Firmware Security

Moabi se propose d'accompagner les DSI dans la mise en œuvre d'un Cycle de Développement Sécurisé (SSDLC) exhaustif et d'effectuer le suivi des projets SI en mesurant leur retour sur investissement pour le COMEX. Afin que les Ingénieurs sécurité, les DSI et le COMEX puissent s'appuyer sur un langage commun, la méthodologie Moabi repose sur 5 métriques reflétant l'état d'un projet indépendamment de sa technologie. Ces 5 métriques (legacy, hardening, compliance, cryptography, vulnerabilities) composent une surface de défense permettant de comparer des solutions techniques ou leur évolution dans le temps.  

Concrètement, les équipes techniques peuvent télécharger tout type de programme binaire sur la plateforme SaaS Moabi et obtenir une vue synthétique du SSDLC de celui-ci. Elles ont également accès à des rapports techniques et de mise en conformité, et les décideurs à une vue agrégée des métriques de tous les binaires composant un projet. 

L'originalité de Moabi réside dans la mesure systématique et objective de l'ensemble du SSDLC d'un projet SI, ce qui permet de mesurer de manière rationnelle les retours sur investissement des projets en sécurité. Il s'agit d'un problème majeur et récurrent dans toute entreprise.  

Moabi permet également aux équipes techniques de démultiplier leur efficience en obtenant immédiatement une vue à 360° de la posture de sécurité afin de se concentrer sur les applications à haut risque. Même lorsque le code source n'est pas disponible !  

Moabi s'appuie sur un moteur d'exécution symbolique et d'analyse statique raisonnant directement sur le code binaire.  

Contrairement aux outils d'analyse de code source qui ne couvrent que la phase d'implémentation et s'adressent principalement aux développeurs, Moabi permet une analyse de l'ensemble du SSDLC en raisonnant sur les applications prêtes à la Production. Qu'il s'agisse d'applications Intel, ARM ou Java à destination de Mac, Windows ou Linux/BSD. 

Partant du constat que les SI sont des écosystèmes toujours plus interdépendants, Moabi s'inscrit dans une démarche préventive des risques visant à qualifier l'ensemble du SSDLC d'un projet ou d'une application. Qu'elle provienne de développement interne, externe ou Open Source et indépendamment des technologies intrinsèques, la métrique Legacy permet de déceler les problèmes de dette technique et de cahiers de charges mal anticipés. Les métriques Compliance et Cryptography les problèmes relatifs à un design défaillant. La métrique Vulnerabilities les erreurs d'implémentation. La métrique Hardening quantifie la présence ou non de mécanismes de défense en profondeur. On couvre ainsi l'ensemble du SSDLC. Moabi permet en outre de qualifier la surface d'attaque d'une application, son niveau de risque, et de détecter la présence de protections (DRM/Marlware) grâce à une analyse entropique permettant aux équipes de Pentest ou Blueteam de prioriser leurs efforts et de gagner en efficience.  

Moabi est une spin-off de Toucan System, entreprise à l'ADN fortement orienté R&D. Écrire Moabi nous a pris 10 ans. Voici 5 ans, nous effectuions des PoC afin de prototyper les technologies sous-jacentes et de régler les problèmes de passage à l'échelle. Nous en avons réalisé plusieurs, uniquement avec de grands comptes comme sponsors, en Australie et en France. Deux projets de brevets sont en cours de dépôt et la technologie est mature, d'où le lancement effectif de Moabi. 

Après avoir analysé des millions de binaires au cours des 5 dernières années, nous n'en sommes plus au stade des PoC (cherchant à prouver qu'une technologie fonctionne), si bien que nous réalisons désormais exclusivement des PoV (afin de prouver que Moabi apporte de la valeur dans le contexte d'un client donné). Une méthodologie d’accompagnement des prospects est formalisée et disponible. La démarche consiste à donner accès à la plateforme à nos futurs clients pendant un mois. Suite à un point à mi-parcours, une séance de debriefing est organisée avec le management pour valider l’apport effectif de Moabi et décider de la suite contractuelle à donner. Une dizaine de PoV à vocation commerciale sont en cours d’ici l’été 2019. 

Nous avons réalisé récemment un PoV à très fort impact auprès d'un leader mondial de l’automobile, couvrant l'ensemble des systèmes embarqués sur un véhicule (10k+ binaires issus de fournisseurs différents). Les résultats, partagés par le management et les équipes opérationnelles, ont confirmé que Moabi remplit bien les objectifs de délivrables, volumétrie, délais et de pertinence attendus par le secteur automobile. Les Equipes Sécurité et leur management s’interrogent désormais sur la meilleure façon d'aligner les KPIs de leurs fournisseurs sur les métriques de Moabi, ce qui se traduit par d’intéressantes opportunités de "change management" en cascade. 

Aujourd'hui, MOABI couvre les cas d'usages suivants : IoT/IIoT/OT et systèmes industriels, véhicules connectés, images cloud. 
Moabi is an award winning cloud solution enabling binary firmware security analysis.
You may click here to reach the main page.