Sommaire

  • Cet exposé a été présenté le 29 mai 2020.

Description

  • Orateur

    Olivier Levillain (Telecom Sudparis)

Depuis plusieurs années, les grands acteurs du web travaillent à l’amélioration des communications entre leurs utilisateurs et leurs services. Ces améliorations peuvent porter sur la vitesse des connexions ou sur la sécurité des échanges. QUIC fait partie des efforts en cours. Il s’agit d’un protocole en cours de standardisation à l’IETF, qu’on peut résumer à un protocole sur UDP fournissant les services de TCP/SCTP, TLS 1.3 et HTTP/2.Comme QUIC est destiné à remplacer le couple TLS/HTTP pour un certain nombre de cas d’usage, il nous a semblé intéressant de nous y intéresser, et d’étudier les implémentations existantes.Les travaux que nous avons menés ont consisté à réimplémenter des portions des standards QUIC avec scapy, ce qui nous a permis de nous forger une opinion sur la complexité de QUIC, puis de tester les implémentations existantes vis-à-vis de contraintes de sécurité (implicites ou explicites) tirées des drafts IETF. Bien que nous n’ayons pas mis au jour de problème majeur, nos conclusions sont d’une part que QUIC est trop complexe et d’autre part que la majorité des implémentations sont fragiles et réagissent de manière incorrecte à certains de nos stimuli.

Infos pratiques

  • Presentation documents

Prochains exposés

  • The Battle Against Bots: Current Threats and New Directions to Counter Automated Attacks

    • 22 novembre 2024 (11:00 - 12:00)

    • Inria Center of the University of Rennes - -Petri/Turing room

    Orateur : Elisa Chiapponi - Amadeus IT Group

    In today's digital landscape, the battle between industry and automated bots is an ever-evolving challenge. Attackers are leveraging advanced techniques such as residential proxies, CAPTCHA farms, and AI-enhanced fingerprint rotations to evade detection and execute functional abuse attacks, including web scraping, denial of inventory, and SMS pumping.  This talk will explore ongoing efforts[…]

    • SoSysec

    • Détection d'intrusion

  • Un protocole SMPC de curation de données d'entrainement et sa fragilité aux hypothèses de sécurité...

    • 06 décembre 2024 (11:00 - 12:00)

    • Inria Center of the University of Rennes - Métiviers room

    Orateur : Marc-Olivier Killijian - Université du Québec à Montréal

    ... ou "Sécurité et insécurité - dans quel état j’erre, ai-je bien rangé mon modèle de sécurité ?" De nos jours, les sources de données, et leurs curateurs, sont répartis à travers le monde. Il arrive que les propriétaires de ces données souhaitent collaborer entre eux afin d’augmenter la qualité de ces données, particulièrement avant d’entrainer des modèles d’apprentissage machine.Dans cet exposé[…]

    • SoSysec

    • Respect de la vie privée

    • Apprentissage machine

    • Systèmes distribués

  • Safety-Security Convergence of Industrial Control Systems

    • 13 décembre 2024 (11:00 - 12:00)

    • Inria Center of the University of Rennes - Room Aurigny

    Orateur : Maxime Puys - Université Clermont Auvergne - IUT de Clermont-Ferrand

    Industrial Control Systems (ICS) are designed to provide a service, such as power generation or water treatment, while protecting people, assets, and the environment against hazards. However, ICS now integrate Information Technology (IT) and are interconnected with the outside world such as the Internet, thereby exposing their infrastructures to cyberattacks. Cyberattacks have thus become new[…]

    • SoSysec

    • Détection d'intrusion

Voir les exposés passés
Haut de page