Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 9 au 11 juin 2010.

Audit d'applications .NET complexes - le cas Microsoft OCS 2007Nicolas Ruff


Date : 11 June 2010 à 11:15 — 30 min.

Un grand nombre de présentations SSTIC sont dédiées chaque année à l'analyse de code assembleur (x86, ARM, MIPS ou autre).

Ces présentations sont très orientées en direction de la lutte contre le code malveillant ou de la protection logicielle. Mais un sujet rarement abordé est celui de l'audit d'applications commerciales tout à fait "classiques".

Le principal défi lors de l'analyse d'une application commerciale est la complexité. Les développeurs écrivent du code de très haut niveau - dont la traduction en assembleur fait intervenir un nombre considérable de couches intermédiaires.

Comme dit le proverbe, "celui qui a débogué un script Ruby avec GDB est un génie, celui qui l'a fait deux fois est un fou".

C'est pourquoi cette présentation s'attachera à présenter les techniques d'analyse haut niveau applicables à l'environnement .NET. L'exemple de l'audit sécurité du produit Microsoft OCS 2007 sera notre fil rouge.