Publié le 18 décembre 2025 11h33:00. La nouvelle version 2.0 de l’outil d’analyse de micrologiciels EMBA atteint un taux de réussite de 95 % dans l’émulation, surpassant significativement ses concurrents et ouvrant la voie à une détection plus efficace des vulnérabilités.
- EMBA 2.0 intègre un moteur d’émulation système amélioré pour identifier automatiquement les failles de sécurité dans les images de micrologiciels.
- Des benchmarks montrent qu’EMBA 2.0 surpasse les outils FirmAE et Firmadyne en termes de taux de réussite d’émulation, même avec des micrologiciels plus récents.
- La nouvelle version offre une intégration de l’IA, une prise en charge des SBOM (Software Bill of Materials) et une meilleure évolutivité pour les entreprises.
Les développeurs d’EMBA ont annoncé la sortie de la version 2.0 de leur outil d’analyse de micrologiciels, marquant une avancée significative dans la détection et la vérification automatisées des vulnérabilités. EMBA, un outil open source basé sur Bash, automatise l’analyse des micrologiciels en extrayant les images, en effectuant des analyses statiques et dynamiques, en générant des SBOM et en créant des rapports web.
La principale nouveauté de cette version réside dans son moteur d’émulation système remanié. Celui-ci permet de démarrer automatiquement les appareils dans un environnement émulé, facilitant ainsi la vérification des vulnérabilités détectées.
Benchmarks avec le firmware de routeur
Les tests comparatifs réalisés par les développeurs ont démontré la supériorité d’EMBA 2.0. Sur le corpus FirmAE, un ensemble de données comprenant 1 074 images de micrologiciels compilées avant 2020, EMBA a atteint un taux de réussite de 95 % et a identifié plus de 6 000 services réseau. FirmAE, optimisé pour un taux de réussite de 79 %, et Firmadyne, avec seulement 16 %, sont restés loin derrière. Le taux de réussite est défini comme la capacité à accéder à au moins un service réseau dans l’environnement émulé.
Un autre ensemble de tests, basé sur le rapport Fraunhofer FKIE sur la sécurité des routeurs domestiques (126 images de micrologiciels datant de 2020), a révélé un taux de réussite de 87 % pour EMBA (600 services réseau), contre 30 % pour FirmAE et 5 % pour Firmadyne. Un ensemble de tests plus récent (2022, 121 images) a confirmé cette tendance : 76 % de réussite pour EMBA (environ 400 services réseau), 16 % pour FirmAE et seulement 2 % pour Firmadyne. Bien que le taux de réussite diminue avec les micrologiciels les plus récents, EMBA conserve une avance considérable sur les projets plus anciens.
Intégration de l’IA et prise en charge SBOM
Au-delà de l’émulation améliorée, la version 2.0 propose de nouvelles fonctionnalités. L’intégration du suivi des dépendances permet le transfert automatique des SBOM vers les outils de gestion des vulnérabilités et des SBOM. EMBA prend désormais en charge les sources VEX (Vulnerability Exploitability eXchange) et les SBOM étendues. L’outil utilise le format CycloneDX-JSON pour les SBOM et peut transmettre les données directement à Dependency-Track.
Une analyse du micrologiciel assistée par l’IA complète les modules d’analyse classiques. De nouveaux composants tels que Capa (avec prise en charge ATT&CK), Semgrep et Zarn (pour l’analyse Perl) élargissent les capacités de détection. Le threading du module S09, dédié à la détection de version binaire, a été optimisé pour améliorer les performances. L’émulation repose sur QEMU, avec une version personnalisée du noyau 4.14.336 LTS, conçue pour assurer une meilleure compatibilité avec les micrologiciels de routeur anciens et actuels.
Tous les détails concernant la mise à jour vers la version 2.0.0 sont disponibles sur la page du projet EMBA sur GitHub.
Questions ouvertes sur la reproductibilité
Malgré les résultats prometteurs des benchmarks, certaines questions subsistent. La documentation précise des corpus de micrologiciels utilisés est incomplète. Les ensembles de tests sont basés sur les micrologiciels de routeurs domestiques de fabricants tels qu’AVM, Netgear et Asus. Les données brutes des images de micrologiciels ne sont pas directement disponibles dans le référentiel, mais peuvent être obtenues via des sources externes comme Zenodo. Une vérification indépendante des références par un tiers est en attente, bien que le projet cite des travaux universitaires, notamment celui sur FirmAE.
L’émulation utilise QEMU et des correctifs de noyau personnalisés pour la compatibilité du chargeur de démarrage. Certains de ces correctifs sont spécifiques au projet et, selon le suivi des problèmes, devraient être intégrés à des projets en amont tels que Linux ou QEMU. EMBA atteint ses limites avec les chargeurs de démarrage propriétaires et les images de micrologiciels signées, auquel cas l’outil recourt à l’émulation en mode utilisateur ou à l’analyse statique.
Lors de l’exécution de micrologiciels potentiellement malveillants dans des environnements Docker ou VM, les développeurs recommandent des mesures de sécurité supplémentaires, telles que les machines virtuelles imbriquées, AppArmor ou SELinux. Les fuites de réseau et les exploits du noyau peuvent présenter des risques, il est donc déconseillé d’utiliser ces environnements en production. La conformité aux licences des binaires extraits et les questions de confidentialité liées aux informations d’identification stockées relèvent de la responsabilité des utilisateurs.
Utilisation en entreprise et divulgation responsable
Pour les entreprises, EMBA permet une mise à l’échelle via Docker Swarms et Kubernetes. L’interface utilisateur Web EMBArk facilite le déploiement de clusters, et les tests de performance indiquent qu’il est possible d’analyser plus de 100 images par jour sur des systèmes à 64 cœurs. L’intégration dans les pipelines CI/CD est possible grâce à des images Docker, utilisables comme actions GitHub ou étapes Jenkins.
Les mécanismes de divulgation responsable des vulnérabilités de type “zero-day” détectées automatiquement ne sont pas intégrés. Les développeurs renvoient aux processus manuels de CVD via First.org et au système de suivi des problèmes. L’actualisation des flux de vulnérabilités est assurée par un script qui met à jour quotidiennement les bases de données CVE, telles que cve-bin-tool et cve-search.
EMBA se positionne comme une alternative gratuite aux scanners de micrologiciels commerciaux. Sa couverture d’émulation plus étendue par rapport aux logiciels propriétaires est un atout, mais nécessite une vérification manuelle des résultats.
(par)
