Nous recherchons de nouvelles solutions dans le domaine de la sécurité des smartphones. La technologie n'a pas besoin d'être totalement affinée, mais une preuve de concept convaincante devrait pouvoir être mise en œuvre en moins d'un an et avec moins de CHF 100'000.
Le but est que cette technologie aide à analyser de façon efficace et de manière exhaustive la sécurité d’applications pour smartphone créées par une tierce partie, ainsi que les menaces qu'elles peuvent représenter. Cela vise aussi à tester la façon dont les applications se comportent dans un système d’exploitation non modifié (non rooté), tout en offrant la possibilité de les tester dynamiquement.
Vous trouverez ci-dessous quelques exemples de technologies pour la sécurité des smartphones qui présentent de l'intérêt. Nous restons tout de même ouverts à découvrir des technologies, qui ne seraient pas listées, en rapport avec le thème proposé.

Exemple : Tests boîte noire (black-box)
Tester une application sans la décompiler, sans rétro-ingénierie ou sans avoir accès à son code interne ou sa structure. Les tests sont effectués en interagissant avec l'interface utilisateur (UI) et en observant comment l'application interagit avec le réseau ou le téléphone afin de détecter les comportements malveillants. Une approche possible consisterait à utiliser l'apprentissage par renforcement profond (Deep Reinforcement Learning) pour prédire les interactions de l'application, détecter les éléments de l'interface utilisateur ou générer des entrées pour remplir des formulaires ou des modules d'inscription.

Exemple : Protection de la vie privée des utilisateurs grâce aux tests boîte noire (black-box)
L'utilisation de tests black-box des applications permet de détecter les risques liés à la vie privée de l'utilisateur, tel que détecter les permissions dangereuses accordées aux applications (par exemple, lecture de l'état du téléphone, localisation fine...). Les tests black-box pourraient permettre d'évaluer s'il existe une élévation dangereuse des privilèges d'une application (par l'exploitation d'une application légitime ou par l'application malveillante elle-même) par rapport à sa fonctionnalité définie.

Exemple : Tests d'application dynamiques
L'application est testée en cours d'exécution de manière entièrement automatisée. Outre les tests en black-box, il existe d'autres façons de tester dynamiquement les applications, avec ou sans utilisation de l'interface utilisateur. Par exemple, avec l'utilisation de fuzzing ou d'autres techniques d'analyse dynamique.

Exemple : Test du système d'exploitation du smartphone
L'objectif pourrait être de tester le système d'exploitation standard d'un smartphone. Ce serait pour détecter les comportements malveillants ou involontaires du système d'exploitation ou des applications installées par défaut. Les tests pourraient être effectués en interagissant avec l'interface utilisateur ou en détectant les altérations induites par les applications, telles que les changements de permissions ou d'autres propriétés.

Nous ne recherchons pas de solutions qui nécessitent des changements importants au niveau de l'infrastructure ou qui pourraient présenter des risques. Nous ne sommes pas intéressés par les concepts ou les études, ni par les solutions qui en sont à un stade de développement très précoce. Nous ne sommes pas intéressés par les propositions de conseil ou les solutions non techniques.

1. La startup a moins de sept ans à compter de Octobre 2023
2. Les fondateurs sont toujours investisseurs et actifs
3. L'entreprise compte au moins trois employés, y compris les fondateurs actifs
4. La startup sélectionnée se verra attribuer un contrat pour intégrer une preuve de concept de la technologie dans le DDPS
5. Le contrat attribué a une valeur maximale de CHF 100 000. Cette valeur est assujettie aux travaux nécessaires pour intégrer la preuve de concept
6. La preuve de concept est soutenue par le Campus Cyber-Defence
7. Ce challenge n'est pas une compétition avec prix ni un appel d'offre. Il s'agit d'une étude de marché visant à trouver une technologie prometteuse qui réponde au mieux aux exigences du DDPS en matière de renseignement sur les menaces cybernétiques et où les entreprises peuvent s'enregistrer volontairement
8. La preuve de concept n'est pas destinée à un déploiement opérationnel
9. Toute acquisition ultérieure fera l'objet d'un appel d'offres, et la preuve de concept ne garantit aucun mandat ou achat supplémentaire
10. Toutes les autres entreprises qui se sont portées candidates peuvent encore être prises en considération pour les appels d'offres et les challenges ultérieurs
11. La société accepte sans réserve les conditions générales de vente de la Confédération Suisse (CGV). Les sociétés qui apportent des modifications (ajouts/adaptations) sont exclues du challenge.

• La technologie est liée à la sécurité des smartphones 
• Pertinence et utilité de la technologie pour l'armée suisse
• Faisabilité du projet
• Facteur d'innovation et potentiel d'impact pour l'armée suisse
• Viabilité du concept technologique
• Double usage (militaire, civil)
• Une priorité plus élevée sera accordée aux entreprises suisses ; toutefois, la startup peut être internationale.

• La startup doit remplir le formulaire de candidature de l'appel et envoyer le document à l'adresse fournie.
• Le Campus Cyber-Defence sélectionnera les dix meilleures entreprises et demandera des informations et des détails supplémentaires.
• Les trois meilleures entreprises seront invitées à faire une présentation de leur entreprise et de leur technologie.
• Lors de la conférence, les trois finalistes donneront un pitch de 10 minutes et l'entreprise ayant obtenu le meilleur score sera annoncée comme gagnante.

• Appel clos le 31.08.2023
• Les dix meilleures solutions sélectionnées 08.09.2023
• Les trois meilleures startups présentes à l'armée suisse 13.09.2023
• Le gagnant et les trois meilleures solutions sont révélées lors de la conférence CYD Campus 26.10.2023