Luis Soeiro présente ses travaux sur la supply chain logicielle au FPS 2025
Le 18ᵉ International Symposium on Foundations & Practice of Security (FPS – 2025) s’est tenu du 25 au 27 novembre 2025 à l’IMT Atlantique, Brest. Cet événement réunit chaque année des chercheurs et des professionnels du monde entier. L’objectif est de partager des connaissances sur la sécurité, la confidentialité et la résilience des systèmes interconnectés. L’édition 2025 a particulièrement mis l’accent sur les innovations basées sur l’intelligence artificielle, les systèmes de transport et les infrastructures critiques. Ainsi, le symposium favorise les échanges scientifiques et la collaboration internationale.
Dans ce contexte, Luis Soeiro, doctorant de la chaire à Télécom Paris, a présenté son article « Finding Software Supply Chain Attack Paths with Logical Attack Graphs ». Sa présentation a eu lieu lors de la Session 3 : « Formal Methods and Automated Analysis for Secure Software Systems » . Cette session était dédiée aux méthodes formelles et aux outils automatisés pour sécuriser les logiciels complexes.
La supply chain logicielle : un enjeu stratégique
Les chaînes d’approvisionnement logicielles (SSC) deviennent de plus en plus complexes. En effet, la multiplication des produits logiciels et de leurs dépendances augmente le risque de vulnérabilités. Pour mieux gérer cette complexité, la Software Bill of Materials (SBOM) est utilisée. Il s’agit d’un inventaire détaillé de tous les composants logiciels. Cependant, les études sur des SBOM réelles restent limitées.
Pour combler cette lacune, Luis Soeiro et ses co-auteurs ont constitué le plus grand jeu de données SBOM à ce jour. Il regroupe plus de 78 000 fichiers uniques provenant de plus de 94 millions de dépôts publics. Ainsi, cette base constitue un outil précieux pour la recherche sur la sécurité des chaînes d’approvisionnement logicielles.
Évaluation des outils et nouvelles méthodes
Pour exploiter efficacement les SBOM, le secteur a besoin d’outils automatisés fiables. L’étude analyse huit outils de pointe pour valider et évaluer la qualité des SBOM. Les résultats montrent que la majorité des SBOM ne sont pas immédiatement exploitables. De plus, les outils existants produisent des résultats divergents.
Pour remédier à ces limites, les chercheurs ont développé une nouvelle méthode pour estimer les menaces dans la supply chain logicielle. Cette approche identifie les composants clés qui propagent ou subissent les attaques. Elle repose sur un ensemble de règles tenant compte des vulnérabilités et du comportement des attaquants.
Extension de MulVal pour mieux modéliser les attaques
L’outil open source MulVal, utilisé pour générer des graphes logiques d’attaque, présente des limites dans la propagation des menaces SSC. Pour y remédier, l’équipe a développé une extension de MulVal. Elle inclut de nouveaux prédicats et règles pour mieux représenter les interactions au sein des chaînes d’approvisionnement. En outre, cette extension comprend 20 scénarios de test et un cadre complet de validation. Ainsi, elle permet d’analyser plus efficacement des attaques modernes comme XZ ou 3CX.
FPS 2025 : un rendez-vous scientifique majeur
Le FPS 2025 constitue un rendez-vous incontournable pour la communauté scientifique et professionnelle. Il favorise la diffusion de travaux innovants, le développement de programmes de collaboration et l’échange entre chercheurs, étudiants et professionnels. La participation de Luis Soeiro illustre parfaitement cette mission. En effet, ses travaux combinent approche théorique et applications pratiques, contribuant ainsi à renforcer la sécurité des systèmes interconnectés.
- Luis Soeiro presents his work on software supply chains at FPS 2025 - December 23, 2025
- Luis Soeiro présente ses travaux sur la supply chain logicielle au FPS 2025 - December 23, 2025
- C&ESAR 2025: Hugo Bourreau presented his work on digital twins - December 19, 2025
