Victime d’un incident de sécurité ?

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

09/01/2025

Blog technique

Recherche de vulnérabilités : quels intérêts pour un produit logiciel ?

Alexandre Deloup, Directeur du SEAL

Les logiciels et plus généralement les produits numériques font aujourd’hui partie intégrante des vies et activités de chacun. Le risque de voir des vulnérabilités être découvertes et exploitées sur les composants de ces logiciels a augmenté et les conséquences sont multiples. En plus d’abaisser la sécurité de ces produits et la protection qu’ils peuvent apporter aux utilisateurs ou à leurs données, la publication ou l’exploitation de telles vulnérabilités dans la communauté ou auprès du grand public peut entraîner des répercussions irrémédiables sur l’image de marque d’un logiciel ou de son éditeur.

Contrairement à une évaluation de sécurité réalisée dans un objectif de certification (CSPN ou Critères Communs), la recherche de vulnérabilités réalisée au travers d’un audit de sécurité produit va chercher à identifier des failles dans des fonctions ou sur des composants précis d’une solution, avec l’objectif de permettre à l’éditeur de les corriger avant leur découverte par un attaquant.

En effet, la certification vise à s’assurer que l’ensemble des fonctions de sécurité du produit sont robustes, ce qui peut inclure des fonctionnalités moins ciblées par des attaquants, comme la journalisation. De plus, certaines fonctions étudiées peuvent avoir une forte importance pour un profil malveillant (comme l’authentification ou le contrôle d’accès), cependant le temps contraint et le profil d’attaquant limité imposés par le schéma d’évaluation CSPN ne permettent pas toujours de s’y attarder aussi pleinement que souhaité. Enfin, le schéma CSPN ne permet pas d’évaluer l’efficacité des fonctions métiers implémentées, comme les mécanismes de filtrage ou d’anonymisation intégrés à la solution.

De manière similaire, les évaluations Critères Communs intègrent une grosse analyse documentaire liée au cycle de vie et de développement du produit, qui peut avoir un intérêt limité pour des éditeurs de logiciel qui ne visent pas un marché régalien ou réglementé.

Dans ces conditions, il peut être intéressant de réaliser des audits de sécurité avancés et ciblés  pour identifier le maximum de vulnérabilités et permettre leur correction.

Des audits avancés

Contrairement à une évaluation CSPN pour laquelle, d’une part, le niveau d’attaquant est limité et, d’autre part, la surface d’attaque peut être relativement importante, une prestation d’audit privé ouvre le champ des possibles et permet d’être plus méticuleux dans la démarche pour s’assurer de la robustesse du produit, notamment dans le cas où on axerait cet audit sur une fonctionnalité ou un composant spécifique.

En réalisant un audit de ce type, l’analyste est en mesure d’y passer plus de temps et peut donc se concentrer sur un aspect très précis du produit. Avec un niveau d’attaquant non limité, les vulnérabilités qui sont identifiées peuvent donc être plus avancées, plus abouties, ou encore plus nombreuses.

Sans cibler un attaquant particulièrement plus évolué, ces audits permettent d’aller plus loin dans la démarche en sortant d’un contexte cadré et normatif, comme peuvent l’être les certifications de sécurité, et de se rapprocher des conditions d’usages précises d’un client ou d’un mode de déploiement.

Les différences avec un pentest

Contrairement à un test d’intrusion relativement classique, ce type d’audit ne vise pas à s’assurer uniquement de la robustesse d’un service Web ni à valider la sécurité d’un système d’information. Dans une démarche complémentaire à ces pentests, il est ici question d’évaluer le niveau de sécurité intrinsèque d’un produit ou d’une solution informatique, qu’ils soient logiciels ou matériels.

Après un temps de concertation avec l’éditeur, qui permettra de cibler avec précision le périmètre de la prestation, l’analyste s’attachera à lancer ses travaux selon un plan de tests défini à l’avance, par exemple :

  • validation de la sécurité en profondeur du produit,
  • évaluation de la robustesse d’un mécanisme de contrôle d’accès,
  • recherche de vulnérabilités ciblée sur une élévation de privilèges ou une exécution de code à distance,

Ces prestations sont entièrement personnalisées et adaptées pour répondre aux besoins précis du commanditaire.

L’objectif final de ce type d’analyse peut donc être multiple :

  • s’assurer qu’un mécanisme de sécurité mis en œuvre est à l’état de l’art ou qu’il respecte les standards et exigences des autorités compétentes ;
  • valider qu’une fonctionnalité implémentée est robuste et qu’elle ne présente pas de faille ou qu’elle ne peut être contournée ;
  • identifier si des vulnérabilités peuvent être décelées sur le produit pour être en mesure de mettre en place des moyens de protection ou de correction suffisants.

Par exemple, ces audits pourraient permettre de confirmer la bonne implémentation d’un algorithme cryptographique, de valider la robustesse du chiffrement de fichiers mis en œuvre sur un système de stockage de fichiers ou encore d’évaluer, en profondeur, la robustesse d’un protocole d’authentification propriétaire.

Une validation de l’efficacité d’une fonctionnalité métier

Enfin, la dernière différence importante avec les prestations classiques de certification ou de pentest est la capacité, dans un tel cadre, d’évaluer l’efficacité d’une fonction métier.

Là où l’ANSSI n’est pas en mesure de certifier des fonctionnalités métiers telles que des mécanismes de détection d’intrusion, des méthodes d’anonymisation ou des moteurs basés sur l’intelligence artificielle ou la blockhain, un audit avancé offrirait une garantie supplémentaire pour ne pas omettre des vulnérabilités dans des fonctionnalités non analysées dans le processus de certification.

En se basant sur l’état de l’art des attaques disponibles et publiées par la communauté, des experts sont en mesure de dérouler un plan de tests qui fixe le cadre pour valider l’efficacité ou la robustesse de ces fonctions. Sans viser un engagement et un résultat sans faille, le cadre de ces analyses et le rapport final sont très clairs : dans le contexte étudié, le produit résiste, ou non, à la batterie de tests qui auront été réalisés.

Un argument de valeur non négligeable

Ce type de prestation a donc des intérêts non négligeables pour la sécurité du produit.

Son amélioration et l’ajout de fonctionnalités et mécanismes robustes permettent de renforcer la solution et ainsi limiter la portée et le risque de découverte de vulnérabilités. Le premier avantage est donc, évidemment, une meilleure protection des données sensibles du produit : données clients, informations personnelles ou médicales, bases de configuration internes sensibles, etc.

Cette baisse du risque de découverte de vulnérabilités s’accompagne d’un autre avantage non négligeable, relatif à l’image publique du produit et à sa réputation. Toute publication de vulnérabilité CVE, ou de bulletin d’alerte émis par le CERT-FR de l’ANSSI ou par une équipe de CTI (comme celle de l’équipe CWATCH d’Almond) s’accompagne d’un ternissement de la confiance que les clients ou utilisateurs d’une solution peuvent avoir. L’identification et la correction, en amont, de vulnérabilités permet d’abaisser ce risque.

Enfin, le troisième avantage particulièrement important de ce type de prestation réside dans le gage de sécurité qu’elle offre. Utiliser les services d’un prestataire expert en la matière aboutit à l’obtention d’un rapport d’analyse formel qui peut être utilisé pour faire-valoir, auprès de ses clients, de la démarche de sécurité dans laquelle l’éditeur est engagé. De plus, cela permet d’attester du niveau de robustesse ou d’efficacité de la fonction étudiée face à un niveau d’attaquant donné.

AMOSSYS, expert des schémas CSPN et Critères Communs, et prêt à accueillir les schémas EUCC et FitCEM dès leur entrée en application, dispose des équipes en mesure de vous accompagner à toutes les étapes de votre projet de certification au travers de son Laboratoire d’Évaluation et d’Analyse.

Pourquoi choisir AMOSSYS ?

  • Expertise reconnue : Une expérience solide dans l’évaluation et la certification de produits de sécurité.
  • Accompagnement sur mesure : Un soutien personnalisé tout au long du processus de certification.
  • Anticipation des évolutions : Une veille constante pour vous informer et vous conseiller sur les évolutions réglementaires.

Contactez-nous dès aujourd’hui pour discuter de vos besoins et découvrir comment AMOSSYS peut vous aider à naviguer avec succès dans ce nouveau paysage de la certification en cybersécurité.

Amossys s’engage à ce que la collecte et le traitement de vos données, effectués à partir du site https://www.amossys.fr/ soient conformes au règlement général sur la protection des données (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée, relative à la protection des données à caractère personnel. Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Amossys, afin de répondre aux demandes d’informations. Vous pouvez accéder aux données vous concernant, demander leur rectification ou leur effacement. Vous disposez également d'un droit d’opposition, et d’un droit à la limitation du traitement de vos données (cf. cnil.fr pour plus d’informations sur vos droits). Vous pouvez exercer vos droits en contactant le Référent Données à caractère personnel d'Amossys à l’adresse suivante : [email protected]. Vos données seront conservées au sein de l’Union européenne, conformément à la réglementation en vigueur.

Voir les derniers articles de notre Blog technique et les dernières actualités

20 décembre 2024
La sécurité informatique peut paraître, pour beaucoup, comme un centre de coût et de complexité : plan d’audits à mettre en […]
Read more
16 décembre 2024
Après avoir exploré les vulnérabilités inhérentes aux modèles de langage à grande échelle (LLM) dans notre série d'articles, il est […]
Read more
28 novembre 2024
L'exfiltration de modèles LLM (Model Theft in english) par des acteurs malveillants ou des groupes de cyberespionnage avancés est une […]
Read more
26 novembre 2024
La surconfiance (Overreliance en anglais) peut survenir lorsqu'un LLM produit des informations erronées et les présente de manière autoritaire [...]
Read more
25 novembre 2024
Avec une souche éprouvée, des outils bien choisis et des cibles stratégiques, 8Base se distingue comme une menace particulièrement redoutable. […]
Read more
13 novembre 2024
Un système basé sur les LLM (Large Language Models) est souvent doté d'un certain degré d'autonomie par son développeur, [...]
Read more
12 novembre 2024
Les plugins pour LLM sont des extensions qui, lorsqu'ils sont activés, sont automatiquement appelés par le modèle pendant les interactions […]
Read more
7 novembre 2024
Les LLM ont le potentiel de révéler des informations sensibles (Sensitive Information Disclosure en anglais), des algorithmes propriétaires ou d'autres […]
Read more
6 novembre 2024
Le machine learning étend les vulnérabilités aux modèles pré-entraînés et aux données d'entraînement fournis par des tiers, qui sont susceptibles […]
Read more
31 octobre 2024
Un déni de service du modèle (Model Denial of Service en anglais) se produit quand un attaquant interagit avec un […]
Read more
Amossys a rejoint
le groupe Almond.
Découvrir les autres
sociétés du groupe :
- Découvrir Almond
- Découvrir Board of Cyber
A propos d'Amossys
Nos prestations
Nos produits
Nos insights
Join the A-Team
Contactez-nous
Github Linkedin Youtube
RENNES_
PARIS_
NANTES_
STRASBOURG_
LYON_
GENÈVE_
MOVE
FORWARD
WE'LL
WATCH
YOUR
BACK
Politique de confidentialité
Mentions légales
© 2023 Amossys. Tous droits réservés.
Twitter Linkedin Youtube Github