Лист за преговор: Analyse avancée de la sécurité et preuve de programmes

📋 Plan du Cours

1. Analyse de liveness et élimination de code mort (DCE)
2. Analyse d'initialisation des variables en Java et méthodes en avant et en arrière
3. Analyse avancée DCE avec graphes de contrôle de flux (CFG) et itérations
4. Interprétation abstraite du domaine des pointeurs et gestion des assertions nullité
5. Preuve de programmes avec WP et spécifications ACSL en C
6. Vulnérabilités classiques en C : débordements, comportements indéfinis et corrections
7. Principales injections (commande, SQL, XSS, SMTP, path traversal) et leurs protections
8. Attaques par débordement de buffer et protections de la pile (canari, ASLR, DEP, shadow stack)
9. Use-after-free, variables non initialisées et principe de moindre privilège
10. Utilisation des plugins Frama-C EVA et WP pour analyse statique et preuve
11. Points clés pour l'examen 2025 : exercices types, pièges fréquents et bonnes pratiques
12. TP sécurité C et WP Frama-C : exercices pratiques et méthodologie

📖 1. Analyse de liveness et élimination de code mort (DCE)

🔑 Notions clés & Définitions

• Invariant : Un invariant est un ensemble stable obtenu par itérations successives dans l'analyse de liveness d'une boucle, représentant les variables live à chaque point du corps de la boucle.
• Affectation morte : Si x ∉ Lo : `L

📝 Points essentiels

• L'analyse de liveness se fait en arrière, une variable est live si sa valeur peut influencer une observation future.
• Pour une affectation x := T, si x n'est pas dans l'ensemble live en sortie, l'affectation est morte et peut être supprimée.
• Dans une boucle while, l'invariant de liveness est calculé comme point fixe par itérations successives jusqu'à stabilité, en utilisant l'opérateur ∇.
• Un test conditionnel if C then ε else ε est inutile si, après élimination du code mort, les deux branches sont vides.
• Une affectation x := T est inutile si x ∉ L_out après elle. On la supprime. Un test if C then ε else ε est inutile une fois les deux branches vides.

💡 À retenir

L'analyse de liveness rétrograde permet d'identifier précisément le code mort, notamment les affectations inutiles, pour optimiser le programme en supprimant ces instructions sans impact sur le comportement observable.

📖 2. Analyse d'initialisation des variables en Java et méthodes en avant et en arrière

🔑 Notions clés & Définitions

• ANALYSE D'INITIALISATION JAVA : If if C then S1 else S2 : Calculer L1 (live-in S1) et L2 (live-in S2), puis `L

📝 Points essentiels

• Java interdit l'utilisation de variables locales non initialisées, ce problème étant indécidable, une sur-approximation conservative est utilisée.
• L'analyse en arrière ajoute un obs(T) implicite avant chaque affectation pour déterminer les variables bien initialisées comme celles non live en entrée.
• L'analyse en avant vérifie que toutes les variables utilisées dans une expression sont initialisées avant l'affectation, sinon une erreur est levée.
• Pour un if, l'ensemble des variables initialisées en sortie est l'intersection des ensembles des deux branches.
• Pour une boucle while, l'ensemble des variables initialisées est calculé comme un point fixe garantissant l'initialisation dans toutes les exécutions.

💡 À retenir

L'analyse en avant permet de vérifier que toutes les variables sont initialisées avant utilisation, tandis que l'analyse en arrière identifie celles qui le sont, garantissant la sécurité en Java.

📖 3. Analyse avancée DCE avec graphes de contrôle de flux (CFG) et itérations

🔑 Notions clés & Définitions

• Syntaxe CFG pour DCE : La syntaxe d’un CFG (Control Flow Graph) pour la DCE (Élimination de Code Mort) est composée d’un corps de programme F défini par une séquence de points de contrôle pc assignés à des blocs ou des branches, avec des branches conditionnelles ou inconditionnelles. La structure Corps F inclut une instruction initiale pc:=PC1 suivie d’une répétition d’assumptions, de blocs Kk et de branches Bk. La branche B peut être un retour, une affectation simple pc:=p, ou une branche conditionnelle pc:=(C ? p1 : p2).

• État abstrait A : C’est une fonction qui, pour chaque point de contrôle PCk, associe soit à un ensemble L (live-in), soit à une structure G(p') représentant un goto vers un autre point de contrôle p'. La notation G*A désigne la fermeture transitive de cette association, formant une structure union-find permettant de suivre la connectivité et les cycles. La fonction LA(p) désigne l’ensemble effectif des variables live-in à p, qui est vide si un cycle sur soi-même est détecté.

• Règle branchement conditionnel : Lorsqu’un branchement conditionnel pc:=(C?p1:p2) est analysé, si LA(p1) et LA(p2) sont égaux et que la condition C est morte (inutilisable), alors le test est considéré comme inutile. La branche peut alors être simplifiée en une affectation directe pc:=p1. Sinon, l’ensemble a des live-in effectifs est la réunion de LA(p1), LA(p2) et des variables de la condition C.

• Itération : La méthode consiste à initialiser l’état abstrait A avec tous les points de contrôle mappés à l’ensemble vide {PCk ↦ ∅}. Ensuite, on remonte en ordre inverse à travers le CFG, en appliquant la mise à jour des états jusqu’à atteindre une stabilité, c’est-à-dire un point fixe où aucune modification supplémentaire n’est possible. Cette procédure permet de calculer précisément les ensembles LA(p).

📝 Points essentiels

• Le programme est modélisé par un CFG comprenant des points de contrôle (PC) et des branches conditionnelles ou non. L’état abstrait A associe à chaque PC soit un ensemble L (live-in) soit un goto G(p') vers un autre PC, formant une structure union-find pour gérer la connectivité. La fermeture transitive G*A permet de détecter les cycles dans le CFG, ce qui est essentiel pour l’analyse. La fonction LA(p) représente l’ensemble effectif des variables live-in à un point p, qui est vide si un cycle sur soi-même est identifié. Lorsqu’un branchement conditionnel est analysé, si LA(p1) et LA(p2) sont égaux et que la condition est morte, le test est inutile et peut être simplifié en une affectation directe. L’itération commence avec un état initial vide et remonte en ordre inverse, en appliquant la mise à jour jusqu’à stabilité, permettant de déterminer avec précision les live-in effectifs.

💡 À retenir

L’utilisation combinée des graphes de contrôle de flux et des structures abstraites permet d’affiner l’analyse de la liveness et d’optimiser l’élimination de code mort, en dépassant les simples analyses linéaires. La méthode itérative et la gestion des cycles sont essentielles pour une analyse précise et efficace.

📖 4. Interprétation abstraite du domaine des pointeurs et gestion des assertions nullité

🔑 Notions clés & Définitions

• Ensures \result : Une clause ACSL spécifiant la postcondition d'une fonction, décrivant la valeur de retour attendue et les propriétés associées après l'exécution.

📝 Points essentiels

• Le déréférencement d'un pointeur est vert si non NULL certain, rouge si NULL certain, orange sinon (fausse alarme possible).
• Les assertions p != NULL et p == NULL croisent l'état avec des valeurs précises modifiant le domaine abstrait, pouvant conduire à un état mort en cas de contradiction.
• L'assertion p == q impose que les valeurs nullité de p et q soient compatibles, en intersectant leurs couples (Z, N), sans garantir qu'ils pointent vers la même adresse.
• Assert p != NULL :*
• Surappproximation : on ne sait pas si p et q pointent vers la même adresse, seulement qu'ils ont des valeurs nullité compatibles.

💡 À retenir

L'interprétation abstraite modélise la nullité des pointeurs pour détecter les erreurs de déréférencement et gérer les assertions de manière sûre.

📖 5. Preuve de programmes avec WP et spécifications ACSL en C

🔑 Notions clés & Définitions

• De boucle : ** En sortie de while (C), croiser l'invariant avec ¬C pour raffiner l'état.
• Plus forte postcondition : Condition la plus précise exprimant tous les résultats possibles et leurs conséquences sur l'état mémoire après l'exécution du programme.

📝 Points essentiels

• Les spécifications ACSL utilisent requires pour les préconditions, ensures pour les postconditions, et assigns pour indiquer les variables modifiées.
• L'invariant de boucle doit être vrai à l'entrée, conservé par le corps de la boucle, et permettre de prouver la postcondition à la sortie.
• L'invariant qui permet de prouver ça : i ≤ b - a et i ≤ 31 en combinaison avec la condition de sortie de boucle.
• Q2 — Invariant de boucle :*

💡 À retenir

Les spécifications ACSL utilisent requires pour les préconditions, ensures pour les postconditions, et assigns pour indiquer les variables modifiées.

📖 6. Vulnérabilités classiques en C : débordements, comportements indéfinis et corrections

🔑 Notions clés & Définitions

• Débordements : Phénomènes où une opération arithmétique dépasse la capacité maximale d'un type de donnée, entraînant des comportements indéfinis ou des erreurs mémoire.
• Wextra -Werror : Options de compilation qui activent des avertissements supplémentaires et transforment tous les avertissements en erreurs, renforçant ainsi la rigueur du code.
• Return NULL : Pratique consistant à retourner NULL pour signaler un échec d'allocation mémoire ou une condition d'erreur, évitant ainsi des comportements indéfinis.

📝 Points essentiels

• Le mélange de types signés et non signés peut provoquer des conversions inattendues, menant à des boucles quasi-infinies ou des erreurs de segmentation.
• Le compilateur peut supprimer des tests de sécurité si un overflow signé est possible, car l'overflow signé est un comportement indéfini.
• L'utilisation de size_t pour les tailles et de tests explicites sur les limites permet d'éviter les débordements et erreurs d'allocation.
• Les options de compilation telles que -Wall -Wextra -Werror, -fstack-protector, -ftrapv et -fno-strict-overflow renforcent la détection et la prévention des vulnérabilités liées aux débordements.
• Mélange signé/non-signé :*

💡 À retenir

Identifier les causes classiques de comportements indéfinis en C, notamment les débordements, et appliquer des pratiques de codage rigoureuses ainsi que des options de compilation adaptées pour prévenir les vulnérabilités.

📖 7. Principales injections (commande, SQL, XSS, SMTP, path traversal) et leurs protections

🔑 Notions clés & Définitions

• Injection de commande : Vulnérabilité permettant l'exécution de commandes arbitraires via des entrées non filtrées, corrigée par l'utilisation d'une liste blanche ou d'appels système sécurisés sans interpréteur shell.
• Injection SQL : Vulnérabilité qui modifie une requête SQL en injectant du code malveillant, corrigée par l'utilisation de requêtes préparées ou l'échappement des entrées.
• Injection SMTP : Vulnérabilité permettant d'ajouter des en-têtes non désirés dans un message en insérant des sauts de ligne dans les champs, corrigée par une validation stricte des formats et l'échappement des sauts de ligne.
• Path traversal : Vulnérabilité permettant d'accéder à des fichiers en dehors du répertoire prévu en utilisant des chemins relatifs ou absolus malveillants, corrigée par la normalisation et la vérification que les chemins restent dans le répertoire autorisé.

📝 Points essentiels

• Le XSS injecte du code JavaScript dans les pages web, contournant souvent les filtres naïfs, corrigé par htmlspecialchars() et strip_tags().
• Le path traversal permet d'accéder à des fichiers hors du répertoire prévu, corrigé par la normalisation et la vérification des chemins.

💡 À retenir

Reconnaître les vecteurs d'injection classiques et appliquer des techniques robustes de validation et d'échappement pour sécuriser les entrées utilisateur.

📖 8. Attaques par débordement de buffer et protections de la pile (canari, ASLR, DEP, shadow stack)

🔑 Notions clés & Définitions

• Shadow stack : Mécanisme de sécurité qui conserve une copie séparée et protégée des adresses de retour, vérifiée à chaque retour de fonction pour détecter toute modification malveillante.
• Adresse de retour : // saute l'instruction x
• DEP/NX (Data Execution Prevention) : Mécanisme de protection qui rend certaines zones de la mémoire non exécutables, empêchant ainsi l'exécution directe de code injecté dans ces zones, comme la pile.

📝 Points essentiels

• Un débordement de buffer sur la pile permet d'écraser l'adresse de retour et de rediriger l'exécution vers un shellcode.
• ASLR randomise les adresses mémoire pour empêcher la prédiction des emplacements d'injection.
• DEP rend la mémoire non exécutable, empêchant l'exécution directe de shellcode sur la pile.
• Le shadow stack conserve une copie protégée des adresses de retour pour détecter les modifications malveillantes.
• Exercice winloose.c (buffer overflow) : Compilé avec -fno-stack-protector → pas de canari. En donnant des entrées bien choisies on peut écraser l'adresse de retour et rediriger l'exécution. Avec -fstack-protector → le programme détecte la corruption et appelle __stack_chk_fail().

💡 À retenir

Un débordement de buffer sur la pile permet d'écraser l'adresse de retour et de rediriger l'exécution vers un shellcode.

📖 9. Use-after-free, variables non initialisées et principe de moindre privilège

🔑 Notions clés & Définitions

• Use-after-free : Après free(p1), un malloc suivant réutilise la même zone. En contrôlant l'entrée du second malloc on contrôle le pointeur de fonction appelé via p1.
• Limite : Couleurs : vert = garanti sûr, orange = alarme possible (fausse alarme), rouge
• Except OSError : Un bloc d'exception en Python qui capture les erreurs liées aux opérations système, où il est essentiel d'abaisser les privilèges dans tous les chemins d'exécution, y compris lors de cette exception.
• Variable non initialisée (uninit) : Une variable locale qui n'a pas été initialisée contient des données résiduelles présentes sur la pile, ce qui peut être exploité par un attaquant pour manipuler le comportement du programme.

📝 Points essentiels

• L'exemple Python illustre l'importance de toujours abaisser les privilèges même en cas d'exception.
• Les protections contre UAF incluent des allocateurs durcis et des outils comme AddressSanitizer.

💡 À retenir

L'exemple Python illustre l'importance de toujours abaisser les privilèges même en cas d'exception.

📖 10. Utilisation des plugins Frama-C EVA et WP pour analyse statique et preuve

🔑 Notions clés & Définitions

• Commande : Les instructions pour lancer les analyses : frama-c -eva fichier.c ou frama-c-gui -eva fichier.c pour le plugin EVA, et frama-c -wp -wp-rte -wp-split fichier.c pour le plugin WP.
• Plugin EVA (interprétation abstraite) : Un plugin de Frama-C qui réalise une analyse statique automatique par interprétation abstraite, détectant des erreurs potentielles avec des alarmes colorées en vert, orange et rouge, mais pouvant produire des fausses alarmes et ne prouvant pas toutes les inégalités symboliques sans constantes.

📝 Points essentiels

• Le plugin EVA détecte les accès hors limites, overflow et NULL dereferencing avec des alarmes vertes, oranges (fausse alarme possible) et rouges.
• Le plugin WP produit des obligations de preuve déductive, avec des couleurs bleu (en attente), vert (prouvé) et orange (échec).
• L'option -wp-rte insère automatiquement les assertions d'absence de RTE, et -wp-split découpe les obligations pour localiser précisément les échecs.
• EVA est plus automatique mais peut produire des fausses alarmes, WP nécessite des annotations manuelles comme invariants.

💡 À retenir

Exploiter les forces complémentaires d'EVA et WP dans Frama-C permet une analyse statique robuste et une preuve formelle des programmes C.

📖 11. Points clés pour l'examen 2025 : exercices types, pièges fréquents et bonnes pratiques

🔑 Notions clés & Définitions

• Types avec nullabilité : Un système de types qui distingue explicitement les valeurs pouvant être nulles des valeurs non nulles, permettant une vérification statique renforcée pour éviter les erreurs liées aux références nulles.

📝 Points essentiels

• L'examen comporte trois exercices : preuve ACSL/WP, analyse de pointeurs (Z,N), et vulnérabilités buffer overflow.
• Ne pas oublier d'utiliser la condition de sortie de boucle pour raffiner l'état après un while.
• Le canari protège la pile mais pas le tas (heap overflow).
• fgets retourne NULL en cas d'erreur ou de fin de fichier, ce qui doit être vérifié pour éviter des attaques.
• Le compilateur avec -O2 peut supprimer des gardes de sécurité si un overflow signé est possible (UB).

💡 À retenir

Anticiper les pièges classiques et maîtriser les bonnes pratiques pour réussir efficacement l'examen 2025 en sécurité et preuve de programmes.

📖 12. TP sécurité C et WP Frama-C : exercices pratiques et méthodologie

🔑 Notions clés & Définitions

• Relancer jusqu'à tout vert : Une méthode itérative consistant à exécuter plusieurs cycles d'annotation, de vérification et de correction dans Frama-C WP jusqu'à ce que toutes les obligations de preuve soient validées sans échec.

📝 Points essentiels

• Le workflow WP consiste à compiler avec warnings, lancer Frama-C avec -wp -wp-rte -wp-split, identifier les obligations orange, ajouter invariants et relancer.
• L'invariant de boucle doit être vrai à l'entrée, conservé par le corps, et utile pour prouver la postcondition.
• Les exercices pratiques incluent la correction d'overflows, gestion des erreurs fgets, et vérification des préconditions pour éviter les RTE.
• L'invariant I doit être vrai à l'entrée

💡 À retenir

La sûreté des programmes C avec Frama-C WP s'obtient par une démarche rigoureuse et itérative d'annotation, vérification et correction jusqu'à la validation complète des preuves.

🧩 Compléments de couverture

1. Détail source à réviser : Tout ce qu'il faut savoir — ACSS ISI 2ème année --- ## PARTIE 1 — ANALYSE DE LIVENESS ET DCE ### Principe général L'analyse se fait en arrière. Une variable est live à un point si sa valeur peut influencer une ob (Source: "Tout ce qu'il faut savoir — ACSS ISI 2ème année --- ## PARTIE 1 — ANALYSE DE LIVENESS ET DCE ### Principe général L'analyse se fait en arrière. Une variable est live à un point si sa valeur peut influencer une observation future (obs). ### Règles formelles Affectation x := T : - Si x ∈ Lo : L = (Lo \ {x}) ∪ vars(T) → affectation utile -")
2. Détail source à réviser : Affectation x := T : - Si x ∈ Lo : L = (Lo \ {x}) ∪ vars(T) → affectation utile - Si x ∉ Lo : L = Lo → affectation morte, on peut la supprimer If if C then S1 else S2 : Calculer L1 (live-in S1) et (Source: "Affectation x := T : - Si x ∈ Lo : L = (Lo \ {x}) ∪ vars(T) → affectation utile - Si x ∉ Lo : L = Lo → affectation morte, on peut la supprimer If if C then S1 else S2 : Calculer L1 (live-in S1) et L2 (live-in S2), puis L = L1 ∪ L2 ∪ vars(C) While : Invariant = point fixe par itérations. Avec ∇ = ⊔ sur treillis fini :")
3. Détail source à réviser : fini : Linv = Lo ∪ vars(C) ∪ live-in(corps avec Linv en sortie) On itère jusqu'à stabilité. Obs : ♡{L} obs(T) {Lo} → L = Lo ∪ vars(T) Sortie de boucle : En sortie de while (C), croiser l'invariant avec ¬ _(Source: "fini : Linv = Lo ∪ vars(C) ∪ live-in(corps avec Linv en sortie)On itère jusqu'à stabilité. **Obs :**♡{L} obs(T) {Lo}→L = Lo ∪ vars(T)**Sortie de boucle :** En sortie dewhile (C), croiser l'invariant avec ¬Cpour raffiner l'état. ### DCE — Dead Code Elimination Une affectationx := Test inutile six ∉ L_out` après elle. On la supprime.")_
4. Détail source à réviser : Un test if C then ε else ε est inutile une fois les deux branches vides. ### Exemple Figure 1 (exo 1 TD7) Seul obs(s) ligne 19. Affectations mortes : x=d+65, y=d+66, i=y, z=d+67, le bloc if(y>0) z+=68, et _(Source: "Un testif C then ε else εest inutile une fois les deux branches vides. ### Exemple Figure 1 (exo 1 TD7) Seulobs(s)ligne 19. Affectations mortes :x=d+65, y=d+66, i=y, z=d+67, le bloc if(y>0) z+=68, et a=b+s` ligne 18. --- ## PARTIE 2 — ANALYSE D'INITIALISATION JAVA ### Problème Java interdit l'utilisation de variables locales non")_
5. Détail source à réviser : non initialisées. Le problème est indécidable → sur-approximation conservative. ### Astuce de Tournesol (analyse en arrière) Ajouter un obs(T) implicite avant chaque affectation x := T. Les variables **bien initialis (Source: "non initialisées. Le problème est indécidable → sur-approximation conservative. ### Astuce de Tournesol (analyse en arrière) Ajouter un obs(T) implicite avant chaque affectation x := T. Les variables bien initialisées = celles qui ne sont pas live-in à l'entrée de la fonction. ### Analyse en avant (préférable pour messages d'erreur) - `⟨Li⟩")
6. Détail source à réviser : ⟨Li⟩ x:=T ⟨Lo⟩ : si vars(T) ⊆ Li alors Lo = Li ∪ {x}, sinon erreur - ⟨Li⟩ if C ⟨Lo⟩ : Lo = Li1 ∩ Li2 (intersection car on ne sait pas quelle branche) - ⟨Li⟩ while ⟨Lo⟩ : point fixe ; variables initialisées = (Source: "⟨Li⟩ x:=T ⟨Lo⟩ : si vars(T) ⊆ Li alors Lo = Li ∪ {x}, sinon erreur - ⟨Li⟩ if C ⟨Lo⟩ : Lo = Li1 ∩ Li2 (intersection car on ne sait pas quelle branche) - ⟨Li⟩ while ⟨Lo⟩ : point fixe ; variables initialisées = garanties dans toutes les exécutions --- ## PARTIE 3 — DCE AVANCÉ AVEC CFG ### Syntaxe CFG ``` Corps F ::= pc:=PC1; (⋃k assume(pc=PCk);")
7. Détail source à réviser : Kk; Bk)* Branchement B ::= return | pc:=p | pc:=(C ? p1 : p2) ### État abstrait A - A associe chaque `PCk` soit à `L` (live-in), soit à `G(p')` (= goto p', bloc vide) - `G*A` = fermeture transitive = structure union- _(Source: "Kk; Bk)* Branchement B ::= return | pc:=p | pc:=(C ? p1 : p2) ### État abstrait A - A associe chaque PCk soit à L (live-in), soit à G(p') (= goto p', bloc vide) - G*A = fermeture transitive = structure union-find - LA(p) = live-in effectif (∅ si cycle sur soi-même) ### Règle branchement conditionnel r⟨a⟩ pc:=(C?p1:p2) ⟨A⟩ - Si `LA(p1)")_
8. Détail source à réviser : LA(p1) = LA(p2) et C est morte → test inutile, on simplifie en pc:=p1 - Sinon : a = LA(p1) ∪ LA(p2) ∪ vars(C) ### Itération Partir de A = {PCk ↦ ∅}, itérer en ordre inverse jusqu'à stabilité. --- ## PARTIE 4 — IN (Source: "LA(p1) = LA(p2) et C est morte → test inutile, on simplifie en pc:=p1 - Sinon : a = LA(p1) ∪ LA(p2) ∪ vars(C) ### Itération Partir de A = {PCk ↦ ∅}, itérer en ordre inverse jusqu'à stabilité. --- ## PARTIE 4 — INTERPRÉTATION ABSTRAITE : DOMAINE DES POINTEURS ### Représentation Chaque pointeur p est associé à un couple (Z, N) : - Z = F → p ≠")
9. Détail source à réviser : → p ≠ NULL certain - N = F → p = NULL certain - (T, T) → on ne sait rien - (F, F) → ⊥ (état mort, impossible) ### Règles Déréférencement *p : - Z = F (p ≠ NULL certain) → vert - N = F (p = NULL certain) → rou (Source: "→ p ≠ NULL certain - N = F → p = NULL certain - (T, T) → on ne sait rien - (F, F) → ⊥ (état mort, impossible) ### Règles Déréférencement *p : - Z = F (p ≠ NULL certain) → vert - N = F (p = NULL certain) → rouge - (T, T) → orange (fausse alarme possible) Assert p != NULL : Croiser avec {p ↦ (F, T)} : (Z ∧ F, N ∨ T) = (F, T) si l'état")
10. Détail source à réviser : n'est pas déjà ⊥. Si N = F (p certainement NULL) avant l'assert → alarme rouge → état devient ⊥ = (F, F). Assert p == NULL : Croiser avec {p ↦ (T, F)}. Assert p == q (examen 2025) : - Après l'assert, p et q (Source: "n'est pas déjà ⊥. Si N = F (p certainement NULL) avant l'assert → alarme rouge → état devient ⊥ = (F, F). Assert p == NULL : Croiser avec {p ↦ (T, F)}. Assert p == q (examen 2025) : - Après l'assert, p et q doivent être compatibles. - On intersecte : Z_résultat = Z1 ∧ Z2, N_résultat = N1 ∧ N2 - Surappproximation : on ne sait pas si p")
11. Détail source à réviser : pas si p et q pointent vers la même adresse, seulement qu'ils ont des valeurs nullité compatibles. Jointure ⊔ (pour les boucles) : (Z1, N1) ⊔ (Z2, N2) = (Z1 ∨ Z2, N1 ∨ N2) — T domine. ⊥ est absorbant : toute op (Source: "pas si p et q pointent vers la même adresse, seulement qu'ils ont des valeurs nullité compatibles. Jointure ⊔ (pour les boucles) : (Z1, N1) ⊔ (Z2, N2) = (Z1 ∨ Z2, N1 ∨ N2) — T domine. ⊥ est absorbant : toute opération sur ⊥ donne ⊥. ### Invariant de boucle (exo Q3 TD5) On itère jusqu'au point fixe. En 4 itérations dans l'exemple : `o1 = o2 = o3 =")
12. Détail source à réviser : = o3 = (T,T), p = (F,T), o4 = (T,F). En sortie de boucle, la condition ¬(o1 == o4)raffine :o4 = (T,F)(NULL certain) donco1 ≠ o4impliqueo1 ≠ NULL→o1 = (F,T) → assert vert. --- ## PARTIE 5 — PREUVE D _(Source: "= o3 = (T,T), p = (F,T), o4 = (T,F). En sortie de boucle, la condition ¬(o1 == o4) raffine : o4 = (T,F) (NULL certain) donc o1 ≠ o4 implique o1 ≠ NULL → o1 = (F,T) → assert vert. --- ## PARTIE 5 — PREUVE DE PROGRAMMES AVEC WP / ACSL (Frama-C) ### Syntaxe ACSL de base ```c /*@ requires P; // précondition ensures Q; // postcondition assigns x,")_
13. Détail source à réviser : x, t[..]; // variables modifiées (tout le reste est inchangé) / /@ loop invariant I; loop assigns x, t[..]; loop variant V; // pour la terminaison (décroît à chaque tour) */ ### Clause assigns `assigns local[0..31] _(Source: "x, t[..]; // variables modifiées (tout le reste est inchangé) */ /*@ loop invariant I; loop assigns x, t[..]; loop variant V; // pour la terminaison (décroît à chaque tour) */ ### Clause assigns assigns local[0..31] signifie : seuls local[0] à local[31] peuvent être modifiés, tout le reste est inchangé. Si rien n'est modifié : `assigns")_
14. Détail source à réviser : \nothing. ### Exemple examen 2025 — fonction local_copy ```c char apdu[126]; char local[32]; /*@ requires ...; assigns local[0..31]; */ int local_copy(char a, char b) { char i = 0; /*@ loop assigns i, local[0..31]; @* _(Source: "\nothing. ### Exemple examen 2025 — fonction local_copy ```c char apdu[126]; char local[32]; /@ requires ...; assigns local[0..31]; / int local_copy(char a, char b) { char i = 0; /@ loop assigns i, local[0..31]; @/ while (i + a <= b) { if (apdu[i+a] == '\0') { memset(local, '\0', 32); return(0); } local[i] = apdu[a+i]; i++; } local[i] = 0;")_
15. Détail source à réviser : return(1); } **Q1 — Vérifications absence de RTE sur les accès mémoire :** - Ligne 10 : `i + a` ne déborde pas (pas demandé ici) - Ligne 11 : `apdu[i+a]` → vérifier `0 ≤ i+a ≤ 125` - Ligne 13 : `local[i]` → vérifier _(Source: "return(1); } Q1 — Vérifications absence de RTE sur les accès mémoire : - Ligne 10 : i + a ne déborde pas (pas demandé ici) - Ligne 11 : apdu[i+a] → vérifier 0 ≤ i+a ≤ 125 - Ligne 13 : local[i] → vérifier 0 ≤ i ≤ 31 - Ligne 16 : local[i] → vérifier 0 ≤ i ≤ 31 Précondition à renforcer : ```c requires 0 <= a && 0 <= b && b <= 125 &&")_
16. Détail source à réviser : 125 && a <= b && (b - a) <= 31; Ainsi `i` varie de 0 à `b-a ≤ 31`, donc `i+a ≤ b ≤ 125` et `i ≤ 31`. **Q2 — Invariant de boucle :**c loop invariant 0 <= i && i <= b - a + 1 && i <= 31; loop invariant a + i <= 126 (Source: "125 && a <= b && (b - a) <= 31; Ainsi `i` varie de 0 à `b-a ≤ 31`, donc `i+a ≤ b ≤ 125` et `i ≤ 31`. **Q2 — Invariant de boucle :**c loop invariant 0 <= i && i <= b - a + 1 && i <= 31; loop invariant a + i <= 126; ``` Justification WP du while : l'invariant I doit vérifier : 1. I est vrai à l'entrée (i=0, trivial si précondition ok) 2. `{I ∧ C}")
17. Détail source à réviser : ∧ C} corps {I}(conservation) 3.{I ∧ ¬C} implique la propriété voulue en sortie **Q3 — Plus forte postcondition :** ```c ensures \result == 0 || \result == 1; ensures \result == 0 ==> \forall int k; 0 <= k < 32 ==> l _(Source: "∧ C} corps {I} (conservation) 3. {I ∧ ¬C} implique la propriété voulue en sortie Q3 — Plus forte postcondition : c ensures \result == 0 || \result == 1; ensures \result == 0 ==> \forall int k; 0 <= k < 32 ==> local[k] == '\0'; ensures \result == 1 ==> local[b-a+1] == '\0'; L'invariant qui permet de prouver ça : i ≤ b - a et i ≤ 31 en")_
18. Détail source à réviser : en combinaison avec la condition de sortie de boucle. --- ## PARTIE 6 — VULNÉRABILITÉS C : UB ET DÉBORDEMENTS ### Les UB classiques Mélange signé/non-signé : Comparer int et unsigned int → conversion vers non-sig (Source: "en combinaison avec la condition de sortie de boucle. --- ## PARTIE 6 — VULNÉRABILITÉS C : UB ET DÉBORDEMENTS ### Les UB classiques Mélange signé/non-signé : Comparer int et unsigned int → conversion vers non-signé. Si size = -1 → devient INT_MAX en non-signé → boucle quasi-infinie → segfault. malloc(0) : Comportement non défini. Retourne")
19. Détail source à réviser : souvent une adresse non NULL vers une zone de taille 0. Un capacity = 0 non testé peut y mener. Integer overflow unsigned (wrap-around) : sizeof(double) * capacity peut déborder sur 32 bits si capacity ≥ 2^29 → m (Source: "souvent une adresse non NULL vers une zone de taille 0. Un capacity = 0 non testé peut y mener. Integer overflow unsigned (wrap-around) : sizeof(double) * capacity peut déborder sur 32 bits si capacity ≥ 2^29 → malloc alloue trop peu → écriture hors buffer. Suppression de test par le compilateur : Si offset et len sont des signed int,")
20. Détail source à réviser : int, le compilateur peut supprimer (offset + len < 0)car l'overflow signé est un UB → il suppose que ça n'arrive jamais → garde de sécurité effacée silencieusement avec-O2. ### Correction avec size_t ```c #include _(Source: "int, le compilateur peut supprimer (offset + len < 0) car l'overflow signé est un UB → il suppose que ça n'arrive jamais → garde de sécurité effacée silencieusement avec -O2. ### Correction avec size_t ```c #include <stdint.h> double *bufInit(size_t capacity, size_t size, double v) { if (capacity > SIZE_MAX / sizeof(double)) return NULL; if (size >")_
21. Détail source à réviser : (size > capacity) return NULL; double *dst = (double *) malloc(sizeof(double) * capacity); if (dst == NULL) return NULL; for (size_t i = 0; i < size; i++) { dst[i] = v; } return dst; } ### Options de compilation impo _(Source: "(size > capacity) return NULL; double *dst = (double *) malloc(sizeof(double) * capacity); if (dst == NULL) return NULL; for (size_t i = 0; i < size; i++) { dst[i] = v; } return dst; } ### Options de compilation importantes - -Wall -Wextra -Werror : tous les warnings deviennent des erreurs - -fstack-protector : canari sur la pile - -ftrapv :")_
22. Détail source à réviser : : exception sur overflow d'entiers signés - -fno-strict-overflow : désactive l'hypothèse "pas d'overflow signé" (le compilateur ne supprime plus les gardes) - -Wconversion : conversions implicites dangereuses - -O1 (Source: ": exception sur overflow d'entiers signés - -fno-strict-overflow : désactive l'hypothèse "pas d'overflow signé" (le compilateur ne supprime plus les gardes) - -Wconversion : conversions implicites dangereuses - -O1 minimum pour des analyses plus fines - Ligne minimale ANSSI : gcc -O1 -Wall -Wextra -Wpedantic -Werror -std=c99 --- ## PARTIE 7 —")
23. Détail source à réviser : — INJECTIONS ### Injection de commande php $command = 'ls -l /home/' . $userName; system($command); // Entrée: ";rm -rf /" → exécute rm -rf / Fix : liste blanche (regex ^[a-z0-9_-]{3,15}$), utiliser mkdir() _(Source: "— INJECTIONS ### Injection de commande ```php $command = 'ls -l /home/' . $userName; system($command); // Entrée: ";rm -rf /" → exécute rm -rf / ``` **Fix :** liste blanche (regex ^[a-z0-9_-]{3,15}$), utiliser mkdir()au lieu desystem("mkdir..."), ou spawn()` avec tableau d'arguments (pas de shell interpréteur). ### Injection SQL Entrée")_
24. Détail source à réviser : → neutralise le WHERE → connexion sans mot de passe. Fix : requêtes préparées, mysqli_real_escape_string(). ### XSS Injecter <script>alert(document.cookie)</script> dans un champ affiché. %3Cscript%3E contourne (Source: "→ neutralise le WHERE → connexion sans mot de passe. Fix : requêtes préparées, mysqli_real_escape_string(). ### XSS Injecter <script>alert(document.cookie)</script> dans un champ affiché. %3Cscript%3E contourne les filtres naïfs. <scr<script>ipt> contourne les filtres récursifs naïfs. Fix : htmlspecialchars(), strip_tags().")
25. Détail source à réviser : Toujours utiliser des fonctions éprouvées. ### Injection SMTP Injecter %0d%0a (saut de ligne) dans additional_headers → ajouter Bcc: → spam massif. Fix : valider le format (regex email stricte), échapper les sa (Source: "Toujours utiliser des fonctions éprouvées. ### Injection SMTP Injecter %0d%0a (saut de ligne) dans additional_headers → ajouter Bcc: → spam massif. Fix : valider le format (regex email stricte), échapper les sauts de ligne. ### Path traversal Entrée ../../etc/passwd dans un chemin de fichier → accès à des fichiers hors du répertoire prévu.")
26. Détail source à réviser : prévu. Fix : normaliser les chemins, vérifier qu'ils restent dans le répertoire autorisé. --- ## PARTIE 8 — BUFFER OVERFLOW ET ATTAQUES DE LA PILE ### Principe Écrire au-delà d'un buffer sur la pile permet d'écraser (Source: "prévu. Fix : normaliser les chemins, vérifier qu'ils restent dans le répertoire autorisé. --- ## PARTIE 8 — BUFFER OVERFLOW ET ATTAQUES DE LA PILE ### Principe Écrire au-delà d'un buffer sur la pile permet d'écraser l'adresse de retour → rediriger l'exécution vers un shellcode. ### Structure de la pile (64 bits) ``` Adresses croissantes vers le bas :")
27. Détail source à réviser : bas : [variables locales / buffers] [ancien rbp] [@retour] ← cible de l'attaque [paramètres] ### Shellcode Suite d'octets qui exécute `execve("/bin/sh", ...)` avec les droits courants. Compilé avec `-z execstack` (pi _(Source: "bas : [variables locales / buffers] [ancien rbp] [@retour] ← cible de l'attaque [paramètres] ### Shellcode Suite d'octets qui exécute execve("/bin/sh", ...) avec les droits courants. Compilé avec -z execstack (pile exécutable). ### Modification du flot (exemple TD) c ret = buffer + 6; (*ret) = *ret + 8; // saute l'instruction x=1 On écrit")_
28. Détail source à réviser : écrit directement l'adresse de retour depuis le buffer pour sauter une instruction. ### Les 4 protections (à connaître pour l'examen) Canari : Valeur aléatoire placée entre le buffer et l'adresse de retour. Vérifiée (Source: "écrit directement l'adresse de retour depuis le buffer pour sauter une instruction. ### Les 4 protections (à connaître pour l'examen) Canari : Valeur aléatoire placée entre le buffer et l'adresse de retour. Vérifiée au retour → arrêt si modifiée. (-fstack-protector). Implémentation : au début de la fonction, copie d'une valeur secrète sur la pile ; à")
29. Détail source à réviser : ; à la fin, vérification ; si modifié → __stack_chk_fail(). ASLR : Randomisation des adresses (pile, tas, code). Deux exécutions n'ont pas la même structure mémoire → l'attaquant ne peut pas deviner l'adresse d'inj (Source: "; à la fin, vérification ; si modifié → __stack_chk_fail(). ASLR : Randomisation des adresses (pile, tas, code). Deux exécutions n'ont pas la même structure mémoire → l'attaquant ne peut pas deviner l'adresse d'injection. DEP / NX (Data Execution Prevention) : Mémoire non exécutable. Contourné par ROP (Return-Oriented Programming) : enchaîner")
30. Détail source à réviser : des gadgets (petites séquences ...;ret) déjà présents dans le binaire. Shadow stack : Copie séparée des adresses de retour dans une zone protégée. Vérifiée à chaque retour → protège aussi contre ROP. **Contre quoi (Source: "des gadgets (petites séquences ...;ret) déjà présents dans le binaire. Shadow stack : Copie séparée des adresses de retour dans une zone protégée. Vérifiée à chaque retour → protège aussi contre ROP. Contre quoi le canari ne protège pas : les heap overflows, les overflows qui sautent par-dessus le canari (écriture non contiguë), et les")
31. Détail source à réviser : les attaques qui lisent le canari avant de l'utiliser. --- ## PARTIE 9 — USE-AFTER-FREE, DOUBLE FREE, MOINDRE PRIVILÈGE ### Use-After-Free c p1 = malloc(...); free(p1); p2 = malloc(...); // réutilise la même zone mémo _(Source: "les attaques qui lisent le canari avant de l'utiliser. --- ## PARTIE 9 — USE-AFTER-FREE, DOUBLE FREE, MOINDRE PRIVILÈGE ### Use-After-Free c p1 = malloc(...); free(p1); p2 = malloc(...); // réutilise la même zone mémoire strcpy(p2, argv[1]); // écrit l'adresse voulue par l'attaquant p1->f(); // appelle la fonction de l'attaquant ``` L'allocateur")_
32. Détail source à réviser : réutilise la zone libérée pour p2. En écrivant dans p2, on contrôle le pointeur de fonction f de p1. Protection : allocateurs durcis, AddressSanitizer. ### Variable non initialisée (uninit) Une variable locale non (Source: "réutilise la zone libérée pour p2. En écrivant dans p2, on contrôle le pointeur de fonction f de p1. Protection : allocateurs durcis, AddressSanitizer. ### Variable non initialisée (uninit) Une variable locale non initialisée contient ce qui était sur la pile avant. Un attaquant peut placer une valeur choisie dans cette zone (via un appel précédent)")
33. Détail source à réviser : → même exploitation que UAF. ### Moindre privilège (CWE-269) N'élever les privilèges que le temps nécessaire. Toujours les abaisser dans tous les chemins, y compris les cas d'erreur. python raisePrivileges() try: _(Source: "→ même exploitation que UAF. ### Moindre privilège (CWE-269) N'élever les privilèges que le temps nécessaire. Toujours les abaisser dans **tous** les chemins, y compris les cas d'erreur. python raisePrivileges() try: os.mkdir(path) os.chmod(path, 0o700) lowerPrivileges() except OSError: lowerPrivileges() # NE PAS OUBLIER return False ``` --- ##")_
34. Détail source à réviser : --- ## PARTIE 10 — FRAMA-C : EVA ET WP ### Plugin EVA (interprétation abstraite) - Commande : frama-c -eva fichier.c ou frama-c-gui -eva fichier.c - Détecte : accès hors-limites, overflow, déréférencement NULL - Coul (Source: "--- ## PARTIE 10 — FRAMA-C : EVA ET WP ### Plugin EVA (interprétation abstraite) - Commande : frama-c -eva fichier.c ou frama-c-gui -eva fichier.c - Détecte : accès hors-limites, overflow, déréférencement NULL - Couleurs : vert = garanti sûr, orange = alarme possible (fausse alarme), rouge = erreur certaine - Limite : ne peut pas prouver les inégalités")
35. Détail source à réviser : symboliques par transitivité sans constantes (ex : i < capacity déduit de i < size et size ≤ capacity avec deux inputs non bornés) ### Plugin WP (preuve déductive) - Commande : frama-c -wp -wp-rte -wp-split fichie _(Source: "symboliques par transitivité sans constantes (ex : i < capacitydéduit dei < sizeetsize ≤ capacityavec deux inputs non bornés) ### Plugin WP (preuve déductive) - Commande :frama-c -wp -wp-rte -wp-split fichier.c--wp-rte: insère automatiquement les assertions d'absence de RTE --wp-split` : découpe les obligations de preuve pour")_
36. Détail source à réviser : pour identifier où le prouveur échoue - Couleurs : bleu = en attente, vert = prouvé, orange = échec de preuve ### Ce que EVA peut détecter sur bufInit Avec size = input() et capacity = input() non bornés → alarme sur (Source: "pour identifier où le prouveur échoue - Couleurs : bleu = en attente, vert = prouvé, orange = échec de preuve ### Ce que EVA peut détecter sur bufInit Avec size = input() et capacity = input() non bornés → alarme sur dst[i] hors-limites. Avec l'une des deux fixée comme constante → 0 alarme si le code est correct. ### Utilité comparée des 3 approches")
37. Détail source à réviser : (question d'examen) (a) Vérification à l'exécution (Java, C avec sanitizers) : - Facile pour le développeur, détecte les erreurs réelles - Ne garantit rien sur les chemins non testés - Overhead à l'exécution **(b) An (Source: "(question d'examen) (a) Vérification à l'exécution (Java, C avec sanitizers) : - Facile pour le développeur, détecte les erreurs réelles - Ne garantit rien sur les chemins non testés - Overhead à l'exécution (b) Analyse statique (Frama-C EVA/WP) : - Couvre tous les chemins d'exécution - Peut produire des fausses alarmes (orange) - WP")
38. Détail source à réviser : nécessite des annotations manuelles (invariants) (c) Système de types avec nullabilité (Kotlin, Rust) : - Garanties à la compilation, zéro overhead - Contraignant pour le développeur (doit annoter les types) - Meille (Source: "nécessite des annotations manuelles (invariants) (c) Système de types avec nullabilité (Kotlin, Rust) : - Garanties à la compilation, zéro overhead - Contraignant pour le développeur (doit annoter les types) - Meilleure assurance car vérifié avant l'exécution Combinaison optimale : types avec nullabilité (Rust/Kotlin) + analyse statique pour les")
39. Détail source à réviser : les cas complexes + vérification à l'exécution en développement (ASan). --- ## PARTIE 11 — TP : CE QU'IL FAUT RETENIR ### TP Sécurité C Exercice optimise.c : Un overflow signé permet au compilateur avec -O2 de supp (Source: "les cas complexes + vérification à l'exécution en développement (ASan). --- ## PARTIE 11 — TP : CE QU'IL FAUT RETENIR ### TP Sécurité C Exercice optimise.c : Un overflow signé permet au compilateur avec -O2 de supprimer une garde de sécurité (le test (offset + len < 0) est supprimé car UB). Sans -O2 le test reste. -fno-strict-overflow force")
40. Détail source à réviser : force le compilateur à conserver les gardes même avec -O2. Exercice winloose.c (buffer overflow) : Compilé avec -fno-stack-protector → pas de canari. En donnant des entrées bien choisies on peut écraser l'adresse (Source: "force le compilateur à conserver les gardes même avec -O2. Exercice winloose.c (buffer overflow) : Compilé avec -fno-stack-protector → pas de canari. En donnant des entrées bien choisies on peut écraser l'adresse de retour et rediriger l'exécution. Avec -fstack-protector → le programme détecte la corruption et appelle __stack_chk_fail().")
41. Détail source à réviser : Exercice bonjour.c (injection PATH) : Le programme appelle un binaire (ex : ls) sans chemin absolu. En ajoutant . au début du PATH et en créant un faux ls dans le répertoire courant, on fait exécuter notre code (Source: "Exercice bonjour.c (injection PATH) : Le programme appelle un binaire (ex : ls) sans chemin absolu. En ajoutant . au début du PATH et en créant un faux ls dans le répertoire courant, on fait exécuter notre code. Exercice uaf.c : Use-after-free : après free(p1), un malloc suivant réutilise la même zone. En contrôlant l'entrée du second")
42. Détail source à réviser : malloc on contrôle le pointeur de fonction appelé via p1. Exercice fgets.c : fgets retourne NULL en cas d'erreur ou en cas de fin de fichier (Ctrl+D). Si on ne teste pas NULL, la comparaison strcmp peut réu (Source: "malloc on contrôle le pointeur de fonction appelé via p1. Exercice fgets.c : fgets retourne NULL en cas d'erreur ou en cas de fin de fichier (Ctrl+D). Si on ne teste pas NULL, la comparaison strcmp peut réussir sur un buffer non rempli (contenant le mot de passe précédent). Fix : tester la valeur de retour de fgets et nettoyer le buffer")
43. Détail source à réviser : buffer avec memset_s ou explicit_bzero. Exercice bufInit.c : Vérification des analyses du TD6. Corriger avec size_t et le test capacity > SIZE_MAX/sizeof(double). ### TP WP Frama-C Workflow : 1. Compiler (Source: "buffer avec memset_s ou explicit_bzero. Exercice bufInit.c : Vérification des analyses du TD6. Corriger avec size_t et le test capacity > SIZE_MAX/sizeof(double). ### TP WP Frama-C Workflow : 1. Compiler avec -Wall pour vérifier la syntaxe 2. Lancer frama-c-gui -wp -wp-rte -wp-split fichier.c 3. Identifier les obligations orange (échec")
44. Détail source à réviser : (échec de preuve) 4. Ajouter invariants de boucle et renforcer préconditions 5. Relancer jusqu'à tout vert Invariant de boucle : méthode Pour une boucle while (C) { corps } avec postcondition Q : - L'invariant I _(Source: "(échec de preuve) 4. Ajouter invariants de boucle et renforcer préconditions 5. Relancer jusqu'à tout vert **Invariant de boucle : méthode** Pour une boucle while (C) { corps }avec postconditionQ: - L'invariantIdoit être vrai à l'entrée -{I ∧ C} corps {I}(conservation) -I ∧ ¬C → Q` (utilité) Variant de boucle : Expression entière qui")_
45. Détail source à réviser : qui décroît strictement à chaque itération et reste ≥ 0 → garantit la terminaison. Ex : b - a - i pour la fonction local_copy. --- ## PARTIE 12 — POINTS CLÉS POUR L'EXAMEN (format 2025) ### Sur la forme de l'examen ( (Source: "qui décroît strictement à chaque itération et reste ≥ 0 → garantit la terminaison. Ex : b - a - i pour la fonction local_copy. --- ## PARTIE 12 — POINTS CLÉS POUR L'EXAMEN (format 2025) ### Sur la forme de l'examen (d'après le sujet Mai 2025) - Exercice 1 (8 pts) : Preuve de programme ACSL/WP → savoir écrire requires, assigns, `loop")
46. Détail source à réviser : justifier les invariants, donner la postcondition - Exercice 2 (6 pts) : Analyse de pointeurs (domaine (Z,N)) → savoir appliquer les règles, étendre à de nouveaux assert, discuter des approches (runtime vs statique v (Source: "justifier les invariants, donner la postcondition - Exercice 2 (6 pts) : Analyse de pointeurs (domaine (Z,N)) → savoir appliquer les règles, étendre à de nouveaux assert, discuter des approches (runtime vs statique vs types) - Exercice 3 (6 pts) : Vulnérabilités → commenter les types de buffer overflow, corriger du code C vulnérable,")
47. Détail source à réviser : expliquer l'intérêt du memset ### Points souvent piégeux - Ne pas oublier d'utiliser la condition de sortie de boucle pour raffiner l'état après un while - Le canari protège la pile mais pas le tas (heap overflow (Source: "expliquer l'intérêt du memset ### Points souvent piégeux - Ne pas oublier d'utiliser la condition de sortie de boucle pour raffiner l'état après un while - Le canari protège la pile mais pas le tas (heap overflow) - fgets retourne NULL sur EOF aussi → vecteur d'attaque si non vérifié - -O2 peut supprimer des gardes de sécurité si")
48. Détail source à réviser : si l'overflow signé est possible (UB) - memset peut être supprimé par le compilateur si la variable n'est plus utilisée ensuite → utiliser memset_s ou explicit_bzero - La surappproximation de l'analyse de pointeurs (Source: "si l'overflow signé est possible (UB) - memset peut être supprimé par le compilateur si la variable n'est plus utilisée ensuite → utiliser memset_s ou explicit_bzero - La surappproximation de l'analyse de pointeurs (Z,N) : assert(p==q) ne prouve pas que p et q pointent vers la même adresse, seulement que leurs valeurs de nullité sont")
49. Détail source à réviser : # Tout ce qu'il faut savoir — ACSS ISI 2ème année --- ## PARTIE 1 — ANALYSE DE LIVENESS ET DCE ### Principe général L'analyse se fait en arrière (Source: "# Tout ce qu'il faut savoir — ACSS ISI 2ème année --- ## PARTIE 1 — ANALYSE DE LIVENESS ET DCE ### Principe général L'analyse se fait en arrière")
50. Détail source à réviser : ### Exemple Figure 1 (exo 1 TD7) Seul obs(s) ligne 19. Affectations mortes : x=d+65, y=d+66, i=y, z=d+67, le bloc if(y>0) z+=68, et a=b+s ligne 18. --- ## PARTIE 2 — ANALYSE D'INITIALISATION JAVA ### Problè (Source: "### Exemple Figure 1 (exo 1 TD7) Seul obs(s) ligne 19. Affectations mortes : x=d+65, y=d+66, i=y, z=d+67, le bloc if(y>0) z+=68, et a=b+s ligne 18. --- ## PARTIE 2 — ANALYSE D'INITIALISATION JAVA ### Problème Java interdit l'utilisation de variables locales non initialisées. Le problème est indécidable → sur-approximation conservative. ### A...")
51. Détail source à réviser : PARTIE 3 — DCE AVANCÉ AVEC CFG ### Syntaxe CFG Corps F ::= pc:=PC1; (⋃k assume(pc=PCk); Kk; Bk)* Branchement B ::= return | pc:=p | pc:=(C ? p1 : p2) ### État abstrait A - A associe chaque PCk soit à L (live- (Source: "PARTIE 3 — DCE AVANCÉ AVEC CFG ### Syntaxe CFG Corps F ::= pc:=PC1; (⋃k assume(pc=PCk); Kk; Bk)* Branchement B ::= return | pc:=p | pc:=(C ? p1 : p2) ### État abstrait A - A associe chaque PCk soit à L (live-in), soit à G(p') (= goto p', bloc vide) - G*A = fermetu")
52. Détail source à réviser : PCksoit àL(live-in), soit àG(p')(= goto p', bloc vide) -GA= fermeture transitive = structure union-find -LA(p)= live-in effectif (∅ si cycle sur soi-même) ### Règle branchement conditionnelr⟨a⟩ pc:=( _(Source: "PCksoit àL(live-in), soit àG(p')(= goto p', bloc vide) -GA= fermeture transitive = structure union-find -LA(p)= live-in effectif (∅ si cycle sur soi-même) ### Règle branchement conditionnelr⟨a⟩ pc:=(C?p1:p2) ⟨A⟩- SiLA(p1) = LA(p2)` et C est morte → test i")_
53. Détail source à réviser : 2025) :** - Après l'assert, p et q doivent être compatibles (Source: "2025) :** - Après l'assert, p et q doivent être compatibles")
54. Détail source à réviser : En 4 itérations dans l'exemple : o1 = o2 = o3 = (T,T), p = (F,T), o4 = (T,F) (Source: "En 4 itérations dans l'exemple : o1 = o2 = o3 = (T,T), p = (F,T), o4 = (T,F)")
55. Détail source à réviser : b) { if (apdu[i+a] == '\0') { memset(local, '\0', 32); return(0); } local[i] = apdu[a+i]; i++; } local[i] = 0; return(1); } **Q1 — Vérifications absence de RTE sur les accès mémoire :** - Ligne 10 : `i + a` ne débord _(Source: "b) { if (apdu[i+a] == '\0') { memset(local, '\0', 32); return(0); } local[i] = apdu[a+i]; i++; } local[i] = 0; return(1); } Q1 — Vérifications absence de RTE sur les accès mémoire : - Ligne 10 : i + a ne déborde pas (pas demandé ici) - Ligne 11 : apdu[i+a] → vérifier 0 ≤ i+a ≤ 125 - Ligne 13 : local[i] → vérifier 0 ≤ i ≤ 31 - Ligne 16 :...")_
56. Détail source à réviser : Q2 — Invariant de boucle : c loop invariant 0 <= i && i <= b - a + 1 && i <= 31; loop invariant a + i <= 126; Justification WP du while : l'invariant I doit vérifier : 1. I est vrai à l'entrée (i=0, trivial si (Source: "Q2 — Invariant de boucle : c loop invariant 0 <= i && i <= b - a + 1 && i <= 31; loop invariant a + i <= 126; Justification WP du while : l'invariant I doit vérifier : 1. I est vrai à l'entrée (i=0, trivial si précondition ok) 2. {I ∧ C} corps {I} (conservation) 3. {I ∧ ¬C} implique la propriété voulue en sortie **Q3 — Plus forte postcondit...")
57. Détail source à réviser : 0. Un capacity = 0 non testé peut y mener (Source: "0. Un capacity = 0 non testé peut y mener")
58. Détail source à réviser : v) { if (capacity > SIZE_MAX / sizeof(double)) return NULL; if (size > capacity) return NULL; double *dst = (double *) malloc(sizeof(double) * capacity); if (dst == NULL) return NULL; for (size_t i = 0; i < size; i++) { (Source: "v) { if (capacity > SIZE_MAX / sizeof(double)) return NULL; if (size > capacity) return NULL; double *dst = (double *) malloc(sizeof(double) * capacity); if (dst == NULL) return NULL; for (size_t i = 0; i < size; i++) { dst[i] = v; } return dst; } ``` ### Options de compilation importantes - -Wall -Wextra -Werror : tous les warnings deviennent des erreu...")
59. Détail source à réviser : exception sur overflow d'entiers signés - -fno-strict-overflow : désactive l'hypothèse "pas d'overflow signé" (le compilateur ne supprime plus les gardes) - -Wconversion : conversions implicites dangereuses - -O1 m (Source: "exception sur overflow d'entiers signés - -fno-strict-overflow : désactive l'hypothèse "pas d'overflow signé" (le compilateur ne supprime plus les gardes) - -Wconversion : conversions implicites dangereuses - -O1 minimum pour des analyses plus fines - Ligne minimal")
60. Détail source à réviser : on de commande php $command = 'ls -l /home/' . $userName; system($command); // Entrée: ";rm -rf /" → exécute rm -rf / Fix : liste blanche (regex ^[a-z0-9_-]{3,15}$), utiliser mkdir() au lieu de system("mk _(Source: "on de commande ```php $command = 'ls -l /home/' . $userName; system($command); // Entrée: ";rm -rf /" → exécute rm -rf / ``` **Fix :** liste blanche (regex ^[a-z0-9_-]{3,15}$), utiliser mkdir()au lieu desystem("mkdir..."), ou spawn()` avec tableau d'ar")_
61. Détail source à réviser : Fix : normaliser les chemins, vérifier qu'ils restent dans le répertoire autorisé (Source: "Fix : normaliser les chemins, vérifier qu'ils restent dans le répertoire autorisé")
62. Détail source à réviser : ### Les 4 protections (à connaître pour l'examen) Canari : Valeur aléatoire placée entre le buffer et l'adresse de retour (Source: "### Les 4 protections (à connaître pour l'examen) Canari : Valeur aléatoire placée entre le buffer et l'adresse de retour")
63. Détail source à réviser : Contre quoi le canari ne protège pas : les heap overflows, les overflows qui sautent par-dessus le canari (écriture non contiguë), et les attaques qui lisent le canari avant de l'utiliser (Source: "Contre quoi le canari ne protège pas : les heap overflows, les overflows qui sautent par-dessus le canari (écriture non contiguë), et les attaques qui lisent le canari avant de l'utiliser")
64. Détail source à réviser : ### Moindre privilège (CWE-269) N'élever les privilèges que le temps nécessaire (Source: "### Moindre privilège (CWE-269) N'élever les privilèges que le temps nécessaire")
65. Détail source à réviser : nde : frama-c -eva fichier.c ou frama-c-gui -eva fichier.c - Détecte : accès hors-limites, overflow, déréférencement NULL - Couleurs : vert = garanti sûr, orange = alarme possible (fausse alarme), rouge = erreur (Source: "nde : frama-c -eva fichier.c ou frama-c-gui -eva fichier.c - Détecte : accès hors-limites, overflow, déréférencement NULL - Couleurs : vert = garanti sûr, orange = alarme possible (fausse alarme), rouge = erreur")
66. Détail source à réviser : ### Utilité comparée des 3 approches (question d'examen) (a) Vérification à l'exécution (Java, C avec sanitizers) : - Facile pour le développeur, détecte les erreurs réelles - Ne garantit rien sur les chemins non tes (Source: "### Utilité comparée des 3 approches (question d'examen) (a) Vérification à l'exécution (Java, C avec sanitizers) : - Facile pour le développeur, détecte les erreurs réelles - Ne garantit rien sur les chemins non testés - Overhead à l'exécution (b) Analyse statique (Frama-C EVA/WP) : - C")
67. Détail source à réviser : --- ## PARTIE 11 — TP : CE QU'IL FAUT RETENIR ### TP Sécurité C **Exercice optimise (Source: "--- ## PARTIE 11 — TP : CE QU'IL FAUT RETENIR ### TP Sécurité C **Exercice optimise")
68. Détail source à réviser : -fno-strict-overflow force le compilateur à conserver les gardes même avec -O2 (Source: "-fno-strict-overflow force le compilateur à conserver les gardes même avec -O2")
69. Détail source à réviser : Fix : tester la valeur de retour de fgets et nettoyer le buffer avec memset_s ou explicit_bzero (Source: "Fix : tester la valeur de retour de fgets et nettoyer le buffer avec memset_s ou explicit_bzero")
70. Détail source à réviser : ### TP WP Frama-C Workflow : 1. Compiler avec -Wall pour vérifier la syntaxe 2. Lancer frama-c-gui -wp -wp-rte -wp-split fichier.c 3. Identifier les obligations orange (échec de preuve) 4. Ajouter invariants de b (Source: "### TP WP Frama-C Workflow : 1. Compiler avec -Wall pour vérifier la syntaxe 2. Lancer frama-c-gui -wp -wp-rte -wp-split fichier.c 3. Identifier les obligations orange (échec de preuve) 4. Ajouter invariants de boucle et renforcer préconditions 5. Relancer jusqu'à tout vert Invariant de boucle : méthode Pour une boucle while (C) { corps } av...")
71. Détail source à réviser : 2025) ### Sur la forme de l'examen (d'après le sujet Mai 2025) - Exercice 1 (8 pts) : Preuve de programme ACSL/WP → savoir écrire requires, assigns, loop invariant, justifier les invariants, donner la postcondi (Source: "2025) ### Sur la forme de l'examen (d'après le sujet Mai 2025) - Exercice 1 (8 pts) : Preuve de programme ACSL/WP → savoir écrire requires, assigns, loop invariant, justifier les invariants, donner la postcondition - Exercice 2 (6 pts) : Analyse de pointeurs (domaine (Z,N)) → savoir appliq")
72. Détail source à réviser : de nullité sont compatibles - L'invariant (F,F) = ⊥ signifie code mort, pas simplement "on ne sait rien" (Source: "de nullité sont compatibles - L'invariant (F,F) = ⊥ signifie code mort, pas simplement "on ne sait rien"")
73. Détail source à réviser : Identifier les obligations orange (échec de preuve) 4. Ajouter invariants de boucle et renforcer préconditions 5. Relancer jusqu'à tout vert Invariant de boucle : méthode Pour une boucle while (C) { corps } avec po (Source: "Identifier les obligations orange (échec de preuve) 4. Ajouter invariants de boucle et renforcer préconditions 5. Relancer jusqu'à tout vert Invariant de boucle : méthode Pour une boucle while (C) { corps } avec postcondition Q : - L'invariant I doit être vrai à l'entrée - {I ∧ C} corps {I} (conservation) - I ∧ ¬C → Q (utilité) **Variant de...")
74. Détail source à réviser : 5. Relancer jusqu'à tout vert Invariant de boucle : méthode Pour une boucle while (C) { corps } avec postcondition Q : - L'invariant I doit être vrai à l'entrée - {I ∧ C} corps {I} (conservation) - I ∧ ¬C → _(Source: "5. Relancer jusqu'à tout vert **Invariant de boucle : méthode** Pour une boucle while (C) { corps }avec postconditionQ: - L'invariantIdoit être vrai à l'entrée -{I ∧ C} corps {I}(conservation) -I ∧ ¬C → Q` (utilité) Variant de boucle : Expression entière qui décroît strictement à chaque itération et reste ≥ 0 → garantit la terminaison")_
75. Détail source à réviser : 1. Compiler avec -Wall pour vérifier la syntaxe 2 (Source: "1. Compiler avec -Wall pour vérifier la syntaxe 2")
76. Détail source à réviser : 19. Affectations mortes : x=d+65, y=d+66, i=y, z=d+67, le bloc if(y>0) z+=68, et a=b+s ligne 18 (Source: "19. Affectations mortes : x=d+65, y=d+66, i=y, z=d+67, le bloc if(y>0) z+=68, et a=b+s ligne 18")
77. Détail source à réviser : a) <= 31; Ainsi `i` varie de 0 à `b-a ≤ 31`, donc `i+a ≤ b ≤ 125` et `i ≤ 31` _(Source: "a) <= 31; Ainsi i varie de 0 à b-a ≤ 31, donc i+a ≤ b ≤ 125 et i ≤ 31")_
78. Détail source à réviser : --- ## PARTIE 12 — POINTS CLÉS POUR L'EXAMEN (format 2025) ### Sur la forme de l'examen (d'après le sujet Mai 2025) - Exercice 1 (8 pts) : Preuve de programme ACSL/WP → savoir écrire requires, assigns, loop inva _(Source: "--- ## PARTIE 12 — POINTS CLÉS POUR L'EXAMEN (format 2025) ### Sur la forme de l'examen (d'après le sujet Mai 2025) - **Exercice 1 (8 pts) :** Preuve de programme ACSL/WP → savoir écrire requires, assigns, loop invariant`, justifier les invariants, donner la postcondition - Exercice 2 (6 pts) : Analyse de pointeurs (domaine (Z,N)) → savoir appliq...")_
79. Détail source à réviser : T) = (F, T) si l'état n'est pas déjà ⊥ _(Source: "T) = (F, T) si l'état n'est pas déjà ⊥")_
80. Détail source à réviser : 1. I est vrai à l'entrée (i=0, trivial si précondition ok) 2 (Source: "1. I est vrai à l'entrée (i=0, trivial si précondition ok) 2")
81. Détail source à réviser : 3. {I ∧ ¬C} implique la propriété voulue en sortie Q3 — Plus forte postcondition : c ensures \result == 0 || \result == 1; ensures \result == 0 ==> \forall int k; 0 <= k < 32 ==> local[k] == '\0'; ensures \resul _(Source: "3. `{I ∧ ¬C}` implique la propriété voulue en sortie **Q3 — Plus forte postcondition :** c ensures \result == 0 || \result == 1; ensures \result == 0 ==> \forall int k; 0 <= k < 32 ==> local[k] == '\0'; ensures \result == 1 ==> local[b-a+1] == '\0'; ``` L'invariant qui permet de prouver ça : i ≤ b - a et i ≤ 31 en combinaison avec la condition de s...")_
82. Détail source à réviser : b) { char i = 0; /@ loop assigns i, local[0 _(Source: "b) { char i = 0; /@ loop assigns i, local[0")_
83. Détail source à réviser : 3. Identifier les obligations orange (échec de preuve) 4 (Source: "3. Identifier les obligations orange (échec de preuve) 4")
84. Détail source à réviser : Assert p == q (examen 2025) : - Après l'assert, p et q doivent être compatibles (Source: "Assert p == q (examen 2025) : - Après l'assert, p et q doivent être compatibles")
85. Détail source à réviser : 2025 — fonction local_copy c char apdu[126]; char local[32]; /*@ requires _(Source: "2025 — fonction `local_copy` c char apdu[126]; char local[32]; /*@ requires")_
86. Détail source à réviser : T) → orange (fausse alarme possible) **Assert p _(Source: "T) → orange (fausse alarme possible) **Assert p")_
87. Détail source à réviser : Fix :** liste blanche (regex ^[a-z0-9_-]{3,15}$), utiliser mkdir() au lieu de system("mkdir..."), ou spawn() avec tableau d'arguments (pas de shell interpréteur). ### Injection SQL Entrée Dupont';-- → neutralis (Source: "Fix :** liste blanche (regex ^[a-z0-9_-]{3,15}$), utiliser mkdir() au lieu de system("mkdir..."), ou spawn() avec tableau d'arguments (pas de shell interpréteur). ### Injection SQL Entrée Dupont';-- → neutralise le WHERE → connexion sans mot de passe")
88. Détail source à réviser : Integer overflow unsigned (wrap-around) : sizeof(double) * capacity peut déborder sur 32 bits si capacity ≥ 2^29 → malloc alloue trop peu → écriture hors buffer (Source: "Integer overflow unsigned (wrap-around) : sizeof(double) * capacity peut déborder sur 32 bits si capacity ≥ 2^29 → malloc alloue trop peu → écriture hors buffer")
89. Détail source à réviser : ### Injection SMTP Injecter %0d%0a (saut de ligne) dans additional_headers → ajouter Bcc: → spam massif (Source: "### Injection SMTP Injecter %0d%0a (saut de ligne) dans additional_headers → ajouter Bcc: → spam massif")
90. Détail source à réviser : Relancer jusqu'à tout vert Invariant de boucle : méthode Pour une boucle while (C) { corps } avec postcondition Q : - L'invariant I doit être vrai à l'entrée - {I ∧ C} corps {I} (conservation) - I ∧ ¬C → Q (Source: "Relancer jusqu'à tout vert Invariant de boucle : méthode Pour une boucle while (C) { corps } avec postcondition Q : - L'invariant I doit être vrai à l'entrée - {I ∧ C} corps {I} (conservation) - I ∧ ¬C → Q (utilité) Variant de boucle : Expression entière qui décroît strictement à chaque itération et reste ≥ 0 → garantit la terminaison")
91. Détail source à réviser : Avec ∇ = ⊔ sur treillis fini : Linv = Lo ∪ vars(C) ∪ live-in(corps avec Linv en sortie) On itère jusqu'à stabilité (Source: "Avec ∇ = ⊔ sur treillis fini : Linv = Lo ∪ vars(C) ∪ live-in(corps avec Linv en sortie) On itère jusqu'à stabilité")
92. Détail source à réviser : Obs : ♡{L} obs(T) {Lo} → L = Lo ∪ vars(T) Sortie de boucle : En sortie de while (C), croiser l'invariant avec ¬C pour raffiner l'état (Source: "Obs : ♡{L} obs(T) {Lo} → L = Lo ∪ vars(T) Sortie de boucle : En sortie de while (C), croiser l'invariant avec ¬C pour raffiner l'état")
93. Détail source à réviser : --- ## PARTIE 2 — ANALYSE D'INITIALISATION JAVA ### Problème Java interdit l'utilisation de variables locales non initialisées (Source: "--- ## PARTIE 2 — ANALYSE D'INITIALISATION JAVA ### Problème Java interdit l'utilisation de variables locales non initialisées")
94. Détail source à réviser : Les variables bien initialisées = celles qui ne sont pas live-in à l'entrée de la fonction (Source: "Les variables bien initialisées = celles qui ne sont pas live-in à l'entrée de la fonction")
95. Détail source à réviser : Si N = F (p certainement NULL) avant l'assert → alarme rouge → état devient ⊥ = (F, F) (Source: "Si N = F (p certainement NULL) avant l'assert → alarme rouge → état devient ⊥ = (F, F)")
96. Détail source à réviser : - On intersecte : Z_résultat = Z1 ∧ Z2, N_résultat = N1 ∧ N2 - Surappproximation : on ne sait pas si p et q pointent vers la même adresse, seulement qu'ils ont des valeurs nullité compatibles (Source: "- On intersecte : Z_résultat = Z1 ∧ Z2, N_résultat = N1 ∧ N2 - Surappproximation : on ne sait pas si p et q pointent vers la même adresse, seulement qu'ils ont des valeurs nullité compatibles")

📊 Tableaux de Synthèse

Analyse de liveness et DCE

Analyse d'initialisation et méthodes

⚠️ Pièges & Confusions Fréquentes

1. Confusion entre variables live et initialisées
2. Supposer à tort qu'une affectation est toujours utile
3. Oublier de croiser l'invariant avec ¬C en sortie de boucle
4. Ne pas considérer les variables non initialisées en Java
5. Confondre nullité et pointeur valide dans l'abstraction
6. Supposer que toutes les branches d'un if sont nécessaires
7. Ignorer la stabilité de l'invariant dans la boucle

✅ Checklist Examen

1. Vérifier que l'invariant de boucle est conservé
2. Confirmer que la postcondition est atteinte après la boucle
3. S'assurer que les variables non initialisées sont détectées
4. Vérifier la suppression des affectations mortes
5. Analyser la nullité des pointeurs avec assertions
6. Utiliser Frama-C WP pour prouver les invariants
7. Vérifier la terminaison avec un variant de boucle
8. Confirmer la modélisation précise de nullité
9. Tester la suppression du code mort dans des exemples
10. Vérifier la cohérence entre analyse en avant et en arrière
11. Utiliser les outils pour détecter les débordements et UAF