STAGE - Vulnérabilités des mécanismes de virtualisation

Vous
intégrerez l'un des spécialistes français les plus reconnus sur le
marché de la cybersécurité et doté des plus hauts niveaux de
certifications et agréments (PASSI-LPM, CESTI agréé par l'ANSSI et
accrédité par le COFRAC [accréditation n°1-2190, portée disponible sur ],
Autorité Nationale des Jeux, etc.) et impliqué dans le développement de
l'écosystème cyber (Membre fondateur du Pôle d'Excellence Cyber, Membre
du Conseil d'Administration de l'Alliance pour la Confiance Numérique).
Nos clients évoluant dans tous les secteurs de l'économie (public,
industrie, télécoms, etc.), vous interviendrez sur des missions et des
contextes très diversifiés.

Au cœur de la capitale Bretonne
(Rennes), vous évoluerez dans un environnement convivial et dynamique et
bénéficierez de nombreux avantages :

• Opportunités de mobilités internes, au sein d'AMOSSYS (Rennes) ou plus largement du groupe ALMOND (France & international).
• Partage
  des connaissances favorisé : vous pourrez échanger et partager
  facilement avec les collègues des pôles d'expertise technique. Si vous
  le souhaitez, la découverte ou la participation ponctuelle à des
  missions d'autres pôles peut être envisagée.
• Souplesse
  dans l'organisation des missions et du planning : horaires modulables et
  possibilité de faire du télétravail ponctuel (après une période
  d'adaptation).
• Vie interne dynamique : vous aurez
  l'occasion d'apprendre à connaître vos collègues lors de moments de
  convivialité : activités teambuilding, séminaire, etc.

Au travers des activités de son CESTI (Centre d'Évaluation de la Sécurité des Technologies de l'Information, agréé par l'ANSSI), AMOSSYS est amené à évaluer et analyser la sécurité de nombreux produits logiciels. Le principal axe d'analyse consiste à rechercher d'éventuelles vulnérabilités pouvant toucher ces produits.

De plus en plus, les produits logiciels se basent sur de la containérisation pour améliorer leur niveau de sécurité, ou basent leur sécurité sur une intégration en profondeur de mécanismes de virtualisation ou d'hyperviseurs. Pour faciliter l'analyse de la sécurité de ces produits et de ces mécanismes, AMOSSYS a mis en place plusieurs bases de connaissances et méthodologies internes sur le sujet.

Le stage proposé permettra de poursuivre le développement de ces connaissances tout en les enrichissant d'outils et scripts visant à automatiser l'analyse et l'identification de vulnérabilités sur les hyperviseurs et mécanismes de virtualisation. Sans s'attacher à la sécurité de la configuration des solutions de containérisation (type Docker et Kubernetes), le stage se concentrera sur les mécanismes de sécurité intrinsèques des hyperviseurs ainsi que les moyens de les contourner.

Le stage s'organisera de la manière suivante :

• Phase 1 : état de l'art des mécanismes de sécurité des hyperviseurs ;
• Phase 2 : mise à jour des méthodologies et connaissances internes et identification des vulnérabilités potentielles sur ce type de produits ;
• Phase 3 : développement d'outils dédiés à l'analyse de sécurité et de robustesse de ces mécanismes, recette sur des situations de test représentatifs, documentation du fonctionnement et de l'utilisation.

A noter que le/la stagiaire sera appel(e) à partager l'avancée de ses travaux avec l'équipe en participant à des ateliers de présentation et en produisant des contenus et/ou livrables écrits.

Les vulnérabilités identifiées au cours du stage sur des produits open-source ou publics pourront être remontées aux éditeurs concernés pour participer à leur correction.

En cours d'un Bac+5 en sécurité informatique, vous recherchez un stage de 6 mois (à partir de février/mars

Vous détenez des compétences dans les domaines suivants :

• Sécurité et Internals des systèmes Linux ;
• Développement d'outils logiciels et de scripts (langages C, C++, Python) ;
• Connaissances de base en réseau et utilisation des outils de monitoring (Wireshark, netcat, suite ip).

Des compétences dans certains des domaines suivants seraient un plus :

• Internals de QEMU/kvm, ou autres hyperviseurs ;
• Programmation bas-niveau Linux.

Vous aimez travailler en équipe. Rigoureux(se), vous êtes doté(e) de bonnes capacités de synthèse. Capable de vous investir dans un sujet pour en maîtriser ses composantes, vous êtes force de proposition. Enfin, vous êtes en mesure de vous organiser en autonomie autour de grands axes de travail proposés par vos encadrants.