Agenda

Soutenance de doctorat de Luis Soeiro : Évaluation de la sécurité des chaı̂nes d’approvisionnement logicielles

Lundi 1er décembre 2025 à 14h00 (heure de Paris) à Télécom Paris

Télécom Paris, 19 place Marguerite Perey F-91120 Palaiseau [y aller], amphi Estaunié et en visioconférence

Titre intégral : Évaluation de la sécurité des chaı̂nes d’approvisionnement logicielles : Software Bill of Materials (SBOM), propagation des menaces et graphes d’attaque logiques

Titre original : Assessing the Security of Software Supply Chains: Software Bill of Materials, Threat Propagation, and Logical Attack Graphs

Jury

  • Nicolas Belloir, Maı̂tre de conférences – HDR, Académie Militaire de Saint-Cyr Coëtquidan, France (Rapporteur)
  • Etienne Borde, Maı̂tre de conférences (hors-classe) – HDR, University of Canterbury, Nouvelle-Zélande (Rapporteur)
  • Christelle Urtado, Professeure des universités, Institut Mines Télécom, France (Examinatrice)
  • Joaquin Garcia-Alfaro, Professeur des universités, Télécom SudParis, France (Examinateur)
  • Stefano Zachirolli, Professeur des universités, Télécom Paris, France (Directeur de thèse)
  • Thomas Robert, Maı̂tre de conférences, Télécom Paris, France (Co-directeur de thèse)
  • Ivan Gazeau, Ingénieur Chercheur, EDF R&D, France (Invité)

Résumé

La chaîne d’approvisionnement logicielle (SSC) devient plus complexe et vulnérable avec la diversité croissante des produits logiciels et la difficulté à suivre leurs dépendances. La Software Bill of Materials (SBOM), inventaire des composants, est proposée comme solution à cette complexité. Pourtant, les études complètes sur les pratiques SBOM à partir de fichiers réels manquent. Pour faciliter ces recherches, nous présentons le plus grand jeu de données SBOM à ce jour : plus de 78 000 fichiers uniques dédupliqués à partir de plus de 94 millions de dépôts publics.

Pour exploiter efficacement les SBOM, surtout à grande échelle,
 le secteur a besoin d’outils automatisés fiables. Nous analysons empiriquement des SBOM réels pour évaluer huit outils de pointe destinés à valider et noter leur qualité. Nous définissons des métriques indépendantes pour juger leur adéquation et comparons les résultats des outils à nos mesures. Nos conclusions montrent que la plupart des SBOM ne sont pas prêts à l’emploi et que les outils divergent largement.

Les outils actuels d’Analyse de Composition Logicielle (SCA), arbres et graphes d’attaque ne reflètent pas les interactions affectant la sécurité dans la SSC. Nous proposons une méthode inédite pour estimer le niveau de menace, identifiant les éléments clés qui propagent ou subissent l’attaque. Un ensemble de règles déduit la menace selon la vulnérabilité des composants et des hypothèses sur les attaquants.

MulVal, outil open source de génération de graphes logiques d’attaque, ne traite pas bien la propagation des menaces SSC, le rendant moins efficace contre des attaques récentes comme la compromission XZ ou la double attaque 3CX. Nous présentons une extension MulVal corrigeant cette limite, ajoutant de nouveaux prédicats pour modéliser les interactions SSC, les intégrer aux règles existantes, et incluant 20 scénarios et un cadre de tests.