• Français
  • English

Votre partenaire R&D stratégique
pour votre sécurité offensive ET défensive

Protéger vos innovations requiert de l’expertise : une approche personnalisée et de la recherche appliquée.

Répondre à vos projets ambitieux (et uniques) nécessite de l’expertise mais aussi d’aller plus loin dans la recherche, le partage, l’imagination et la personnalisation de solutions pour couvrir vos enjeux de sécurité dans la durée.

Depuis plus de 10 ans, nous sommes particulièrement exigeants sur le niveau des connaissances et de spécialisations de nos équipes qui partagent leur expertise, leur passion et leur curiosité en sécurité matérielle et logicielle.

Audit sécurité, Conseil et Formations

Audit et Conseil

Objets Connectés (IoT)

Maitriser la sécurité des appareils connectés (IoT) – développés par vos soins ou ceux de vos fournisseurs – est devenue critique pour assurer votre conformité, protéger votre propriété intellectuelle (IP) et la confidentialité de vos données.

De la phase de conception à la phase post-déploiement, notre expertise en sécurité de bout en bout (logiciel, matériel, application mobile et cloud) et notre connaissance de la réglementation   vous permettront de bénéficier d’audits, de conseils et de rapports exhaustifs tout en prenant en compte vos contraintes matérielles et financières.

Cloud

Vous avez la responsabilité et la nécessité de vous assurer que votre infrastructure Cloud dispose du bon niveau de sécurité, que les bonnes pratiques sont mises en oeuvre et à l'état de l'art (gestion des droits, règles d'entreprise,..) ou encore de migrer vos actifs de votre propre infrastructure IT vers le cloud sans en perdre le contrôle ?

A tout stade de votre projet, vous pouvez bénéficier de notre expertise en sécurité de bout en bout (application, cloud, DevOps, Kubernetes, objet connecté, ...) pour vous conseiller ou évaluer vos choix architecturaux.

Blockchain

La transparence et un haut niveau de sécurité fonctionnelle et cryptographique sont des prérecquis essentiels pour réussir le lancement d'une crypto-monnaie dans des délais courts et impartis.

Notre expertise en matière de sécurité (cryptographie, recherche de vulnérabilités, revue de code et capacité de montée en compétence) et nos connaissances et outils spécifiques aux langages et éco-systèmes de la blockchain vous feront bénéficier d’un audit reconnu.

CSPN

Vous devez faire évaluer vos produits par un CESTI (Centre d'Evaluation de la Sécurité des Technologies de l'Information) et obtenir la certification de l'ANSSI pour adresser les marchés publics et de défense français avec un avantage concurrentiel ?

Bénéficier de l'expertise reconnue de notre équipe en matière de sécurité (cryptographie, retro-ingénierie, ...) tout au long du processus de certification CSPN (Certification de Sécurité de Premier Niveau) afin de vous aider à définir et rédiger la cible de sécurité "CDS" et pour évaluer votre produit et obtenir le rapport technique d'évaluation "RTE" requis pour la certification.

Protection de la PI et de la distribution de contenu

Vous fournissez du contenu ou des services (comme des vidéos, des jeux, ou du contenus sous propriété intellectuelle) et vous voulez vous assurer que la sécurité mise en place est suffisament robuste pour protéger votre business model ? Vous fournissez du contenu ou des services et vous voulez vous assurer que la sécurité mise en place est suffisament robuste pour protéger votre business model ? Vous souhaitez vous assurer que la propriété intellectuelle ou les informations sensibles gérées par votre solution sont protégées au bon niveau de sécurité ?

Que ce soit au niveau applicatif en environnement utilisateur, au niveau pilote ou à un niveau

impliquant des composants de sécurité matériels, vous obtiendrez une estimation du coût des attaques pour vous aider dans vos choix et décisions business.

Cryptographie

Vous souhaitez mettre en oeuvre de la cryptographie en phase de conception, de développement ou pour un logiciel ou équipement matériel existant et vous cherchez à vous assurer de sa robustesse, du maintien de son niveau de sécurité dans le temps et de sa conformité aux contraintes réglementaires.

Profitez de l'expertise de notre équipe (offensive et défensive, R&D, chercheurs en cryptographie, ...), de notre agrément CESTI (laboratoire d'évaluation agréé par l’ANSSI), de notre méthodologie et de nos outils pour vous faire bénéficier d’audits et de conseils tant sur vos logiciels (DRM, communication, messagerie, authentification...) que sur vos équipements matériels (HSM, Terminal de paiement électronique, ...).

Applications mobiles, trustlets et plateforme

Vous souhaitez protéger vos applications et Trustlets* (paiement, partage de contenu, jeux, contrôleur IoT, ...) en recherchant leurs vulnérabilités, en vérifiant leur conformité et en sécurisant ses interactions avec les composants externes, ou évaluer la robustesse globale de l’implémentation de la platforme mobile. De la phase de conception à la phase postdéploiement, notre expertise en sécurité (cryptographie, analyse de code natif, recherche de vulnérabilités...) associée à notre compréhension de bout en bout (de l'application au smartphone) et à nos outils open source (LIEF, QBDI, ...) vous feront bénéficier d’audits, de conseils et de rapports exhaustifs.

*application s’exécutant dans l’environnement de confiance de la platforme mobile (TEE, secure element)

Automobile

Pour construire un véhicule connecté sécurisé en respectant les contraintes de délais de production et de livraison, vous devez intégrer et maîtriser de multiples technologies et fournisseurs.

De la pré-production à la phase de déploiement, nous pouvons auditer vos solutions ou celles de vos fournisseurs, et fournir conseils et rapport exhaustifs. Vous bénéficierez d'expertise acquise depuis plus de 10 ans en retro-ingénierie dans l'automobile (ECU, IVI, protocoles et communication avec l'unité) et de nos outils spécifiques pour émuler votre architecture, auditer vos solutions ou vos fournisseurs, recevoir des conseils et des rapports exhaustifs. Ces rapports peuvent être utilisés comme preuve de travail et de conformité à la réglementation UNECE en cybersécurité.

Recherche externalisée

Votre projet spécifique nécessite non seulement une expertise en matière de sécurité, mais aussi une approche combinant recherche, créativité et remise en question du statu quo pour atteindre vos objectifs stratégiques et imaginer une solution à vos défis de sécurité à long terme.

Depuis plus de 10 ans avec passion (et beaucoup de curiosité), nos équipes d’experts maintiennent un haut niveau de connaissances et cette volonté d’aller plus loin dans les domaines de la sécurité matérielle et logicielle.

Test de pénétration de produits commerciaux

Quel est l’impact d’un produit commercial sur étagère sur la sécurité globale de votre système d’information ? Avant de le déployer, ou parce qu’il est déjà fonctionnel dans vos systèmes, vous voulez vous assurer que son comportement est exactement celui décrit par son éditeur, et qu’il n’introduise pas un nouveau chemin d’attaque dans votre système de défense ?

Vous obtiendrez les résultats d’analyse de la surface d’attaque de ce produit, et une estimation du coût d’une attaque utilisant ce produit comme vecteur d’intrusion sur votre système d’information. Vous pourrez ainsi optimiser vos mesures de sécurité en prenant en comptes les résultats de notre investigation.

Des blogposts techniques rédigés par nos ingénieurs sur une grande variété de sujets R&D comme la cryptographie, la rétro-ingénierie, les vulnérabilités...
Consultez notre blog

Nos principaux domaines de compétences et de savoir-faire

  • Blockchain
  • Cryptographie
  • Systèmes embarqués
  • Attaques matérielles à bas coût
  • Rétro-ingénierie
  • Revue de code
  • Développement
  • Fuzzing
  • Approche Offensive et Défensive
  • Architecture logicielle sécurisée

Les contributions de QLab

0 h

Formations

0

Doctorats

0

Jurys

0

Logiciels open-source

0 bugs

Failles identifiées

Formations

Nos formations

  • Applications Android

  • Car hacking, mise en pratique

  • Binary fuzzing et retro-ingénierie

  • Securité applicative sur iOS et interfaces du système d’exploitation

  • La rétro-ingénierie pour les pros

Comment bénéficier de nos formations ?

  • Nos formations peuvent être acheté clé en main par un client pour ses besoins internes. Nous fournissons le contenu et support de formation, les outils requis le cas échéant et les experts formateurs. Nous pouvons également prendre en charge la logistique (réserver un lieu approprié).

  • Nous donnons certaines formations au sein de programme de conférence. Pour s’enregistrer, il est nécessaire de se reporter au site internet de la conférence.

Sélection d’outils par QLab

Instrumentation de formats exécutables

Bibliothèque multi-plateforme permettant d’analyser, de modifier et d’abstraire les formats exécutables comme ELF, PE, ou MachO et, d’injecter du code ou de le compiler sans avoir à se préoccuper des détails.

Outil d’observation de l’exécution d’un programme

Bibliothèque d’instrumentation binaire dynamique multi-plateforme et multi-architecture permettant d’observer un programme pendant son exécution et d’automatiser la collecte et le traitement des données.

Bibliothèque d’exécution symbolique dynamique

Bibliothèque d’analyse binaire dynamique multi-plateforme et multi-architecture fournissant un moteur symbolique, une analyse de taches et des représentations AST des instructions.

Ressources

Binbloom blooms : Introduction à la v2

GitHub de Quarkslab