Les évènements Systematic

Matinale de l'Innovation "Logiciel libre et Sécurité" : Une rencontre entre académiques et industriels

Un événement coorganisé par Systematic Paris-Region (Groupes thématiques Logiciel Libre et Confiance Numérique & Sécurité) et l'Initiative de Recherche et Innovation en Logiciel Libre (IRILL).

GTLL GT CNS

Le vendredi 12 décembre 2014 de 13h à 18h.

Les locaux de l'Inria/IRILL - au 23 avenue d'Italie, 75013 Paris  (M° Place d'Italie)

 

Les vidéos de la Matinale sont disponibles sur le site de l'IRILL !
http://www.irill.org/videos/matinale-de-linnovation-12-12-2014

 

Merci à l'équipe d'OCamlPro pour la captation gracieuse


Programme

13h00 ACCUEIL CAFÉ

13h30 Introduction : logiciel libre et sécurité
- Roberto Di Cosmo, directeur de l'IRILL, vice-président du Groupe thématique Logiciel libre
- Louis Granboulan, membre du comité de pilotage du Groupe thématique CN&S, Airbus-EADS

14h00 Détection d'intrusion avec OrchIDS, par Jean Goubault-Larrecq, LSV (Laboratoire Spécification et Vérification), Ecole Normale Supérieure de Cachan
OrchIDS est un logiciel de détection d'intrusions performant développé au sein de l'équipe SECSI de l'Inria, à l'ENS Cachan. Il permet de détecter des attaques complexes, système ou réseau, en temps réel, y compris certaines attaques dites 0-day. Ce qui le distingue sans doute d'autres systèmes est qu'il est doté d'une "sémantique" - un concept qui mérite de dépasser le statut de concept académique ! Nous expliquerons pourquoi ce concept de sémantique, et la discipline qu'il implique, est la clé des optimisations présentes dans OrchIDS.

14h45 Model Checking et systèmes complexes, quelques réussites, par Fabrice Kordon, LIP6/MoVe, Université Pierre & Marie Curie
Dans cet exposé, nous présenterons, au travers de quelques études de cas menées ces dernières années (vérification d’un middleware, vérification d’algorithmes dans une base de données répartie, vérification d’un protocole de certification dans un DTH, vérification d’un body area network), un aperçu des techniques de vérification par Model Checking développées au LIP6. Ces techniques sont intégrées dans une plate-forme logicielle libre, développée conjointement avec le LSV et le LIPN : CosyVerif.

15h30 Langages de programmation et sécurité : mind your language, par Olivier Levillain de l'ANSSI
Il existe de nombreux langages informatiques, et les débats concernant leurs avantages et inconvénients respectifs sont nombreux, mais peu considèrent la question du développement d'applications sécurisées, c'est-à-dire robustes contre les actions d'agents malveillants. C'est l'optique abordée dans cette présentation, qui rebondit sur quelques illustrations dans différents langages afin de pouvoir cerner ce que seraient les bonnes propriétés d'un langage vis-à-vis de la sécurité, mais aussi des recommandations de codage pertinentes ou encore des outils pertinents pour le développement et l'évaluation d'applications de sécurité.

16h00 PAUSE RENCONTRES ET DISCUSSIONS

Retours d'expérience d'industriels

16h30 Retours d'un industriel sur ses projets en logiciel libre dans le domaine de la Sécurité, par Gilles Lehmann, C-S
La société CS travaille sur plusieurs projets utilisant des logiciels libres : 1) Prelude SIEM, un superviseur de détection d'intrusion basé sur un coeur open source (Prelude OSS) et compatible avec de nombreuses sondes anti-intrusion open source (Snort, Suricata, Ossec, etc.), 2) le projet secef (financé par la DGA avec TSP et Supelec) qui travaille sur la promotion et l'amélioration de deux formats standards de la détection d'intrusion IDMEF(RFC 4765) et IODEF(RFC 5070), 3) le projet Prelude NG (plan d'investissement d'avenir) en coopération avec plusieurs acteurs du libre dont TecLib et Open Wide.
Par ailleurs, CS s'intéresse aux autres problèmes suivants : techniques de visualisation pour détecter des comportements anormaux sur la base de la librairie d3js.org, travail sur un méta-langage de corrélation initialement basé sur le générateur de langage ANTLR.org, le stockage et indexation de journaux avec les outils ELSA et Sphinx.
La conclusion portera sur quelques considérations quant au modèle open source (choix de licence, équilibre entre notoriété et maîtrise des « forks » ).

17h00 Hervé Schauer Hervé Schauer Consultants  [Empêchement de dernière minute]

17h30 BUFFET ET ECHANGES

Si vous souhaitez partager un retour d'expérience industrielle, faites parvenir votre proposition à Muriel Shan Sei Fan, responsable du Groupe thématique Logiciel Libre.

TAGS:

academiquesindustrielsinnovationlogiciels libressécurité