L'équipe Recherche et Développement (R&D) de l'ESEC, actuellement composée de 5 ingénieurs chercheurs, travaille essentiellement sur la sécurité des systèmes : analyse de code (ex.: C, web), audits de produits (ex.: IPS, VPN), reverse engineering (ex. : analyse de codes malicieux et d'exploits). Elle intervient également en soutien pour des missions particulières (ex. : analyses et développements pendant des tests d'intrusion). Les actions de la R&D sont orientées dans 3 directions.

1. Anticiper les nouvelles formes d'attaques et les parades associées

L'informatique évolue rapidement, et les risques associés à ses progrès sont très rarement mesurés. Notre laboratoire travaille sur les risques émergents, tant sur des aspects techniques que des domaines connexes (par exemple le risque informationnel).
* Exemple : analyse d'un logiciel COTS : ces logiciels sur étagère sont vus comme des boîtes noires auxquelles on doit faire aveuglément confiance. Nous examinons sa sécurité sous plusieurs angles :

recherche de failles logicielles (dénis de service, exécution de code, etc.) ou de conception (mauvaise gestion de privilèges conduisant à des vulnérabilités) ; analyse de la cryptographie embarquée : de plus en plus souvent, les logiciels emploient de la cryptographie. Parfois, ils s'appuient sur des bibliothèques externes, parfois, tout est reprogrammé. Quelle que soit la solution retenue, implémenter ou utiliser de la cryptographie demande de respecter certaines contraintes fortes, sans quoi des attaques à la portée de n'importe quel PC peuvent survenir ; analyse de l'environnement : un logiciel n'existe pas tout seul, mais utilise les ressources d'un système d'exploitation, du réseau, etc. Nous examinons ces liens afin d'évaluer l'impact d'une faille éventuelle, pour ensuite pouvoir la circonscrire.

2. Renforcer les compétences des collaborateurs de l'ESEC

Nous organisons au sein de l'ESEC des séminaires pour présenter les résultats de nos recherches. Nous mettons aussi en place des séances de travaux pratiques afin d'expliquer, de montrer et de faire sentir à nos collaborateurs certaines techniques avancées.
* Exemple : exploitation des débordements de buffer, taxonomie des différents rootkits.

3. Sensibiliser et former

Un rôle essentiel de la R&D est de transmettre son savoir-faire. Pour cela, nous donnons des cours dans plusieurs universités ou écoles d'ingénieurs. Nous réalisons aussi des formations à la carte, sur commande, permettant ainsi de coller au plus près des attentes tout en fournissant un niveau très élevé d'expertise.
* Exemples : programmation (in)sécurisée, initiation au reverse engineering.


Le pôle R&D vous propose aussi son blog que vous pouvez retrouver ici.