information traitée par un système automatisé, de sa collecte, de son traitement à son stockage tout en s’assurant qu’aucune menace ne puisse agir contre des programmes s’exécutent conformément à ce qui est attendu.