Vers la recherche de vulnérabilités jour-1 à partir de signatures sémantiques de correctifs

To maintain the security of information systems, deploying the proposed updates as soon as they are available is a good practice encouraged by all the computer security actors. Indeed, the exploitation of 1-day vulnerabilities (so called because a patch has been available for at least 1 day) can be devastating as EternalBlue or Shellshock have illustrated. The objective of this thesis is to propose methods and their practical application to detect if these patches are well applied at the lowest level, i.e. in the binary code. This is essential to have a reliable view of a system protection. To achieve this goal, we have established several milestones. The first one consists in an in-depth study of a typical patch, before formalizing a framework for searching for them at the scale of a complete system. We then propose the implementation of a software solution that automatically builds semantic signatures of vulnerability patches and searches for these signatures in filesystems. Finally, we test this solution in real conditions (i.e. detection of patches in images of the Android operating system) and show the relevance of our approach.Pour maintenir la sécurité des systèmes d'information, déployer les mises-à-jour proposées dès qu'elles sont disponibles est une bonne pratique encouragée par l'ensemble des acteurs de la sécurité informatique. Effectivement, l'exploitation des vulnérabilités de type 1-jour (dénommées ainsi car il en existe un correctif depuis au moins 1 journée), peut être dévastatrice comme EternalBlue ou Shellshock ont pu l'illustrer. L'objectif de cette thèse est de proposer des méthodes et leur application pratique pour détecter si ces correctifs sont bien appliqués au plus bas niveau, i.e. dans le code binaire. Ceci est indispensable pour avoir une vision fiable de la protection d'un système. Pour atteindre cet objectif, nous avons établi plusieurs jalons. Le premier consiste en une étude approfondie d'un correctif type, avant de formaliser un cadre de recherche de ces derniers à l'échelle d'un système complet. Nous proposons ensuite l'implémentation d'une solution logicielle construisant automatiquement des signatures sémantiques de correctifs de vulnérabilités et cherchant ces signatures dans des systèmes de fichiers. Finalement, nous testons cette solution en conditions réelles (i.e. détection de correctifs dans des images du système d'exploitation Android) et montrons la pertinence de cette solution