Close

Moabi : l’audit by design

Présentation

Moabi est une start-up fondée en 2019 qui propose une solution de reverse engineering automatisée permettant non seulement de détecter les failles de logiciels, systèmes d’exploitation et firmwares mais aussi de proposer des mesures correctrices. Ses principaux secteurs d’application comprennent l’aéronautique, la défense, la sécurité et l’industrie, les objets connectés, notamment les véhicules connectés (drones, voitures, trains, satellites…) et les robots et automates industriels.

Les solutions

La solution de Moabi répond à deux enjeux : les risques résultant de la prolifération des objets connectés d’une part, et la nécessité de prendre en compte la sécurité dès la conception des produits (security by design) d’autre part.

Elle permet de mesurer, contrôler et renforcer la sécurité des logiciels et des objets connectés tout au long du cycle de développement d’un produit (conception, développement, intégration et maintenance) de façon automatisée et sans avoir besoin d’accéder aux codes sources. Sa particularité est qu’elle prend aussi bien en compte les langages utilisés par les sous-traitants pour développer leurs logiciels que les solutions de compilation mises en œuvre avant mise en production.

Le déploiement de cette solution peut prendre trois formes :

  • En mode Saas, sur le cloud
  • Sur un serveur déployé chez le client pouvant être connecté à internet de manière ponctuelle afin de faire les mises à jour (du logiciel, des bases de données et de l’OS)
  • Sur un serveur déployé chez le client, sans aucune connexion internet, avec un protocole de mise à jour spécifique (qui répondre aux exigences spécifiques du domaine de la Défense).

Moabi se positionne ainsi en alternative aux outils d’analyses et de tests de code source dont l’impact peut être limité, et aux tests d’intrusion et analyses de sécurité manuelles souvent plus couteuses (pentests), effectués plus tardivement et ne permettant pas de tester tous les binaires (codes compilés) d’un logiciel. La solution de Moabi a donc vocation à identifier et proposer les corrections des vulnérabilités et tous points à risques avant la commercialisation des produits.

MOABI analyse chaque binaire à l’aune de 5 critères :

  • La défense en profondeur (le durcissement) : évaluation des mécanismes de défense contre les vecteurs d’attaques courants.
  • La dette Technique : évaluation de la chaine de compilation et de l’architecture (compatibilité avec les systèmes d’exploitation, détection d’obsolescence etc.)
  • La conformité : évaluation du respect des standards et bonnes pratiques ;
  • La cryptographie : évaluation de la robustesse du chiffrement en identifiant les algorithmes de cryptographie utilisés (2300 répertoriés) et les fonctions de chiffrement (1200 connues) ;
  • La vulnérabilité : détection des classes de vulnérabilité connues à partir du CVE (base de données maintenu par le département de la sécurité intérieur américain) et recherche de failles “0days”

Ces 5 critères sont agrégés dans une métrique globale appelée « surface de défense ». Ils permettent ainsi d’évaluer le niveau de cybersécurité de logiciels internes et externes, et de comparer des versions, ou des fournisseurs, sur la base de métriques stables et cohérentes. La solution de Moabi permet ainsi aux entreprises de réaliser un contrôle dans le temps de la qualité des prestations de ses fournisseurs, sur la base d’une norme de qualité commune.

Moabi accompagne ensuite les entreprises dans l’exploitation de ces rapports, afin qu’elles puissent en extraire les informations essentielles. La société travaille d’ailleurs sur la mise en place d’indicateurs clés de performance (KPI) pour chaque métrique, qui pourraient être modulables en fonction des politiques de sécurité de chaque entreprise (exigences en termes de niveau de cryptographie, de robustesse des mécanismes de défense etc.).

Applications

Les secteurs d’applications des solutions de Moabi comprennent :

  • La Sécurité des logiciels des véhicules connectés (GPS, contrôle du moteur, communication etc.) : 70 à 90% du code provient de fournisseurs et est intégré directement au produit. Il est donc important d’imposer des objectifs de sécurité communs aux fournisseurs et d’être en mesure de les mesurer directement sur du binaire.
  • La transition vers l’IoT : l’augmentation du périmètre à défendre du fait de la connexion des chaines de production impose de travailler directement sur des firmwares binaires (automates industriels, capteurs, robots).
  • Le secteur de la Défense : problématique cruciale d’intégration de codes venant de fournisseurs dont la maturité en termes de cybersécurité est très variables.