Integrite du flot de controle.

L'integrite du flot de controle (CFI) restreint les appels indirects et les retours du programme a un ensemble precalcule de cibles legitimes, bloquant ROP et JOP. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.

L'integrite du flot de controle (CFI) restreint les appels indirects et les retours du programme a un ensemble precalcule de cibles legitimes, bloquant ROP et JOP.

CFI a ete formalisee en 2005 par Abadi, Budiu, Erlingsson et Ligatti. Le compilateur construit le graphe de flot de controle, attribue a chaque site d'appel indirect un ensemble de cibles autorisees et instrumente les sites d'appel et de retour avec des verifications a l'execution. Les implementations courantes comprennent LLVM CFI (arretes avant via des identifiants par type), Microsoft Control Flow Guard, kCFI du noyau Linux et des variantes materielles comme Intel CET-IBT et Arm BTI pour les branches indirectes, plus des shadow stacks pour les retours. CFI bloque ROP/JOP car la chaine de gadgets viole les ensembles d'arretes legitimes. Les limites principales sont les classes d'equivalence trop larges en C/C++ et les interfaces incompatibles.

Les défenses contre Integrite du flot de controle combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : CFI, Control Flow Guard, kCFI.