Contexte et atouts du poste
L’ objectif est de concevoir des méthodes qui permettront de définir une sémantique des attaques de désérialisation dans les applications afin de les prévenir.
Mission confiée
Objectif Principal. Ce projet cherche à fournir un modèle décrivant la sémantique (un profil) des attaques de type désérialisation pour leur prévention dans les applications réelles. L’apprenti travaillera incrémentalement sur les tâches suivantes : une étude de la littérature sur les failles de sécurité, ainsi que les techniques de construction de chaînes d’attaque et de détection des patterns d’attaques. Il/Elle utilisera le langage Pharo, la plateforme Moose, et des IDE telles que VSCode ou Eclipse pour fournir à la fin une description des profils des attaques de d.s.rialisation.
La personne recrutée sera amenée à travailler sur 3 tâches principales:
1. Tâche 1 : Méta-modélisation des piles des attaques. Cette tâche permettra à l’apprenti d’approfondir ses connaissances à propos des comportements des attaques de désérialisation en analysant les piles d’appels utilisées dans des attaques forunies dans l'état de l'art. L’alternant fournira un méta-modèle des piles d’attaques décrit en Moose.
2. Tâche 2 : Classification et contextualisation des gadgets dans les attaques. Les attaques de désérialisation se basent sur un enchaînement des méthodes vulnérables dans un contexte précis et non vulnérables dans d’autres contextes. L'objectif de cette tâche est de définir le contexte dans lequel une méthode ou un bout de code est vulnérable.
3. Tâche 3 : Construction de chaînes d’attaques en se basant sur le profil des attaques. Cette tâche consiste à développer un outil (PoC) permettant la construction automatique des chaînes d’attaque de désérialisation en se basant sur le profil des attaques défini par le méta-modèle (à l’issue de la tâche 1) et du contexte (extrait de la tâche 2).
Pour une meilleure connaissance du sujet de recherche proposé :
Un état de l'art à propos des approches de détection des vulnérabilités et de construction de chaînes d’attaques sera étudié.
Responsabilités :
La personne recrutée a la charge de travailler sur les 3 tâches de la mission.
Principales activités
Principales activités (5 maximum) :
4. étude et compréhension du code des attaques existantes
5. caractérisation des attaques existantes en se basant sur leurs contextes, leurs comportements, leurs points d'entrée, etc.
6. étude des dépendances des attaques
7. définition d'un profil des attaques
8. génération de chaînes de nouvelles attaques
Activités complémentaires (3 maximum) :
9. recherche bibliographique sur les attaques de déserialisation
10. consultation des bases existantes des attaques logicielles
Compétences
Compétences techniques et niveau requis : programmation Objet, analyse statique de code, méta-modélisation. Un plus sera la connaissance du langage Pharo et de la machine virtuelle en Java.
Langues : Français, anglais
Compétences relationnelles :
11. Capacité à travailler en équipe : collaboration et interactions avec les membres de l'équipe EVREF et avec les chercheurs des groupes de travail en Génie Logiciel
12. Facilité en communication orale et écrite : présenter ses travaux en réunions.
13. Adaptabilité et écoute active : intégrer les retours des encadrants et des collègues pour faire évoluer la recherche.
14. Capacité à vulgariser les résultats obtenus à différents publics.
15. Echanges avec des chercheurs du partenaire industriel Berger-Levrault.
Compétences additionnelles appréciées : capacité à organiser des journées thématiques autour de la sécurité logicielle au niveau de l'équipe et du laboratoire d'accueil.
Compétences techniques et niveau requis : programmation
Avantages
16. Restauration subventionnée
17. Transports publics remboursés partiellement
18. Congés: 7 semaines de congés annuels + 10 jours de RTT (base temps plein) + possibilité d'autorisations d'absence exceptionnelle (ex : enfants malades, déménagement)
19. Possibilité de télétravail et aménagement du temps de travail
20. Équipements professionnels à disposition (visioconférence, prêts de matériels informatiques, etc.)
21. Prestations sociales, culturelles et sportives (Association de gestion des œuvres sociales d'Inria)
22. Accès à la formation professionnelle
23. Sécurité sociale
Rémunération
Selon la règlementation en vigueur
En cliquant sur "JE DÉPOSE MON CV", vous acceptez nos CGU et déclarez avoir pris connaissance de la politique de protection des données du site jobijoba.com.