SSTIC 2009 - Matinée Fuzzing

Présentation : Fuzzing : le passé, le présent et l’avenir
Présentateur : Ari Takanen

Présentation en anglais, avec des slides traduites certainement de manière automatique. Rien d’exceptionnel dans cette présentation a part la récurrence de l’outil PROTOS permettant d’effectuer du fuzzing sur les protocoles réseau.

Présentation : Fuzzgrind : un outil de fuzzing automatique
Présentateur : Gabriel Campana

Un outil intéressant qui repose sur Valgrind et STP. Valgrind analyse le programme pour trouver les points de passage du programme et STP résout les contraintes d’exécution, pour que le programme puisse passer par tous les chemins lors des tests. Les données générées seront alors les plus complètes possibles et il n’y a pas besoin d’avoir accès aux spécifications pour faire tourner le programme…

Présentation : Sécurité des architectures de Convergence Fixe-Mobile
Présentateur : Laurent Butti

Beaucoup de blabla et de schémas incompréhensibles pour nous faire passer une certaine pilule : les communications sont de plus en plus complexes et reposent parfois sur un amas de protocoles et d’implémentations qui ne sont toujours pas sûres… Bref Orange utilise le fuzzing pour tester certaines de leur implémentations, et beaucoup (trop) d’erreurs sont relevées par cette technique. On fini par la découverte de vulnérabilités sur les implémentations IKEv2 et EAP, bref on s’y attendait un peu. Pour les plus courageux, il faudra voir dans les actes…