Découverte de failles de sécurité sur un des principaux logiciels de base de données par des étudiants de TELECOM Nancy !

 
Publié le 28/01/2020 - Mis à jour le 14/04/2023

Découverte de failles de sécurité sur un des principaux logiciels de base de données par des étudiants de TELECOM Nancy !

MySQL est l’un des logiciels de base de données les plus populaires au monde. Il s’agit d’un logiciel libre, c’est-à-dire que son code source est disponible, et que chacun peut proposer des modifications au mainteneur, la société Oracle en l'occurrence.

La disponibilité du code source a permis aux étudiants de TELECOM Nancy de rechercher des bugs critiques appelés vulnérabilités, à l’aide de la technique du fuzzing, utilisée très efficacement déjà pour de multiples logiciels. L’idée du fuzzing est simple en théorie : tester une application en y injectant des données aléatoires. La pratique est un peu plus complexe, mais il existe des logiciels pour faire des tests de fuzzing. En utilisant un certain nombre de ces outils open-source, Google a alors décidé de proposer OSS-Fuzz, une solution complète pour le fuzzing de logiciels open-source (OSS signifie Open Source Software).

Les élèves de TELECOM Nancy ont mis au point leur propre solution de détection de failles en développant une extension de OSS-Fuzz

C’est en développant une extension de l’outil OSS-Fuzz que le logiciel MySQL a été mis à l’épreuve pour y trouver des failles lors d’un projet de découverte de la recherche mené à TELECOM Nancy, en partenariat avec CatenaCyber. Le fuzzing est réalisé ici pour chercher des failles de sécurité réseau au niveau du client (ou du serveur). Ainsi, le but est d’explorer toutes les interprétations possibles d’un message reçu par le serveur au niveau du client et de trouver celles qui mènent à des failles.

Les étudiants ont pu ainsi détecter plusieurs failles sur le logiciel MySQL, qui ont été transmises à l’équipe d’Oracle et cinq d’entre elles ont été corrigées dans les deux derniers patchs. D’autres sont encore en cours de correction. Les étudiants ont d'ailleurs été cités par l'éditeur Oracle à la publication des patchs :

Le travail des élèves récompensé par Google

De plus, pour avoir intégré le projet MySQL à OSS-Fuzz, TELECOM Nancy a reçu une récompense de 1 000 $ de la part de Google, dans le cadre de son programme Vulnerability Rewards Program. Cette intégration permet d’utiliser la puissance de calcul de Google pour continuer à rechercher des vulnérabilités sur la dernière version de MySQL.

La Cyber-sécurité à TELECOM Nancy

TELECOM Nancy forme en trois ans des ingénieurs en informatique et sciences du numérique, avec une spécialisation en cyber-sécurité intitulée “Internet Systems and Security”, et a récemment fait l’acquisition d’une plateforme cyber-range pour l’entraînement et l’expérimentation en cyber-sécurité. Par ailleurs, elle est membre du réseau européen Concordia d'excellence en cyber-sécurité, et participe au pôle de cyber-réservistes en collaboration avec le Ministère des Armées.

Contact : Rémi Badonnel