titre qui sommes nous

Impalabs est une société française spécialisée dans la sécurité offensive.

Fort de notre expérience passée dans le domaine de la recherche de vulnérabilités et de leur exploitation, nous mettons à disposition notre expertise technique à travers diverses prestations de conseil.

Le partage de connaissances étant également au coeur de notre fonctionnement, nous publions régulièrement les résultats de nos recherches et proposons des formations adaptées à vos besoins.

image laboratoire impalabs
image vagues
titre nos services

Nous proposons plusieurs services dans le domaine de la sécurité offensive que nous avons regroupés dans les catégories ci-dessous. Nos services étant personnalisables, nous nous adaptons au maximum à vos besoins. N'hésitez pas à nous contacter afin que nous déterminions ensemble la meilleure manière d'y répondre. Si toutefois votre projet est hors de notre domaine d'expertise, nous vous redirigerons vers un autre prestataire plus apte à vous accompagner.

icone test d'instrusion

Test d'intrusion

Description

Les tests d'intrusion sont un moyen d'éprouver la sécurité d'un système en tentant de contourner les protections mises en place. Ils sont généralement réalisés en « boîte noire », ce qui signifie que les informations fournies par le client sont minimales. L'objectif est alors de se placer dans le même contexte qu'un attaquant afin d'identifier les éventuelles vulnérabilités et faiblesses qu'il pourrait utiliser pour compromettre la cible.
A l'issue de ces tests, nous vous fournirons un rapport détaillant les techniques employées, les failles découvertes, ainsi que des recommendations vous permettant de les corriger.


Exemples de cibles

  • Applications web et API
  • Applications mobile (Android, iOS, etc.)
  • Internet of Things (IoT)
  • Infrastructure (Cloud, VPN, etc.)
icone audit de securite

Audit de sécurité

Description

Les audits de sécurité permettent d'obtenir une vue globale de la sécurité d'un système en effectuant une analyse approfondie de son fonctionnement ou de sa configuration. Ils diffèrent des tests d'intrusion de par leur approche, dite « boîte blanche », qui requiert un accès à toute information pouvant favoriser l'identification de vulnérabilités (e.g. code source, fichiers de configuration, etc.). L'accès à ces informations permet d'appliquer plus facilement et plus efficacement des méthodes d'analyse statique et dynamique.
De même que pour les tests d'intrusion, un rapport détaillé vous sera fourni mettant en avant les vulnérabilités identifiées et les corrections proposées.


Types d'audits

  • Audit de code : nous effectuons une revue manuelle et détaillée du code source fourni (application mobile, pilote, système d'exploitation, etc.).
  • Audit de configuration : nous vérifions la configuration et l'architecture d'un système ou de ces éléments (pare-feu, VPN, SELinux, etc.).
icone recherche et developpement

Recherche et développement

Nous pouvons également intervenir sur des projets de R&D, s'étalant généralement sur une durée plus longue et nécessitant une expertise poussée ainsi que des compétences spécifiques.
Nous sommes en mesure de répondre à ces problématiques en vous proposant nos compétences dans les domaines suivants :

  • Rétro-ingénierie : analyse et compréhension d'un binaire d'une architecture donnée (x86, x64, ARM, etc.) dont on ne possède ni le code source, ni la documentation.
  • Recherche de vulnérabilités : identification de vulnérabilités dans une base de code complexe ou un composant nécessitant de la rétro-ingénierie.
  • Exploitation : développement d'un exploit pour une vulnérabilité donnée, optimisation de sa stabilité et rapidité.
  • Développement d'outils : création de logiciels spécialisés utilisés pour simplifier la rétro-conception et la recherche de vulnérabilités (harnais, fuzzers, émulateurs, plugins IDA/Ghidra/Binary Ninja, etc.).
icone formation

Formation

Par le passé, nous avons donné plusieurs formations à des conférences internationales telles que TROOPERS, hardwear.io ou encore Zer0Con. Aujourd'hui nous vous proposons des formations personnalisées en fonction de vos besoins afin de vous partager notre expertise sur divers sujets.

Exemples de formations possibles

  • Rouages des applications et du noyau d'Android
  • Rétro-ingénierie et exploitation de binaires ARM
  • Prise en main et création de scripts pour IDA, Ghidra, etc.
  • Recherche de vulnérabilités par analyses statique et dynamique
titre notre equipe

Nous sommes deux ingénieurs en sécurité informatique ayant réalisé de nombreuses missions pour des petites et grandes entreprises de divers secteurs (financier, transport, défense, énergie, etc.). Ces années d'expériences nous ont donné les compétences nécessaires pour nous adapter rapidement aux contextes projets de nos clients et répondre efficacement à leurs besoins. Nous avons à coeur la résolution de problèmes complexes et mettrons tous les moyens en oeuvre pour trouver des solutions aux vôtres.

photo de Maxime Peterlin

Maxime Peterlin

Co-fondateur

icone Twitter icone LinkedIn icone GitHub

photo de Alexandre Adamski

Alexandre Adamski

Co-fondateur

icone Twitter icone LinkedIn icone GitHub

titre nos publications

Parmi les différents projets sur lesquels nous avons travaillé, nous avons eu l'opportunité de publier les résultats de certains d'entre eux sous la forme d'articles ou de présentations à des conférences internationales (Black Hat USA, Zer0Con, SSTIC, etc.).

2021
icone presentation

Getting Root on Android with CVE-2020-0423 - Zer0Con

Financée par Longterm Security

icone article

Reversing and Exploiting Samsung's Neural Processing Unit

Financée par Longterm Security ARTICLE

icone article

RKP Compendium

Financée par Longterm Security ARTICLE

2020
icone article

Exploiting a Single Instruction Race Condition in Binder

Financée par Longterm Security ARTICLE

2019
icone article

A Deep Dive Into Samsung's TrustZone

Financée par Quarkslab PARTIE 1 PARTIE 2 PARTIE 3

icone presentation

Breaking Samsung's ARM TrustZone - BlackHat USA

Financée par Quarkslab SLIDES VIDEO

icone article

Security Audit of Particl Bulletproof and MLSAG

Financée par Quarkslab et Particl ARTICLE RAPPORT

icone presentation

IDArling: Collaborative Reverse Engineering - SSTIC

Financée par Quarkslab SLIDES VIDEO

2018
icone article

Developing a Secure App using Intel SGX - MISC-099

Financée par Quarkslab ARTICLE

icone article

Overview of Intel SGX

Financée par Quarkslab PARTIE 1 PARTIE 2

2017
icone article

CVE-2017-6862: How I Rooted Your Router - MISC-092

Financée par ON-X ARTICLE

image contact impalabs

Copyright © Impalabs 2021