Apprenti·e Vers un Profilage des Attaques de Désérialisation à l'Aide d'Un Méta-Modèle H/F - INRIA

A propos d'Inria

Inria est l'institut national de recherche dédié aux sciences et technologies du numérique. Il emploie 2600 personnes. Ses 215 équipes-projets agiles, en général communes avec des partenaires académiques, impliquent plus de 3900 scientifiques pour relever les défis du numérique, souvent à l'interface d'autres disciplines. L'institut fait appel à de nombreux talents dans plus d'une quarantaine de métiers différents. 900 personnels d'appui à la recherche et à l'innovation contribuent à faire émerger et grandir des projets scientifiques ou entrepreneuriaux qui impactent le monde. Inria travaille avec de nombreuses entreprises et a accompagné la création de plus de 200 start-up. L'institut s'eorce ainsi de répondre aux enjeux de la transformation numérique de la science, de la société et de l'économie.Apprenti.e (H/F) Vers un profilage des attaques de désérialisation à l'aide d'un méta-modèle

Type de contrat : CDD

Niveau de diplôme exigé : Bac +3 ou équivalent

Fonction : Apprenti de la recherche

A propos du centre ou de la direction fonctionnelle

Le centre Inria Université de Lille, créé en 2008, emploie 360 personnes dont 305 scientifiques répartis dans 15 équipes de recherche. Reconnu pour sa forte implication dans le développement socio-économique de la région Hauts-De-France, le centre Inria de l'Université de Lille poursuit une relation étroite avec les grandes entreprises et les PME. En favorisant les synergies entre chercheurs et industriels, Inria participe au transfert de compétences et d'expertises dans le domaine des technologies numériques et donne accès au meilleur de la recherche européenne et internationale au profit de l'innovation et des entreprises, notamment dans la région.Depuis plus de 10 ans, le centre Inria de l'Université de Lille est situé au coeur de l'écosystème universitaire et scientifique de Lille, ainsi qu'au coeur de la Frenchtech, avec un showroom technologique basé avenue de Bretagne à Lille, sur le site d'excellence économique d'EuraTechnologies dédié aux technologies de l'information et de la communication (TIC).

Contexte et atouts du poste

L' objectif est deconcevoir des méthodes qui permettront de définir une sémantique des attaques de désérialisation dans les applications afin de les prévenir.

Mission confiée

Objectif Principal. Ce projet cherche à fournir un modèle décrivant la sémantique (un profil) des attaques de type désérialisation pour leur prévention dans les applications réelles. L'apprenti travaillera incrémentalement sur les tâches suivantes : une étude de la littérature sur les failles de sécurité, ainsi que les techniques de construction de chaînes d'attaque et de détection des patterns d'attaques. Il/Elle utilisera le langage Pharo, la plateforme Moose, et des IDE telles que VSCode ou Eclipse pour fournir à la fin une description des profils des attaques de d.s.rialisation.

La personne recrutée sera amenée à travailler sur 3 tâches principales :
- Tâche 1 : Méta-modélisation des piles des attaques. Cette tâche permettra à l'apprenti d'approfondir ses connaissances à propos des comportements des attaques de désérialisation en analysant les piles d'appels utilisées dans des attaques forunies dans l'état de l'art. L'alternant fournira un méta-modèle des piles d'attaques décrit en Moose.
- Tâche 2 : Classification et contextualisation des gadgets dans les attaques. Les attaques de désérialisation se basent sur un enchaînement des méthodes vulnérables dans un contexte précis et non vulnérables dans d'autres contextes. L'objectif de cette tâche est de définir le contexte dans lequel une méthode ou un bout de code est vulnérable.
- Tâche 3 : Construction de chaînes d'attaques en se basant sur le profil des attaques. Cette tâche consiste à développer un outil (PoC) permettant la construction automatique des chaînes d'attaque de désérialisation en se basant sur le profil des attaques défini par le méta-modèle (à l'issue de la tâche 1) et du contexte (extrait de la tâche 2).

Pour une meilleure connaissance du sujet de recherche proposé :
Un état de l'art à propos desapproches de détection des vulnérabilités et de construction de chaînes d'attaques sera étudié.

Responsabilités :
La personne recrutée a la charge de travailler sur les 3 tâches de la mission.

Principales activités

Principales activités (5 maximum) :
- Étude et compréhension du code des attaques existantes
- Caractérisation des attaques existantes en se basant sur leurs contextes, leurs comportements, leurs points d'entrée, etc.
- Étude des dépendances des attaques
- Définition d'un profil des attaques
- Génération de chaînes de nouvelles attaques

Activités complémentaires (3 maximum) :
- Recherche bibliographique sur les attaques de déserialisation
- Consultation des bases existantes des attaques logicielles

Compétences

Compétences techniques et niveau requis : programmation Objet, analyse statique de code, méta-modélisation. Un plus sera la connaissance du langage Pharo et de la machine virtuelle en Java.

Langues : Français, anglais

Compétences relationnelles :
- Capacité à travailler en équipe : collaborationet interactions avec les membres de l'équipe EVREF et avec les chercheurs des groupes de travail en Génie Logiciel
- Facilitéen communication orale et écrite : présenter ses travaux en réunions.
- Adaptabilité et écoute active : intégrer les retours des encadrants et des collègues pour faire évoluer la recherche.
- Capacité à vulgariserles résultats obtenusà différents publics.
- Echanges avec des chercheurs du partenaire industriel Berger-Levrault.

Compétences additionnelles appréciées : capacité à organiser des journées thématiques autour de la sécurité logicielle au niveau de l'équipe et du laboratoire d'accueil.

Compétences techniques et niveau requis : programmation

Avantages
- Restauration subventionnée
- Transports publics remboursés partiellement
- Congés : 7 semaines de congés annuels + 10 jours de RTT (base temps plein) + possibilité d'autorisations d'absence exceptionnelle (ex : enfants malades, déménagement)
- Possibilité de télétravail et aménagement du temps de travail
- Équipements professionnels à disposition (visioconférence, prêts de matériels informatiques, etc.)
- Prestations sociales, culturelles et sportives (Association de gestion des oeuvres sociales d'Inria)
- Accès à la formation professionnelle
- Sécurité sociale

Rémunération

Selon la réglementation en vigueur