Assurer la cybersécurité des logiciels sensibles contre la faille Spectre
Le Toulousain ISIT annonce que la protection contre les attaques Spectre ont été ajoutées aux services Cyber Hardening de son fournisseur GrammaTech, spécialisé dans le développement d’outils d’assurance logiciels embarqués commerciaux et de solutions avancées de cybersécurité, pour les processeurs Intel et AMD, ainsi que prochainement pour les processeurs ARM. Ce service permet aux logiciels legacy (déjà développés et en production) d’être protégés des attaques par injection de branches cibles sans avoir à recompiler l’application.
Pour les professionnels de la cybersécurité, la protection contre par la vulnérabilité de sécurité Spectre, récemment révélée pour les processeurs modernes, et qui peut être exploitée pour divulguer des informations confidentielles est devenue une nécessité du jour au lendemain. Si la communauté informatique s’est efforcée de rendre les correctifs disponibles pour les compilateurs populaires afin d’atténuer l’attaque, recompiler l’application ou le code source du logiciel d’un système n’est pas toujours une option dans les secteurs de l’IoT, de la défense, du médical, de l’industrie et du grand public, explique ISIT. Cela rend ces systèmes vulnérables aux attaques qui divulguent des informations telles que des données personnelles, des mots de passe ou d’autres informations confidentielles à partir d’applications exemptes d’erreurs.
Grâce aux services Cyber Hardening de GrammaTech, les utilisateurs peuvent protéger les applications critiques et les librairies logicielles contre les attaques Spectre. Ce service utilise l’analyse binaire pour déterminer les emplacements vulnérables dans le code, puis transforme le fichier binaire d’application d’origine en ajoutant un code d’atténuation à ces emplacements. Le code d’atténuation suit l’approche ‘retpolines’ publiée par Google.
« La technologie de transformation binaire de GrammaTech est un outil clé dans la protection des systèmes logiciels modernes », explique Alexey Loginov, vice-président de la recherche chez GrammaTech. « Le fait que les applications puissent être protégées sans retour au code source permet aux professionnels de la cybersécurité de proposer un correctif beaucoup plus rapidement. Cette atténuation pour Spectre, basée sur l’approche Retpolines de Google, est l’une des fonctionnalités de la solution Cyber Hardening de GrammaTech. Cette technologie permet également de se protéger contre, ou de surveiller, les dépassements de mémoire tampon et de nombreux autres problèmes de la liste Common Weakness Enumeration ».
Les cyberprofessionnels ayant des applications legacy qui doivent s’assurer que leurs informations restent en sécurité et ont besoin d’un délai d’exécution rapide, mais ne sont pas en mesure de modifier le code source, peuvent ainsi bénéficier immédiatement de cette technologie.
Les outils d’analyse statique avancés de GrammaTech sont utilisés par les développeurs de logiciels, couvrant une myriade d’industries logicielles embarquées comme l’avionique, le médical, le militaire, le contrôle industriel et d’autres applications où la fiabilité et la cybersécurité sont primordiales.
I.S.I.T, implanté à Toulouse, est un distributeur à valeur ajoutée, spécialisé dans la commercialisation d’outils matériels et logiciels, utilisés dans les bureaux d’études et sur les sites de production, et destinés aux systèmes temps réel embarqués. Autour de sa gamme produits, ISIT propose des prestations d’accompagnement, allant de l’expertise sur les technologies et les produits, au développement d’applications, en passant par la formation, les tests et la validation. Depuis plusieurs années, ISIT a développé une forte compétence dans la sécurité et les contraintes de certification.
