Nouvelles approches de la sécurité informatique reposant sur la vision offensive et bas-niveau des systèmes

Understanding computer security requires a strong knowledge of the underlying technologies and a deep awareness of the origin of today’s threats. To help the community facing the new challenges of computer security,our research is based on these fundamentals.One of our goal was to include in our work, both of the offensive and defensive approaches, to best meet the requirements of the fight against cyber threats. Starting with a technical background and knowing the attacker’s point of view allowed us to design both offensive and defensive tools.Our work aims at enhancing the defense of several systems by first looking for vulnerabilities in them. Thus, we worked on several axes to provide a strong defense in depth. At first, we improved the security of MASM compiler by exploiting a vulnerability that has been present for more than 20 years. It had allowed to silently introduce backdoors at compilation time. On the other hand, we developed new evasion techniques for malware, in order to better manage them. One of these techniques allows to detect any type of automatic analysis environment used nowadays. At the best of our knowledge, there is no other technique able to produce similar results with such operational consequences. Finally, we managed keyloggers threat thanks to an extensive and unpublished documentation of Windows 10 internal mechanisms, achieved through a reverse engineering process. Within this context, we proved that it is possible to produce a solution above those existing at the moment.From the correction of the vulnerability found in the compiler to the design of new evasion techniques, we made sure to bring innovative architectures to improve the security of the systems in the long run. This has been achieved through the tool we built to prevent users from being victims of keyloggers, through the new forensicmethods we elaborated based on the Superfetch service, though the new techniques we discovered to detect web crawler-traps, though the studies done about UEFI full encryption system and though the algorithms created to classify malicious programs.All this research work has been published in different academic and hacking international conferences, including DefCon and Black Hat USA in addition to several scientific articles and CVE-2018-8232. In conclusion, we have privileged works that aim to analyze, evaluate and enhance the security of a project at different levels.Many domains have been covered because computer security is a global and ultimately multidisciplinary field, which often requires cross-disciplinary skills. The idea is to always secure the information processed by an automated system, from its collection, its processing to its storage, while ensuring there is no threat acting against programs which are running as expected.La compréhension de la sécurité informatique passe nécessairement par une réelle maitrise des briques de technologies élémentaires qui constituent son socle et par une compréhension des dynamiques qui motivent l’émergence de nouvelles menaces.C’est dans cet objectif que les travaux de recherche de cette thèse ont été menés. Il nous tenait à cœur d’intégrer une vision duale, c’est-à-dire autant offensive que défensive, pour faire face aux menaces actuelles et à venir. Tant par une connaissance très technique que par la maitrise des dynamiques liées aux contraintes de l’attaquant, il a été ici possible de concevoir des outils à la fois offensifs et défensifs.Les présents travaux visent à améliorer la défense de plusieurs systèmes après une phase préalable de recherche des failles dans ces derniers. Ainsi nous avons travaillé sur plusieurs axes pour offrir une solide défense dans la profondeur. Dans un premier temps, nous avons amélioré la sécurité du compilateur MASM en découvrant une faille présente depuis plus de 20 ans, qui permettait jusqu’alors à un attaquant d’introduire silencieusement des backdoors lors de la compilation des programmes. Nous avons également dévoilé de nouvelles techniques d’évasion pour les malwares dans l’objectif de mieux anticiper ces dernières. Une de ces techniques permet de détecter n’importe quel type d’environnement d’analyse automatique utilisé de nos jours. Au meilleur de notre connaissance, aucune autre technique ne propose de telles capacités opérationnelles. Enfin, nous nous sommes penchés sur le fonctionnement des keyloggers, grâce à un travail inédit de documentation des mécanismes internes de Windows 10 par rétro-conception.Cette étude nous a permis d’élaborer une solution contre les keyloggers, qui est plus performante que l’ensemble de celles existant à ce jour. De la correction de vulnérabilités trouvées dans un compilateur à la conception de nouvelles techniques d’évasion, nous nous sommes assurés d’apporter des solutions innovantes pour améliorer la sécurité des systèmes à long terme. Cela par le biais d’outils que nous avons construit pour neutraliser les keyloggers, par la conception de méthodes de forensic basées sur l’analyse du service Superfetch, par la découverte de nouvelles techniques de détection de crawler-traps, par l’étude de système de chiffrementtotal basés sur l’UEFI et enfin par à la création d’algorithmes de classification de malware. Ces différentes recherches ont abouti sur de nombreux résultats, dont la parution de la CVE-2018-8232, l’édition d’articles scientifiques et de publication dans des conférences internationales académiques et de hacking telles que Defconou Black Hat US.En conclusion, nous avons cherché à privilégier des travaux qui visent à analyser, évaluer et améliorer la sécurité d’un projet à différents niveaux. C’est pourquoi beaucoup de domaines ont été abordés car la sécurité informatique est un domaine global et finalement multidisciplinaire, qui nécessite bien souvent des compétencestransverses. Ce qui fait que nos travaux œuvrent avant tout à sécuriser l’information traitée par un système automatisé, de sa collecte, de son traitement à son stockage tout en s’assurant qu’aucune menace ne puisse agir contre des programmes s’exécutent conformément à ce qui est attendu