Interventions invitées
Hugo Lefeuvre est chercheur postdoctoral à l’Université de la Colombie-Britannique à Vancouver (Canada), où il mène des recherches à l’intersection des systèmes et de la sécurité. Auparavant, il était doctorant à l’Université de Manchester (Royaume-Uni) et boursier de recherche doctorale chez Microsoft. Sa thèse de doctorat a reçu le prix Roger Needham de la conférence EuroSys.
Vers une compartimentalisation logicielle généralisée – que faudra-t-il ?
La compartimentalisation logicielle est la pratique qui consiste à découper un programme en composants isolés afin de limiter l’impact des bogues et des vulnérabilités de sécurité. En cas de compromission, la compartimentalisation permet de contenir l’exploitation, rendant les attaques réussies plus difficiles à réaliser. Bien qu’elle ait rencontré un grand succès dans des logiciels populaires tels que les navigateurs web ou les logiciels serveurs, la compartimentalisation n’est pas encore une pratique courante dans le développement logiciel. Dans cette présentation, basée sur notre publication récente « SoK: Software Compartmentalization » à la conférence IEEE S&P 2025, nous discuterons des approches de compartimentalisation dans l’industrie et le milieu académique afin de mieux comprendre les défis restants pour en faire une pratique véritablement généralisée, de sensibiliser à cette approche, et de montrer comment elle peut mener à des logiciels fondamentalement plus sûrs et plus fiables.
Langue : Anglais (sous-titré en français)
Clémentine Maurice est chercheuse au CNRS, au laboratoire CRIStAL à Lille. Elle a obtenu son doctorat à Télécom ParisTech en 2015, puis a travaillé comme chercheuse postdoctorale à l’Université technologique de Graz, en Autriche. Ses recherches portent sur les attaques micro-architecturales et leurs contre-mesures. Elle a également présenté ses travaux lors de conférences de hackers telles que le CCC et Black Hat Europe, et figure à deux reprises au Mozilla Hall of Fame.
De la théorie à la pratique : détecter et préserver le temps constant
Les vulnérabilités par canaux auxiliaires continuent d’apparaître dans les logiciels cryptographiques — malgré une décennie d’outils de détection automatisée censés les prévenir. Pourquoi ces fuites persistent-elles ? Dans la première partie de cette présentation, nous explorons ce paradoxe en évaluant ces outils face à des vulnérabilités réelles et en montrant pourquoi la détection est plus difficile qu’il n’y paraît. Dans la deuxième partie, nous démontrons que même lorsque les développeurs écrivent correctement du code en temps constant, le compilateur peut ne pas suivre. Les passes d’optimisation de GCC et LLVM peuvent insidieusement compromettre la sécurité, transformant le temps constant en simple illusion. Nous dévoilons quelles optimisations en sont responsables, comment les identifier et quelles défenses pratiques les développeurs peuvent réellement mettre en œuvre. Votre compilateur n’est pas votre allié — mais avec les bonnes connaissances, vous pouvez l’empêcher de se retourner contre vous. Nous concluons en analysant l’impact des attaques récentes sur les outils de détection automatisée.
Langue : Anglais (sous-titré en français)