thesis

Sensibilité de logiciels au détournement de flot de contrôle

Defense date:

Jan. 11, 2021

Edit

Disciplines:

Directors:

Abstract EN:

The security of a software can be taken into account right from the design stage. This approach, called security by design, allows to influence as early as possible the design to influence the architecture of a software. The protections against control flow hijacks, such as return oriented programming, are not designed to change the way of designing the software. They often aim to protect a software either during its compilation or by working directly on the binary produced. In this thesis, we propose metrics allowing a developer to evaluate the sensitivity of a software program to attacks by control flow hijacks. To ease development, metrics defined allow to identify the parameters used in the production of binaries of a software that result in increased sensitivity to these attacks. The use of of these metrics are illustrated in this thesis by studying the influence of compilers and their options, languages and hardware architectures

Abstract FR:

La sécurité d'un logiciel peut être prise en compte dès la conception. Cette approche, appelée security by design, permet d'influer au plus tôt de la conception pour influer sur l'architecture d'un logiciel. Les protections contre les attaques par détournement de flot d'exécution, comme le return oriented programming, ne sont pas pensées pour changer la manière de concevoir un logiciel, mais permettent de protéger un logiciel soit lors de sa compilation soit en travaillant directement sur le binaire produit. Dans cette thèse, nous proposons des métriques permettant à un développeur d'évaluer la sensibilité d'un logiciel face aux attaques par détournement de flot d'exécution. Pour aider le développement, les métriques définies permettent d'identifier les paramètres de production de binaires d'un logiciel qui entrainent une sensibilité accrue à ces attaques. L'utilisation de ces métriques sont illustrées dans cette thèse en étudiant l'influence de compilateurs et de leurs options, de langages et architectures matérielles.