Back to Search Start Over

Confiance: detecting vulnerabilities in Java Card applets

Authors :
Hélène Le Bouder
Jean-Louis Lanet
Léopold Ouairy
Confidentialité, Intégrité, Disponibilité et Répartition (CIDRE)
CentraleSupélec-Inria Rennes – Bretagne Atlantique
Institut National de Recherche en Informatique et en Automatique (Inria)-Institut National de Recherche en Informatique et en Automatique (Inria)-SYSTÈMES LARGE ÉCHELLE (IRISA-D1)
Institut de Recherche en Informatique et Systèmes Aléatoires (IRISA)
Université de Bretagne Sud (UBS)-Institut National des Sciences Appliquées - Rennes (INSA Rennes)
Institut National des Sciences Appliquées (INSA)-Université de Rennes (UNIV-RENNES)-Institut National des Sciences Appliquées (INSA)-Université de Rennes (UNIV-RENNES)-Institut National de Recherche en Informatique et en Automatique (Inria)-École normale supérieure - Rennes (ENS Rennes)-Centre National de la Recherche Scientifique (CNRS)-Université de Rennes 1 (UR1)
Université de Rennes (UNIV-RENNES)-CentraleSupélec-IMT Atlantique Bretagne-Pays de la Loire (IMT Atlantique)
Institut Mines-Télécom [Paris] (IMT)-Institut Mines-Télécom [Paris] (IMT)-Université de Bretagne Sud (UBS)-Institut National des Sciences Appliquées - Rennes (INSA Rennes)
Institut Mines-Télécom [Paris] (IMT)-Institut Mines-Télécom [Paris] (IMT)-Institut de Recherche en Informatique et Systèmes Aléatoires (IRISA)
Institut National des Sciences Appliquées (INSA)-Université de Rennes (UNIV-RENNES)-Institut National des Sciences Appliquées (INSA)-Université de Rennes (UNIV-RENNES)-École normale supérieure - Rennes (ENS Rennes)-Centre National de la Recherche Scientifique (CNRS)-Université de Rennes 1 (UR1)
Université de Rennes (UNIV-RENNES)-IMT Atlantique Bretagne-Pays de la Loire (IMT Atlantique)
Institut Mines-Télécom [Paris] (IMT)-Institut Mines-Télécom [Paris] (IMT)
Objets communicants pour l'Internet du futur (OCIF)
IMT Atlantique Bretagne-Pays de la Loire (IMT Atlantique)
Institut Mines-Télécom [Paris] (IMT)-Institut Mines-Télécom [Paris] (IMT)-RÉSEAUX, TÉLÉCOMMUNICATION ET SERVICES (IRISA-D2)
Université de Rennes (UNIV-RENNES)-CentraleSupélec
Département Systèmes Réseaux, Cybersécurité et Droit du numérique (IMT Atlantique - SRCD)
Université de Rennes (UR)-Institut National des Sciences Appliquées - Rennes (INSA Rennes)
Institut National des Sciences Appliquées (INSA)-Institut National des Sciences Appliquées (INSA)-Université de Bretagne Sud (UBS)-École normale supérieure - Rennes (ENS Rennes)-Institut National de Recherche en Informatique et en Automatique (Inria)-CentraleSupélec-Centre National de la Recherche Scientifique (CNRS)-IMT Atlantique (IMT Atlantique)
Institut Mines-Télécom [Paris] (IMT)-Institut Mines-Télécom [Paris] (IMT)-Université de Rennes (UR)-Institut National des Sciences Appliquées - Rennes (INSA Rennes)
Institut National des Sciences Appliquées (INSA)-Institut National des Sciences Appliquées (INSA)-Université de Bretagne Sud (UBS)-École normale supérieure - Rennes (ENS Rennes)-Centre National de la Recherche Scientifique (CNRS)-IMT Atlantique (IMT Atlantique)
IMT Atlantique (IMT Atlantique)
Institut National des Sciences Appliquées (INSA)-Institut National des Sciences Appliquées (INSA)-Université de Bretagne Sud (UBS)-École normale supérieure - Rennes (ENS Rennes)-Institut National de Recherche en Informatique et en Automatique (Inria)-CentraleSupélec-Centre National de la Recherche Scientifique (CNRS)
Source :
ARES 2020: 15th International Conference on Availability, Reliability and Security, ARES 2020: 15th International Conference on Availability, Reliability and Security, Aug 2020, Dublin (effectué en visioconférence), Ireland. ⟨10.1145/3407023.3407031⟩, ARES
Publication Year :
2020
Publisher :
HAL CCSD, 2020.

Abstract

International audience; This study focuses on automatically detecting wrong implementations of specification in Java Card programs, without any knowledge on the source code or the specification itself. To achieve this, an approach based on Natural Language Processing and machine-learning is proposed. First, an oracle gathering methods with similar semantics in groups, is created. This focuses on evaluating our approach performances during the neighborhood discovery. Based on the groups automatically retrieved, the anomaly detection is based on Control Flow Graph of programs of these groups. In order to benchmark its ability to detect vulnerabilities, another oracle of vulnerabilities is created. This oracle knows every anomaly the approach should automatically retrieve. Both the neighborhood discovery and the anomaly detection are benchmarked using the precision, the recall and the F1 score metrics. Our approach is implemented in a tool: Confiance and it is compared to another machine-learning tool for automatic vulnerability detection. The results expose the better performances of Confiance over another approach in order to detect vulnerabilities in open-source programs available online.

Subjects

Subjects :
021110 strategic, defence & security studies
Source code
Computer science
Semantics (computer science)
media_common.quotation_subject
0211 other engineering and technologies
02 engineering and technology
computer.software_genre
Oracle
[INFO.INFO-CR]Computer Science [cs]/Cryptography and Security [cs.CR]
020204 information systems
0202 electrical engineering, electronic engineering, information engineering
Benchmark (computing)
Control flow graph
Anomaly detection
Data mining
Java Card
computer
Implementation
media_common

Details

Language :
English
Database :
OpenAIRE
Journal :
ARES 2020: 15th International Conference on Availability, Reliability and Security, ARES 2020: 15th International Conference on Availability, Reliability and Security, Aug 2020, Dublin (effectué en visioconférence), Ireland. ⟨10.1145/3407023.3407031⟩, ARES
Accession number :
edsair.doi.dedup.....7e4f08483ec4963c7f4ade3bac658b3f

Tools

Authors Abstract Subjects Details