Audit d'applications .NET complexes - le cas Microsoft OCS 2007Nicolas Ruff

Un grand nombre de présentations SSTIC sont dédiées chaque année à l'analyse de code assembleur (x86, ARM, MIPS ou autre).

Ces présentations sont très orientées en direction de la lutte contre le code malveillant ou de la protection logicielle. Mais un sujet rarement abordé est celui de l'audit d'applications commerciales tout à fait "classiques".

Le principal défi lors de l'analyse d'une application commerciale est la complexité. Les développeurs écrivent du code de très haut niveau - dont la traduction en assembleur fait intervenir un nombre considérable de couches intermédiaires.

Comme dit le proverbe, "celui qui a débogué un script Ruby avec GDB est un génie, celui qui l'a fait deux fois est un fou".

C'est pourquoi cette présentation s'attachera à présenter les techniques d'analyse haut niveau applicables à l'environnement .NET. L'exemple de l'audit sécurité du produit Microsoft OCS 2007 sera notre fil rouge.