Analyse de sécurité de logiciels système par typage statique / Security analysis of system code using static typing

Millon, Etienne

10 July 2014

Les noyaux de systèmes d'exploitation manipulent des données fournies par les programmes utilisateur via les appels système. Si elles sont manipulées sans prendre une attention particulière, une faille de sécurité connue sous le nom de Confused Deputy Problem peut amener à des fuites de données confidentielles ou l'élévation de privilèges d'un attaquant. Le but de cette thèse est d'utiliser des techniques de typage statique afin de détecter les manipulations dangereuses de pointeurs contrôlés par l'espace utilisateur. La plupart des systèmes d'exploitation sont écrits dans le langage C. On commence par en isoler un sous-langage sûr nommé Safespeak. Sa sémantique opérationnelle et un premier système de types sont décrits, et les propriétés classiques de sûreté du typage sont établies. La manipulation des états mémoire est formalisée sous la forme de lentilles bidirectionnelles, qui permettent d'encoder les mises à jour partielles des états et variables. Un première analyse sur ce langage est décrite, permettant de distinguer les entiers utilisés comme bitmasks, qui sont une source de bugs dans les programmes C. / Operating system kernels need to manipulate data that comes from user programs through system calls. If it is done in an incautious manner, a security vulnerability known as the Confused Deputy Problem can lead to information disclosure or privilege escalation. The goal of this thesis is to use static typing to detect the dangerous uses of pointers that are controlled by userspace. Most operating systems are written in the C language. We start by isolating Safespeak, a safe subset of it. Its operational semantics as well as a type system are described, and the classic properties of type safety are established. Memory states are manipulated using bidirectional lenses, which can encode partial updates to states and variables. A first analysis is described, that identifies integers used as bitmasks, which are a common source of bugs in C programs. Then, we add to Safespeak the notion of pointers coming from userspace. This breaks type safety, but it is possible to get it back by assigning a different type to the pointers that are controlled by userspace. This distinction forces their dereferencing to be done in a controlled fashion. This technique makes it possible to detect two bugs in the Linux kernel: the first one is in a video driver for an AMD video card, and the second one in the ptrace system call for the Blackfin architecture.

Sécurité

Typage

Isolation

Linux

Pointeurs utilisateur

Mémoire

Typing

Security

004

Analyse automatique de propriétés d’équivalence pour les protocoles cryptographiques / Automated analysis of equivalence properties for cryptographic protocols

Chretien, Rémy

11 January 2016

À mesure que le nombre d’objets capables de communiquer croît, le besoin de sécuriser leurs interactions également. La conception des protocoles cryptographiques nécessaires pour cela est une tâche notoirement complexe et fréquemment sujette aux erreurs humaines. La vérification formelle de protocoles entend offrir des méthodes automatiques et exactes pour s’assurer de leur sécurité. Nous nous intéressons en particulier aux méthodes de vérification automatique des propriétés d’équivalence pour de tels protocoles dans le modèle symbolique et pour un nombre non borné de sessions. Les propriétés d’équivalences ont naturellement employées pour s’assurer, par exemple, de l’anonymat du vote électronique ou de la non-traçabilité des passeports électroniques. Parce que la vérification de propriétés d’équivalence est un problème complexe, nous proposons dans un premier temps deux méthodes pour en simplifier la vérification : tout d’abord une méthode pour supprimer l’utilisation des nonces dans un protocole tout en préservant la correction de la vérification automatique; puis nous démontrons un résultat de typage qui permet de restreindre l’espace de recherche d’attaques sans pour autant affecter le pouvoir de l’attaquant. Dans un second temps nous exposons trois classes de protocoles pour lesquelles la vérification de l’équivalence dans le modèle symbolique est décidable. Ces classes bénéficient des méthodes de simplification présentées plus tôt et permettent d’étudier automatiquement des protocoles taggués, avec ou sans nonces, ou encore des protocoles ping-pong. / As the number of devices able to communicate grows, so does the need to secure their interactions. The design of cryptographic protocols is a difficult task and prone to human errors. Formal verification of such protocols offers a way to automatically and exactly prove their security. In particular, we focus on automated verification methods to prove the equivalence of cryptographic protocols for a un-bounded number of sessions. This kind of property naturally arises when dealing with the anonymity of electronic votingor the untracability of electronic passports. Because the verification of equivalence properties is a complex issue, we first propose two methods to simplify it: first we design a transformation on protocols to delete any nonce while maintaining the soundness of equivalence checking; then we prove a typing result which decreases the search space for attacks without affecting the power of the attacker. Finally, we describe three classes of protocols for which equivalence is decidable in the symbolic model. These classes benefit from the simplification results stated earlier and enable us to automatically analyze tagged protocols with or without nonces, as well as ping-pong protocols.

Sécurité

Vérification

Protocoles

Équivalence

Décidabilité

Security

Verification

Protocols

Equivalence

Decidability

Renforcement formel et automatique de politiques de sécurité dans des applications Android par réécriture

Ziadia, Marwa

29 September 2022

Autant les applications Android ont réussi à positionner Android parmi les systèmes d'exploitation les plus utilisés, autant elles ont facilité aux créateurs de maliciels de s'introduire et de compromettre ses appareils. Une longue liste de menaces causées par les applications téléchargées vise l'intégrité du système et la vie privée de ses utilisateurs. Malgré l'évolution incessante du système Android pour améliorer son mécanisme de sécurité, le niveau de sophistication des logiciels malveillants a augmenté et s'adapte continuellement avec les nouvelles mesures. L'une des principales faiblesses menaçant la sécurité de ce système est le manque abyssal d'outils et d'environnements permettant la spécification et la vérification formelle des comportements des applications avant que les dommages ne soient causés. À cet égard, les méthodes formelles semblent être le moyen le plus naturel et le plus sûr pour une spécification et une vérification rigoureuses et non ambiguës de telles applications. Notre objectif principal est de développer un cadre formel pour le renforcement de politiques de sécurité dans les applications Android. L'idée est d'établir une synergie entre le paradigme orienté aspect et les méthodes formelles. L'approche consiste à réécrire le programme de l'application en ajoutant des tests de sécurité à certains points soigneusement sélectionnés pour garantir le respect de la politique de sécurité. La version réécrite du programme préserve tous les bons comportements de la version originale qui sont conformes à la politique de sécurité et agit contre les mauvais. / As much as they have positioned Android among the most widely used operating systems, Android applications have helped malware creators to break in and infect its devices. A long list of threats caused by downloaded applications targets the integrity of the system and the privacy of its users. While the Android system is constantly evolving to improve its security mechanism, the malware's sophistication level is skyrocketing and continuously adapting with the new measures. One of the main weaknesses threatening smartphone security is the abysmal lack of tools and environments that allow formal specification and verification of application behaviors before damage is done. In this regard, formal methods seem to be the most natural and secure way for rigorous and unambiguous specification and verification of such applications. Our ultimate goal is to formally enforce security policies on Android applications. The main idea is to establish a synergy between the aspect-oriented paradigm and formal methods such as the program rewriting technique. The approach consists of rewriting the application program by adding security tests at certain carefully selected points to ensure that the security policy is respected. The rewritten version of the program preserves all the good behaviors of the original one that comply with the security policy and acts against the bad ones.

Systèmes d'exploitation (Ordinateurs)

Téléphones intelligents.

Sécurité informatique -- Normes.

Modélisaton et sécurité des réseaux

Cormier, Alexandre

13 April 2018

L'avènement d'Internet révolutionne l'accès à l'information, mais contribue également à l'essor de nouveaux services, notamment le commerce électronique, à l'allègement de la bureaucratie et à l'arrivée d'une multitude de e-services. Or, le développement de cette technologie de l'information s'est accompagné d'une panoplie de problématiques. Parmi celles-ci, les plus inquiétantes ont trait à la sécurité puisqu'elles mettent en péril le bon fonctionnement de ces services. Le présent mémoire approfondit ces problématiques de sécurité selon une approche formelle : les algèbres de processus. Dans un premier temps, le fruit de la recherche sur les failles de sécurité réseau de niveau deux et trois de la couche TCP/IP et d'une étude comparative de l'expressivité des principales algèbres de processus est présenté. Dans un second temps, les caractéristiques souhaitées d'une algèbre de modélisation de réseau sont mises en exergue et sont intégrées dans la syntaxe et la sémantique d'une nouvelle algèbre. Finalement, une nouvelle algèbre de processus pour la modélisation de réseau, Netcal, ainsi que les principes d'un système de détection de failles d'architecture et de configuration de réseau sont explicités.

QA 76.05 UL 2007

Parallélisme (Informatique)

Détection des variations d'attaques à l'aide d'une logique temporelle

Lespérance, Pierre-Luc

12 April 2018

La principale contribution de ce travail est de proposer une nouvelle logique, inspirée de la logique temporelle linéaire, qui permet d'améliorer les techniques standard de détection d'intrusions utilisant l'approche par scénarios, avec la possibilité de détecter des variantes d'attaques connues. La logique suggées pourrait trouver une trace de paquets qui correspondent, même partiellement avec une distance calculée, avec la formule qui décrit l'attaque. La deuxième partie consistera à décrire son implémentation et de montrer la contribution pour augmenter la performance et l'expressivité des règles des systèmes de détection d'intrusions et plus précisément, du système Snort.

QA 76.05 UL 2006

Logiciels malveillants

Combinaison d'approche statique et dynamique pour l'application de politiques de sécurité

Godonou, Théophane Gloria

20 April 2018

Ce mémoire présente une approche d'application de politiques de sécurité qui utilise une analyse de types basée sur un système de types multi-valeurs. Cette analyse est suivie d'une instrumentation lorsque nécessaire. Le langage cible est un langage impératif. Notre approche vise à réduire les faux-positifs générés par une analyse statique, et à réduire la surcharge d'exécution en n'instrumentant que lorsque nécessaire. Les faux-positifs surviennent dans l'analyse de systèmes informatiques lorsqu'une information est manquante durant la compilation, par exemple le nom d'un fichier, et par conséquent, son niveau de sécurité. L'idée principale de notre approche est de distinguer les réponses négatives des réponses incertaines. Au lieu de rejeter les commandes potentiellement non sécuritaires, elles sont identifiées et étiquetées pour la seconde phase de l'analyse. Les réponses négatives et positives sont traitées comme cela se fait d'habitude. Ce travail est une approche hybride d'application de politique de sécurité : les points potentiellement sécuritaires du programme détectés par notre analyse par typage sont instrumentés par la suite avec des tests dynamiques. Le système de typage sur lequel se base le nôtre a été présenté par Desharnais et al. [12]. Notre approche a été acceptée pour publication [7]. Dans ce travail nous présentons les modifications apportées au précédent travail et la phase d'instrumentation qui la complète. La nouveauté de notre approche est de rajouter un niveau de sécurité aux trois du travail précédent. Nous traitons les canaux et les variables de façon spéciale. Les programmes interagissent par le biais de canaux de communication. Des niveaux de confidentialité sont associés aux canaux plutôt qu'aux variables dont le niveau de sécurité est fonction de l'information qu'elles stockent. Notre analyse est sensible au flot. / In this Master thesis, we present an approach to enforce information flow policies using a multi-valued type-based analysis followed by an instrumentation when needed. The target is a core imperative language. Our approach aims at reducing false positives generated by static analysis, and at reducing execution overhead by instrumenting only when needed. False positives arise in the analysis of real computing systems when some information is missing at compile time, for example the name of a file, and consequently, its security level. The key idea of our approach is to distinguish between negative and may responses. Instead of rejecting the possibly faulty commands, they are identified and annotated for the second step of the analysis; the positive and negative responses are treated as is usually done. This work is a hybrid security enforcement mechanism: the maybe-secure points of the program detected by our type based analysis are instrumented with dynamic tests. The basic type based analysis has been reported by Desharnais et al. [12], this work deals with the modification of the type system and the instrumentation step. It has been accepted for publication [7]. The novelty of our approach is the handling of four security types, but we also treat variables and channels in a special way. Programs interact via communication channels. Secrecy levels are associated to channels rather than to variables whose security levels change according to the information they store. Thus the analysis is flow-sensitive.

QA 76.05 UL 2014

Analyse de systèmes -- Informatique

Sécurité informatique

Logiciels

Amélioration de la sécurité et de la fiabilité des systèmes de communication sans fil

Amirzadeh, Ahmadreza

24 April 2018

Dans ce mémoire, de nouvelles approches ont été introduites pour concevoir les systèmes de communication fiables, Section 1, et sécurisées, Section 2, où les codes LDPC ont été choisis comme schéma de codage principal. Ce mémoire comprend deux sections : Section 1 : Les codes LDPC réguliers et irréguliers sont définis et différents décodeurs basés sur l’échange de message de décisions fermes et souples sont introduits. Par la suite, quelques définitions, comme le seuil des codes LDPC utilisant l’évolution de la densité de probabilité (ou la propagation de croyance), l’écart multiplicatif et les distributions de degrés de noeuds de parité et de noeuds de variable, sont énoncées. Par après, ces concepts préliminaires sont utilisés pour concevoir des ensembles de code LDPC irréguliers approchant la capacité du canal à l’aide de programmation linéaire et d’un algorithme génétique. Section 2 : Une méthode est introduite pour l’amélioration du secret dans ce genre de système. Cette méthode fonctionne sur la base de demande de retransmission de paquets d’information. Selon cette approche, lorsque le récepteur ne peut pas converger vers le bon message, une demande de retransmission est envoyée. Au lieu d’envoyer le paquet entier dans le cas d’une défaillance à la sortie du décodeur du destinataire, la retransmission des sous-paquets est explorée. Le système proposé dans cette phase est appelé protocole HARQ-Granulaire Adaptatif (AG-HARQ). Il essaie de réduire au minimum le taux requis pour un décodage réussi par les parties légitimes tout en augmentant la sécurité en minimisant les fuites d’information vers un espion éventuel. En outre, pour améliorer encore le niveau de sécurité dans la méthode AG-HARQ proposée, le schéma de contamination d’erreur intra-trame (IntraEC) et le schéma de contamination d’erreur inter-trame (InterEC) sont utilisés en conjonction avec cette méthode. Cette combinaison permet un haut niveau de sécurité dans le système de communication sans fil. / In this memoir, new approaches have been introduced for designing reliable, Section 1, and secure, Section 2, communication systems where the LDPC codes have been chosen as the principal coding scheme. This memoir comprises two sections: Section 1: Regular and irregular LDPC codes are defined and different message passing decoders based on hard and soft decisions are introduced. Afterward, some definitions like the threshold of LDPC codes using Density Evolution (or Belief Propagation), the Multiplicative Gap, and the check node and variable node degree distributions are explained in detail. Later, these preliminary concepts are used to design the channel capacity approaching Irregular LDPC codes combining Genetic Algorithm and Linear Programming. Section 2: A new scheme is introduced for secrecy enhancement for these systems. This method is based on feedback retransmission requests. With this approach, when the intended recipient cannot converge to the right message, a retransmission request is sent back to the transmitter. The retransmission of the sub-packets, instead of sending the whole packet in the case of failure at the intended recipient’s decoder output, is explored in detail. Our proposed scheme is called Adaptive Granular Hybrid Automatic Repeat reQuest (AG-HARQ) protocol, which tries to minimize the required rate for successful decoding of the legitimate parties while amplifying the privacy by minimizing the information leakage to a wiretapper. In addition, to further improve the security level of the proposed AG-HARQ method, Intra-frame error contamination (IntraEC) and Inter-frame error contamination (InterEC) schemes are used in conjunction with this method. This combination can provide a high level of security in wireless communication systems.

TK 7.5 UL 2017

Transmission sans fil -- Fiabilité

Sécurité informatique

Memory-Constrained Security Enforcement

Talhi, Chamseddine

12 April 2018

Avec l'extension des cellulaires, des réseaux sans fil et des périphériques mobiles, Java est devenu incontestablement l'environnement d'exécution le plus populaire. Cela est dû à ses aspects de sécurité, portabilité, mobilité et réseaux. Dans ce contexte, la plateforme de choix est Java ME-CLDC. Aussi, vu le nombre grandissant d'applications Java destinées aux périphériques mobiles, la sécurité est devenue un enjeu crucial à considérer d'une manière primordiale. Sécuriser ce type d'applications devient plus qu'impératif, notamment lorsque celles-ci manipulent des données confidentielles telles que les informations relatives aux transactions électroniques. Plus encore, les périph ériques supportant Java se retrouvent souvent interconnectées, ce qui signifie que les applications peuvent ainsi créer des connexions réseaux et faire circuler des données critiques sur les canaux de communications. Cependant, les efforts considérables déployés afin de sécuriser Java ME-CLDC se heurtent à des contraintes de limitations strictes de l'espace mémoire disponible, au sein des périphériques en question. Dans cette optique, cette thèse étudie le problème du maintien de la sécurité sous contraintes mémoire, et cela en analysant la sécurité de la plateforme Java ME-CLDC. Plus précisément, les objectifs majeurs de notre sujet de recherche sont (1) l'évaluation et l'amélioration de la sécurité de Java ME-CLDC et (2) la modélisation du monitoring d'exécution (EM) en y introduisant des contraintes mémoire. à vrai dire, EM constitue une classe importante et omniprésente parmi tous les mécanismes de sécurité utilisés dans les plateformes Java. Les principaux résultats auxquels a abouti notre investigation sont les suivants : - Une analyse de la sécurité de Java ME-CLDC. Les deux contributions principales qu'a engendré cette analyse sont l'analyse de vulnérabilité et l'analyse des risques de cette plateforme. L'analyse de vulnérabilité a révélé la présence de certaines faiblesses dans la plateforme, elle a montré également la manière permettant d'améliorer son modèle de sécurité. Quant à l'analyse des risques, elle a fourni une estimation de la gravité des risques associés aux vulnérabilités décelées. - Une modélisation du monitoring d'exécution sous contraintes mémoire. Cette modélisation couvre aussi bien les moniteurs conventionnels que des moniteurs plus puissants. Les contributions principales qui découlent de notre modélisation sont les suivantes: Premièrement, nous avons défini une nouvelle classe d'automates, dite Bounded History Automata (BHA) ou automates à historique borné, classe d'automate qui permet de spécifier les mécanismes EM opérant sous contraintes mémoire. Deuxièmement, nous avons identifié une nouvelle taxonomie orientée mémoire des propriétés assurées par EM. Troisièmement, nous avons étudié les propriétés localement testables qui peuvent être assurées par des EMs opérant sous contraintes mémoire. Cela est fait en deux étapes: on commence par identi- fier les propriétés assurées par EMs qui sont de nature locale, ensuite on vérifie si ces dernières peuvent être spécifiées par des BHAs. / With the proliferation of mobile, wireless and internet-enabled devices (e.g., PDAs, cell phones, pagers, etc.), Java is emerging as a standard execution environment due to its security, portability, mobility and network support features. The platform of choice in this setting is Java ME-CLDC. With the large number of applications available for Javaenabled network-connected devices, security is of paramount importance. Applications can handle user-sensitive data such as phonebook data or bank account information. Moreover, Java-enabled devices support networking, which means that applications can also create network connections and send or receive data. However, the considerable efforts of securing Java ME-CLDC are constrained by strict memory limitations of the target devices. This thesis aims at investigating memory-constrained security by analyzing the security of Java ME-CLDC and characterizing enforceable security policies. More precisely, the main objectives of our research are (1) evaluating and improving the security of Java ME-CLDC and (2) characterizing memory-constrained execution monitoring; an important class of security mechanisms. The main results of our research are the following: - A security analysis of Java ME-CLDC. The two main contributions of this analysis are a vulnerability analysis and a risk analysis of the platform. The vulnerability analysis revealed the presence of vulnerabilities in the platform and showed how to improve the underlying security model. The risk analysis provided a seriousness estimation of the risks associated with the uncovered vulnerabilities. - A characterization of memory-constrained execution monitoring. This characterization covers conventional monitors as well as more powerful monitors. The contribution of this characterization is mainly threefold. First, we deffined a new automata class, called Bounded History Automata (BHA), to specify memoryconstrained EM enforcement. Second, we identiffied a new memory-directed taxonomy of EM-enforceable properties. Third, we investigated the enforcement of local properties using memory-constrained EM. This was performed by identifying BHA-enforceable local properties and explaining how to check whether an EM-enforceable policy is local or not.

QA 76.05 UL 2007

Analyse et expérimentations des méthodes de création de deepfake dans le domaine géospatial et conception d'une méthode de détection adaptée

Meo, Valentin

26 March 2024

Titre de l'écran-titre (visionné le 13 novembre 2023) / Du fait de leur danger, les deepfakes (ou hypertrucage en français) sont devenus un sujet de société. Cependant, aucune étude conséquente n'a été réalisée sur les deepfakes appliqués au domaine géospatial : l'hypertrucage géospatial. Ce travail commence par faire un état de l'art des technologies génératives permettant la modification partielle d'images, aussi appelées techniques d'« inpainting » en anglais. Grâce à celles-ci, il nous a été possible de concevoir des deepfakes d'imagerie aérienne d'une grande qualité. Afin de tester leur robustesse, des techniques de détection de falsification classiques ont été testées. Ces méthodes se sont révélées utiles mais pas suffisantes. Une méthode originale de détection spécialement adaptée aux particularités des images géospatiales a donc finalement été proposée. Les résultats très satisfaisants obtenus avec cette méthode, permettent de montrer que le contrôle de l'information n'est pas la seule solution au problème de la désinformation. Ce travail pourrait ainsi être utilisé par un public large allant des agences de renseignement, journalistes ou citoyens concernés soucieux de détecter les falsifications provenant de différentes entités.

Hypertrucage.

Données géospatiales -- Informatique.

Système d'instrumentation multimodal de mesures d'activités physiologiques pour la prévention des blessures au travail

Gauthier, Nicolas

13 December 2023

Présentement, suite à une blessure musculosqueletique, le patient doit retourner au centre de traitement pour faire des simulations de tâches dans lesquelles les intervenants font de l'observation visuelle ou prennent des mesures avec des systèmes encombrants. Ces tâches sont souvent non représentatives de la réalité et l'évaluation est subjective. L'analyse de l'activité musculaire et de la position du corps de façon précise est essentielle pour la prévention, le diagnostic et la réadaptation des blessures au travail. La solution proposée est un vêtement intelligent constitué d'une nouvelle fibre-électrode flexible intégrée à même le tissu pour un confort optimal. Les travaux abordés seront le développement d'un nouveau circuit d'instrumentation médical. Le système mesura l'activité musculaire par électromyographie de surface et la caractérisation du mouvement par une nouvelle fibre-électrode flexible. Cette nouvelle fibre-électrode a le potentiel de servir de capteur pour les deux mesures simultanément. Des circuits d'instrumentation seront explorés pour répondre à cet objectif. Ils seront basé sur un pont de Wheatstone et une méthode d'injection de courant. Les données d'électromyographie sont analysées pour monitorer la chute de la fréquence médiane du signal qui est signe précurseur de la fatigue musculaire. La mesure de position du corps avec la fibre est utilisée pour observer des changements dans la mécanique du mouvement qui engendrent un risque de blessure. Un algorithme de traitement du signal a été développé pour rehausser le signal par l'intermédiaire de la soustraction spectral. La transformation dans le domaine spectral sert aussi à requérir les informations physiologiques désirées. / Currently, following a musculoskeletal injury, the patient must return to the treatment center to perform tasks simulations where a professional makes visual observation or take measurements with bulky systems. These tasks are often not representative of reality and the assessment is subjective. Analyzing muscle activity and body position accurately is essential for the prevention, diagnosis and rehabilitation of workplace injuries. The proposed solution is a smart garment made up of a new flexible fiber-electrode integrated into the fabric for an optimal comfort. The work will be to develop a new medical instrumentation circuit. The system will measure muscle activity by surface electromyography and characterization of movement by this new flexible fiber electrode. The fiber electrode has the potential to act as a sensor for both measurements simultaneously. Some instrumentation circuits will be explored to meet this objective. They will be based on a Wheatstone bridge and a current injection method. Electromyography data is analyzed to follow the drop in the median frequency of the signal which is a precursor sign of muscle fatigue. Measuring body position with the fiber is used to observe changes in the mechanics of movement that create a risk of injury. A signal processing algorithm has been developed to enhance the signal through spectral subtraction. The transformation in the spectral domain also serves to compute the request desired physiological information.

Électromyographie de surface.

Capteurs.

Travailleurs -- Réadaptation.

Travail -- Accidents.

Sécurité du travail.