Le groupe de travail GLSec (Génie Logiciel et Sécurité) du GDR GPL (Génie de la Programmation et du Logiciel) et le groupe de travail SSLR (Sécurité des Systèmes, Logiciels et Réseaux) du GDR Sécurité Informatique s'associent pour proposer une nouvelle journée autour du génie logiciel et de la sécurité.

Date : jeudi 24 novembre 22 à partir de 9h30
Lieu : CNAM, Amphithéâtre Aimé-Laussedat (3) : Accès 31, Niveau 3, 2 rue Conté, 75003 Paris

L'objectif de la journée est de proposer quelques conférences invitées, ainsi que des sessions dédiées aux doctorants et aux doctorantes souhaitant partager leurs travaux dans le domaine du génie logiciel et de la sécurité.

Avec l'omniprésence du logiciel dans notre vie de tous les jours, et face à la menace grandissante des cyberattaques, il est aujourd'hui crucial de prendre en compte la sécurité dans le développement logiciel. Dans la continuité de la journée de l'an dernier, cette journée vise à mettre en évidence les travaux de recherche à la frontière entre le génie logiciel et la sécurité logicielle. Cette thématique couvre l'intégration des aspects de sécurité dans le cycle de développement logiciel (et ce à toutes les étapes, de la spécification jusqu'à la maintenance), et peut passer par l'utilisation d'outils du génie logiciel tels que les tests pour améliorer la sécurité.

Dans ce cadre, nous invitons les doctorants, quelle que soit leur année d'étude, et les jeunes docteurs à présenter leurs travaux dans ce domaine et échanger sur leur thème de recherche.

L'objectif est double :

• permettre aux doctorants d'obtenir un retour sur leurs cheminements, leurs résultats, ou sur des pistes qu'ils pourraient suivre ;
• permettre à la communauté d'avoir un aperçu des travaux et des thématiques explorés en France à ce sujet.

Propositions attendues

Pour cette session, les soumissions attendues sont des résumés d'une page maximum qui pourra avoir l'une des formes suivantes

• Présentation d'un papier passé ou en cours ;
• Présentation du sujet pour les étudiants en début de thèse (première année) ;
• Démonstration technique d'un outil développé dans le cadre d'une thèse.

Chaque proposition acceptée fera l'objet d'une courte présentation lors de la journée du 24 novembre.0

Instructions pour la soumission

La proposition d'une page doit être soumise au format PDF via l'interface de SciencesConf, après création d'un compte sur le site.

La proposition doit contenir un titre, le nom des intervenants avec leurs affiliations, le contenu (contexte, problématique, approche, résultats), et une bibliographie restreinte (3 à 4 références les plus significatives).

Bien que la conférence vise un public francophone, les soumissions (et présentations) en anglais sont autorisées.

Dates importantes

Date limite de soumission des contributions : 4 novembre 22 11 novembre 22
Notification aux auteurs : 14 novembre 22 16 novembre 22

Vincent Laporte - Fine-Grained Constant-Time Policies with Jasmin & EasyCrypt

Side-channels allow remote observers to learn sensitive information from execution time or other micro-architectural effects such as eviction from a memory cache. Constant-time programming is a widespread counter-measure that can be implemented at source-level to fix this class of vulnerabilities. However, such a programming discipline is by many aspects challenging: it relies on unusual code patterns, often conflicts with efficiency goals, it might be invalidated by optimizing compilers, it is hard to automatically check on low-level optimized programs (pointer analysis being hard), etc.

This talk will present how the Jasmin infrastructure — a workbench for high-speed and high-assurance cryptographic implementations — provides support for checking that counter-measures are properly implemented and provide security in the intended adversary model. The Jasmin compiler also comes with the formal guaranty that assembly code is (at least) as secure as the source code. The formal treatment of constant-time security seamlessly accommodates fora wide range of fine-grained policies capturing various adversary models.

Julien Signoles - CEA - Frama-C for Cybersecurity: a Few Case Studies

This talk introduces Frama-C, an open-source analyzer for programs written in C. After a general overview of the framework, it presents different ways on using it for verifying security-oriented properties. First, it explains how to find undefined behaviors, or prove their absence, by means of abstract interpretation, deductive verification, runtime assertion checking, or a combination of them. Second, it will introduce how to prove others security properties, such as confidentiality or integrity properties, by means of
dedicated analyzers.  Each usage is illustrated on concrete examples and case studies.

Julien Signoles is a senior researcher at CEA LIST, Software Safety & Security Lab (LSL). He got a PhD in Computer Science from University of Paris Sud in 2006 and an Habilitation in the same university in 2018. He started working on Frama-C at LSL in 2007 and became one of its main contributors. Currently, he is mainly in charge of E-ACSL, the Frama-C's runtime assertion checker.

Supports de la présentation / Slides

Sébastien Michelland - Semantic Approaches to Hardware Vulnerabilities

Cet événement du GDR Sécurité Informatique du GDR GPL est organisé par

• Isabelle Borne (Université Bretagne-Sud, IRISA)
• Aurélien Francillon (EURECOM)
• Guillaume Hiet (CentraleSupélec)
• Olivier Levillain (Télécom SudParis, SAMOVAR)
• Nicole Levy (CNAM)
• Salah Sadou (Université Bretagne Sud, IRISA)