Cette plateforme issue de plus de huit ans de réflexion et de deux ans de développement a été créée à la suite de cette constatation : « Il y a un manque de tests d’intrusion réalisés sur le software, les dépendances aux bibliothèques extérieures sont rarement analysées. L’analyse du code source est insuffisante et ne couvre pas les cas nombreux ou le code n’est pas disponible. De plus, le pentest et les red teams arrivent généralement trop tard dans la conception du produit et ne prennent qu’une image partielle et partiale à un temps fixe, ne testant ainsi pas toutes les vulnérabilités présentes sur un système complexe » explique Nicolas Massaviol, Co-fondateur de Moabi.
Moabi fournit une solution SaaS permettant une analyse sécurité des binaires pour tous les logiciels, avec leurs dépendances. La mesure de la cybersécurité passe par 5 critères clefs :
- Le « Legacy » mesure la dette technique relative aux technologies ou à l’architecture.
- Le « Hardening » évalue l’activation des fonctions de défense en profondeur des compilateurs.
- La « Cryptographie » vérifie la force des algorithmes de chiffrement.
- Les « Vulnerabilities » présente les vulnérabilités déjà existantes à travers les CVE, ainsi que les 0days grâce au moteur de Moabi pour l’exécution symbolique et l’analyse de teintes.
- La « Compliance » intégre les normes de sécurité de code (Posix, MSSDLC, CE99…).
L’analyse et le test des binaires permet de cartographier (mapping) les forces et faiblesses sécurité d’un logiciel ou un firmware complet. Cette cartographie permet également d’identifier les différences entre 2 versions d’un même logiciel pour augmenter progressivement son niveau de sécurité.
En plus de ces 5 métriques, résumées par un meta-indicateur présentant le niveau globale de sécurité « la surface de défense » Moabi évalue également :
- La criticité d’un binaire au sein du logiciel, selon ses accès privilégiés (root/administrateur etc...), pour identifier les binaires à corriger en priorité si leur surface de défense est trop faible
- Une « obfuscation » délibérée de code, qui témoigne soit de la présence d’une protection de propriété intellectuelle, soit d’un malware.
Ce produit n’a pas vocation à détecter les backdoors. Aucune alerte ne sera remontée sauf si elles sont mal implémentées.
À la suite de cette analyse, deux rapports différents seront générés :
- Un rapport graphique au travers des 5 métriques pour piloter la sécurité logicielle par des indicateurs stables et cohérents,
- Un rapport d’identification des écarts avec l’état de l’art de la cybersécurité et les nouvelles vulnérabilités détectées, avec des propositions de correction et d’amélioration.
Un prix très convoité
Créé en 2006 le Prix de l’Innovation des Assises de la Sécurité récompense chaque année des solutions innovantes sélectionnées par un jury d’experts de la cybersécurité. Accélérateur de notoriété et de business, le Prix de l’Innovation offre au lauréat une visibilité exceptionnelle auprès de la communauté des Assises. Ce prix s’inscrit dans la vocation des Assises de soutenir le développement de jeunes entreprises du secteur
