Titre:
Cryptosense: détecter la mauvaise cryptographie dans les applications

Abstract:
La machine virtuelle Java (JVM) propose une interface de programmation (API) qui permet d'effectuer des opérations cryptographiques. Par exemple, chiffrer des données, condenser un message, ou encore dériver des secrets à partir d'un mot de passe.

Certaines applications peuvent faire une mauvaise utilisation de cette API, par exemple en utilisant des clefs trop petites (RSA 1024), des algorithmes faibles (SHA1), ou des mots de passe par défaut ("changeit"). Dans ce cas l'application peut être vulnérable à certaines attaques.

Cryptosense est un outil qui permet d'instrumenter la JVM afin de générer des traces d'appels cryptographiques. Sur ces traces, on applique une série de règles de bonne utilisation afin de noter la cryptographie d'une application.

On décrira quelques exemples de l'API cryptographique (bons et mauvais), le processus d'instrumentation, ainsi que quelques cas concrets de problèmes détectés par l'analyseur Cryptosense.