Données vérifiées machine · CFVL-DOC-003

Journal R&D

28 théories · 6 445 lignes · 692 lemmes · 0 obligation ouverte
CortexWall C-Refine — Finished 0:00:29 · PRISM v43 — Finished 0:00:05

01 — État de la session

CortexWall C-Refine — vérifié machine

La session CortexWall_C_Refine comprend 27 théories Isabelle/HOL structurées en 3 couches, totalisant 3 896 lignes et 477 lemmes prouvés mécaniquement. Zéro sorry, zéro oops, zéro admitted.

THÉORIES

3 896

LIGNES

477

LEMMES

SORRY

29s

BUILD

# Reproduction :
cd cortexwall_c_refine
isabelle build -d /path/to/afp/thys -d . CortexWall_C_Refine
# Finished CortexWall_C_Refine (0:00:29 elapsed)
# 0 sorry, 0 oops

Session PRISM v43 — Journal d’audit cryptographique

THÉORIE

2 549

LIGNES

215

LEMMES

SORRY

BUILD

# Reproduction :
cd ~/cortex-wall/prism
isabelle build -D .
# Finished PRISM (0:00:05 elapsed, 0:00:12 cpu)
# 215 lemmes, 215 prouvés · 0 sorry · 0 obligation ouverte

02 — TCB restreint

4 composants — liste figée, périmètre prouvé

Le Trusted Computing Base de CORTEX ORIGIN™ est volontairement restreint à 4 composants. Tout le reste — de SENTINEL à EcoFlux — est hors-TCB, confiné par seL4 dans des domaines de capabilities isolés. Cette réduction radicale du périmètre de confiance est un choix architectural fondamental : moins le TCB est gros, plus il est prouvable.

① seL4 — Micro-noyau vérifié

Seul micro-noyau au monde avec preuve formelle complète (UNSW / Data61 / seL4 Foundation). Isolation matérielle des domaines, système de capabilities, IPC vérifié. CORTEX hérite de cette preuve — ne la reprouve pas. Propriétés héritées : confidentialité, intégrité, disponibilité au niveau noyau.

TCB · PREUVE HÉRITÉE

② M00 — Kernel Cortex

Racine de confiance logicielle. Fail-closed gate : toute action transite par M00. Bootstrap sécurisé, invariant d’initialisation prouvé (I4). Spécification abstraite et concrète vérifiées en Isabelle/HOL.

TCB · VÉRIFIÉ ISABELLE

③ M10 — OMEGA™ / PolicyForge

Point de passage décisionnel unique. RBAC/ABAC. Non-contournabilité prouvée : NBC-1 → NBC-8 (8 lemmes Qed). Aucune décision ne s’exécute sans passage par OMEGA. Politique préservée à chaque transition (I11).

TCB · VÉRIFIÉ ISABELLE

④ M02 — PRISM™ v43

Journal cryptographique immuable. Append-only prouvé formellement (I5, I6, I7). Aucun composant — y compris OMEGA — ne peut modifier ou supprimer une entrée. Chaîne d’audit intègre (I8), hachage à dépendance timestamp. v43 : 215 lemmes, 215 prouvés, 0 sorry. Propriétés P1–P7 + non-interférence. Détection prouvée : suppression, insertion, troncation, réordonnancement, falsification.

TCB · VÉRIFIÉ ISABELLE · 215 LEMMES

Conséquence architecturale : SENTINEL, AEGIS, ATLAS, AVA-CPL, WALL-DOME, EcoFlux, Recovery, AlertManager et tous les modules M01 → M32 sont hors-TCB, confinés dans des domaines seL4 isolés avec capabilities restreintes. Même compromis par RCE, ils ne peuvent ni affecter les décisions OMEGA, ni altérer le journal PRISM, ni appeler les interfaces internes TCB.

03 — seL4 — fondation formellement prouvée

La seule preuve formelle complète d’un micro-noyau au monde

seL4 (Secure Embedded L4) est un micro-noyau développé par l’équipe Trustworthy Systems de Data61/CSIRO (ex-NICTA, UNSW Sydney). Il possède la preuve formelle complète la plus ambitieuse jamais réalisée pour un système d’exploitation : ~480 000 lignes de preuve Isabelle/HOL couvrant spécification abstraite, design exécutable, code C et code binaire ARM.

~480K

LIGNES PREUVE

~10K

LIGNES C

NIVEAUX PROUVÉS

2009

PREMIÈRE PREUVE

Propriétés prouvées par seL4 : isolation mémoire entre processus (aucun processus ne peut accéder à la mémoire d’un autre sans capability explicite), intégrité du noyau (le code noyau ne peut pas être modifié par le userspace), confidentialité des flux d’information (non-interférence entre domaines de sécurité différents), raffinement complet du code C vers la spécification abstraite.

Ce que CORTEX hérite de seL4 : l’isolation matérielle des domaines TCB et hors-TCB, le système de capabilities qui empêche tout composant non autorisé d’accéder aux interfaces TCB, et la garantie que le noyau lui-même ne peut pas être corrompu par un composant applicatif. CortexWall modélise explicitement cette frontière seL4 dans CortexWall_seL4_Config.thy (I13 : capabilities CDL → DOM_HIGH, exhaustion complète).

CORTEX ne reprouve pas seL4. La preuve est héritée de la seL4 Foundation et maintenue par l’équipe Trustworthy Systems. C’est explicitement documenté comme hypothèse de base dans le Security Target (ASE_REQ).

04 — Revendication NBC (Non-Bypass Claim)

8 lemmes prouvés formellement

Toute action décisionnelle doit transiter par OMEGA. Toute écriture dans PRISM est append-only et non modifiable, y compris par OMEGA. Aucun composant hors-TCB ne possède de capability permettant de contourner ces propriétés.

#LEMMETHÉORÈMEQED

1 non_tcb_cannot_call_tcb Non-TCB → TCB bloqué ✓

2 log_event_append_only PRISM append-only ✓

3 no_unauthorized_channel Aucun canal non autorisé ✓

4 policy_transition_preserves Politique préservée ✓

5 TCB_SECURITY_THEOREM TCB isolé & auto-protégé ✓

6 log_event_no_deletion PRISM : pas de suppression ✓

7 log_event_no_modification PRISM : pas de modification ✓

8 proof_O_NONINTERFERENCE Non-interférence forte (CC) ✓

05 — 14 invariants de sécurité prouvés

234/234 lemmes — 0 écart

Chaque invariant est prouvé formellement en Isabelle/HOL et lié à un fichier source identifié.

#INVARIANTFICHIERTHÉORÈME

I1Non-TCB ne peut pas appeler TCBCortexWall_TCB.thynon_tcb_cannot_call_tcb

I2TCB est isoléCortexWall_TCB.thytcb_is_isolated

I3TCB est auto-protégéCortexWall_TCB.thytcb_self_protecting

I4Invariant d’initialisation TCBCortexWall_TCB.thyinitialized_tcb_invariant

I5PRISM append-onlyCortexWall_Audit.thylog_event_append_only

I6PRISM : pas de suppressionCortexWall_Audit.thylog_event_no_deletion

I7PRISM : pas de modificationCortexWall_Audit.thylog_event_no_modification

I8Chaîne d’audit intègreCortexWall_Audit.thyappend_maintains_chain

I9Non-interférence forte (unwinding)CortexWall_NonInterference.thymain_noninterference

I10Pas de canal non autoriséCortexWall_PRISM_Model.thyno_unauthorized_channel

I11Politique préservée à chaque transitionCortexWall_Policy_Model.thypolicy_transition_preserves

I12Invariant FSM (P5_always)CortexWall_FSM_Properties.thyP5_always

I13Capabilities CDL → DOM_HIGHCortexWall_seL4_Config.thyexhaustion complète

I14Moniteur d’exécution sûrCortexWall_Runtime.thymonitor_safe

06 — Chaîne de preuve 3 niveaux

Abstrait → Concret → C

3 propriétés de sécurité critiques sont prouvées aux 3 niveaux d’abstraction, de la spécification Isabelle jusqu’au code C via AutoCorres2.

INVARIANT

ABSTRAIT

CONCRET

C / CHAÎNE

INV-1 : Confinement irréversible

lockdown_forever

concrete_lockdown

full_chain ✓

INV-3 : Coffre-fort scellé

vault_sealed_forever

concrete_vault

full_chain ✓

INV-7 : Isolement irréversible

isolation_forever

concrete_isolation

full_chain ✓

Propriétés avancées prouvées : non-interférence (unwinding), monotonie nonces, audit append-only, trigger idempotent, security_preserved (4 invariants simultanés), NBC-1→NBC-8 (8 lemmes non-bypass), 14 scénarios d’attaque formellement réfutés.

07 — Test de solidité

SENTINEL compromis par RCE — impact ?

« Si SENTINEL est compromis par exécution de code arbitraire (RCE), peut-il forcer OMEGA à prendre une décision incorrecte ? »

Réponse : Non. Prouvé formellement.

SENTINEL est hors-TCB, confiné par seL4 dans un domaine de capabilities restreint. NBC-1 prouve qu’un composant non-TCB ne peut pas appeler les interfaces internes TCB. NBC-3 prouve qu’aucun canal non autorisé ne traverse la frontière TCB. NBC-5 prouve que le TCB reste isolé et auto-protégé tant qu’il est actif et intègre. NBC-8 prouve la non-interférence forte : les actions HIGH ne sont pas observables par LOW.

Au pire : SENTINEL ne remonte plus d’alertes → OMEGA fonctionne en mode dégradé (moins d’information), pas en mode compromis (mauvaises décisions).

08 — Inventaire des modules M00 → M32

4 TCB · 2 safety · 8 sécurité · 16+ résilience

Couche TCB (4 composants — liste figée)

IDNOMFONCTIONTCB

—seL4Micronoyau vérifié, capabilities, IPC① TCB

M00Kernel CortexRacine de confiance, fail-closed gate, bootstrap② TCB

M10OMEGA™ / PolicyForgePoint décisionnel unique, RBAC/ABAC③ TCB

M02PRISM™ v43Journal crypto immuable, 215 lemmes, 0 sorry④ TCB

Couche Safety-critical (hors TCB, confiné seL4)

M05Kernel exécutifFonctions critiques couvertes par seL4+M00

M09CircuitBreaker™Arrêt d’urgence · CFVL-EVAL-005 CONFORME · 463 CBMC · 324M fuzz

Couche Sécurité & Orchestration (hors TCB)

M01SENTINEL™Sécurité active, qualification risque · CONFORME · 22 Isabelle · 1 291 CBMC · ~1,9 Bd fuzz

M03ATLAS™Analyse et corrélation (proposition uniquement)

M08AEGIS™Exécution contrôlée, réponse graduée

M11TrustLink™Chaîne de confiance inter-composants · CONFORME · 379/379 Frama-C WP · 752 CBMC · ~403M fuzz

M17Scheduler™Ordonnancement déterministe

M26AVA™ / AVA-CPL™Analyse de vulnérabilités

M27InterfaceGateway™Passerelle d’interface, filtrage

M27bNAVI™Interface non décisionnelle

M32WALL-DOME™Runtime Confinement Shield · CFVL-EVAL-007 CONFORME EAL6 · 156/156 Frama-C WP · 231 CBMC · ~13 Bd fuzz · ProVerif 5/5

Couche Résilience & Conformité (hors TCB)

M13 Recovery™ · M14 ResilienceManager™ · M16 EcoFlux™ · M19 ArtifactStore™ · M20 MemoryCore™ · M21 LearningLimiter™ · M22 DataBoundary™ · M23 ComplianceMonitor™ (NIS2/ACPR/ECB) · M24 Offline™ · M25 AuditFreeze™ · M28 DeploymentGuard™ · M29 QuotaManager™ · M30 HealthMonitor™ · M31 AlertManager™ · M32 ProofExporter™

08b — Périmètre de test CFVL

Tous les modules seront testés

Le CFVL ne se limite pas au TCB. Chaque module de CORTEX ORIGIN™ — de M00 à M32 — fera l’objet de tests et de vérifications par le laboratoire. Le niveau de rigueur est adapté à la criticité du composant.

COUCHE NIVEAU DE VÉRIFICATION MÉTHODE CFVL

TCB
seL4, M00, OMEGA, PRISM Preuve formelle complète
Isabelle/HOL, raffinement A→C→binaire Vérification machine, audit de preuve, rapport CFVL-EVAL avec avis formel (Conforme / Avec réserves / Non conforme)

Safety-critical
M05 Kernel, M09 KillSwitch Preuve partielle + tests de robustesse
Frama-C/WP, tests structurels Vérification des propriétés safety, tests d’injection de fautes, couverture MC/DC

Sécurité & Orchestration
SENTINEL, ATLAS, AEGIS, AVA-CPL, TrustLink, WALL-DOME, Scheduler, NAVI, InterfaceGW Tests fonctionnels + propriétés de confinement
Tests unitaires, intégration, fuzzing, Frama-C WP Vérification du confinement seL4, tests de non-escalade, scénarios d’attaque (14+ formalisés), tests de compromission

Résilience & Conformité
Recovery, EcoFlux, ComplianceMonitor, AuditFreeze, ProofExporter, etc. Tests fonctionnels + conformité réglementaire
Tests unitaires, intégration, NIS2/ACPR/ECB Vérification du confinement seL4, tests de récupération, validation des exports de preuves, conformité réglementaire

Le TCB est prouvé formellement. Les modules hors-TCB sont testés rigoureusement. Mais aucun module n’échappe au CFVL — la différence est le niveau de rigueur, pas la présence ou l’absence de vérification.

Principe fondamental : un composant hors-TCB compromis ne doit jamais pouvoir briser les propriétés de sécurité du système. C’est garanti par seL4 + NBC. Mais le CFVL vérifie aussi que chaque module remplit correctement sa fonction propre : SENTINEL détecte bien les menaces, AEGIS exécute bien les réponses graduées, EcoFlux respecte bien les budgets énergétiques, etc. La sécurité architecturale (prouvée) ne dispense pas de la qualité fonctionnelle (testée).

08c — Pipeline haute assurance — Résultats du 7 mars 2026 — Fuzzing ~57 Bd (10 mars 2026)

15 PASS · 0 FAIL · 0 WARN

Résultats de la campagne de pré-évaluation CSPN exécutée sur le TCB CORTEX WALL™ v3.0. 12 phases séquentielles, Apple M2 (ARM64, 8 cœurs, 8 Go RAM), macOS Sonoma 14.4.1.

PASS

FAIL

WARN

TESTS PASS

298

CBMC PROPS

ATTAQUES

# PHASE RÉSULTAT OK

1Compilation -Wall -Werror0 warnings, 0 errors✓

2Tests ASan + UBSan85 PASS, 0 FAIL, 0 violations✓

3Couverture de code (llvm-cov)96.38% régions · 100% fonctions · 87.78% branches✓

4CBMC Bounded Model Checking298 propriétés vérifiées, 0 échec, –unwind 64✓

5Frama-C EVA0 alarms, precision=7✓

6Isabelle/HOL (3 théories)Policy + Concrete + Refinement · 14s · 0 sorry✓

7Crypto NIST CAVP3 vecteurs SHA3-256 + 8 tests HMAC✓

8Scénarios d’attaque12/12 attaques mitigées✓

9Side-channel dudect3 tests × 1M samples · |t| < 4.5✓

10Endurance 10.8M ops0 défaillance sur 10 820 000 opérations✓

11Build reproductible SHA-256TCB hash: 58dd6363…✓

Fuzzing consolidé — TERMINÉ (10 mars 2026) : OMEGA : 23 854 085 920 inputs (276K exec/s) · 0 crash · 0 slow-unit | PRISM : ~11,4M inputs · 0 crash · 2 slow-units (1569s) | Manifest : ~33,5M inputs · 0 crash · 1 slow-unit | M09 CircuitBreaker : 324 749 135 inputs · 0 crash · 0 slow-unit | M01 SENTINEL : ~1,9 milliard d’inputs · 0 crash · 0 slow-unit | M11 TrustLink : ~403 millions d’inputs · 0 crash · 0 slow-unit | M32 WALL-DOME : ~13 milliards d’inputs (278K exec/s) · 0 crash · 0 slow-unit | Total consolidé : ~57 milliards d’inputs · 0 crash · 3 slow-units algorithmiques (PRISM+Manifest)

08d — CFVL-EVAL-005 · M09 CircuitBreaker™ — 8 mars 2026

Arrêt d’urgence vérifié formellement

Le module M09 CircuitBreaker™ (KillSwitch) a été porté de Python v17 vers C11 et soumis à une évaluation complète par le CFVL. FSM 3 états : IDLE → ARMED → TRIPPED (terminal irréversible). Couche Safety-Critical, hors TCB, confiné par seL4.

463

CBMC PROPS

TESTS PASS

324M

FUZZ INPUTS

9/9

FAULT INJ.

CRASH

MÉTHODERÉSULTATOK

Compilation -Wall -Werror -Wextra0 warnings, 0 errors✓

Tests ASan + UBSan59 PASS, 0 FAIL, 0 violations mémoire✓

CBMC Bounded Model Checking463 propriétés vérifiées, 0 échec (–unwind 64)✓

Fuzzing libFuzzer (2 campagnes)324 749 135 inputs, 0 crash, 0 slow-unit✓

Fault injection (9 scénarios)9/9 fautes détectées et rejetées✓

Endurance (100K cycles arm/timeout)0 failure, état final = IDLE (correct)✓

8 propriétés de sécurité vérifiées (P1–P8)

#PROPRIÉTÉMÉTHODEVERDICT

P1TRIPPED est terminal (irréversible)CBMC h1 + Tests + Fuzz✓ Vérifié

P2arm() uniquement depuis IDLECBMC h2 + Tests✓ Vérifié

P3confirm() uniquement depuis ARMED + fenêtre 30sCBMC h3+h7 (nondet)✓ Vérifié

P4Timeout → retour IDLE (fail-safe)CBMC h4 + Tests✓ Vérifié

P5Nonce replay détecté et rejetéTests + Fuzz 324M✓ Vérifié

P6Rate limiting appliqué (10 ops/min)Tests + Fuzz 324M✓ Vérifié

P7État par défaut = IDLECBMC h5 + Tests✓ Vérifié

P8Toute entrée NULL → erreur (fail-closed)CBMC h6 + Tests 14 neg✓ Vérifié

CFVL-EVAL-005 : CONFORME — PRELIMINARY (pending CESTI ATE_IND.2)

Rapport complet : CFVL-EVAL-005 v1.1 (23 sections, 947 LOC code source en annexe). Inclut Security Target extrait ASE, threat model formel A1–A6, traçabilité THR→OBJ→Fonction→Preuve→Test, justification cryptographique, analyse side-channel 5 canaux, et analyse de vulnérabilité AVA_VAN enrichie (8 types).
CBMC total TCB + M09 : 298 + 463 = 761 propriétés formelles, 0 échec.

08e — CFVL-EVAL-007 · M32 WALL-DOME™ — 10 mars 2026

Runtime Confinement Shield vérifié formellement EAL6

WALL-DOME™ assure le confinement d’exécution des processus hors-TCB à l’exécution. Implémenté en C11, soumis à une campagne multi-outils complète. Couche Sécurité & Orchestration, hors TCB, confiné par seL4. WALL-ATM-2026-01-20 — Avis : CONFORME EAL6.

156/156

FRAMA-C WP

231

CBMC PROPS

~13 Bd

FUZZ INPUTS

5/5

PROVERIF

CRASH

TESTS PASS

MÉTHODERÉSULTATOK

Tests ATE (89 tests)89/89 PASS · 0 FAIL · couverture ligne 99,1%✓

Frama-C / WP 32.0156/156 goals · 0 timeout · 7 fonctions✓

CBMC 6.8.0231/231 assertions · 0 violation✓

Z3 SMT 4.12.6.010/10 UNSAT✓

Coq / Rocq 9.1.12 preuves fermées (Closed)✓

TLA+ / TLC 2.19No error · 1 480 états explorés✓

Why3 1.8.2 + Z326/26 Valid · 0 Unknown✓

Isabelle/HOL 2025Finished · 0 error · 0 sorry✓

ProVerif 2.055/5 TRUE · non-interférence, append-only, anti-replay, isolement, confidentialité✓

Fuzzing libFuzzer 24h~13 milliards d’inputs (278K exec/s) · 0 crash · 0 slow-unit✓

MC/DC coverage~94% · couverture branches complète✓

AVA_VAN.5 (CFVL-AVA-VAN-001)Score CEM : 41/57 · marge +10 · 8/8 non exploitables · 10 CWE non vulnérable✓

Findings résolus : FND-001 (INV004 log overflow, HAUTE) → if (s->event_count >= MAX_EVENTS) s->event_count = MAX_EVENTS – 1; | FND-002 (double wall_error, HAUTE) → if (s->halted) return; (idempotente).

CFVL-EVAL-007 : CONFORME EAL6 — PRELIMINARY (pending CESTI ATE_IND.2) · 10 mars 2026

CBMC total TCB + M09 + WALL-DOME : 298 + 463 + 231 = 992 propriétés formelles, 0 échec. — Frama-C total : 1 691/1 691 · 100% tous modules.

09 — Inventaire des 28 théories

3 couches + PRISM — de preuve

Noyau — 6 théories · 745 lignes · 91 lemmes

THÉORIELIGNESLEMMESRÔLE

Abstract10415Spécification abstraite (nat, set, list)

Security7516Monotonie, non-interférence, security_preserved

Concrete12717Spec bornée uint16, mod 2³²

Refinement7111Simulation A→C via state_rel

CParser130AutoCorres2 C lift

C_Refine23032Preuves de tas C↔Isabelle

Phase 1 — 13 théories · 1 777 lignes · 270 lemmes

THÉORIELIGNESLEMMESDOMAINE

Phase1_Isar19941Préservation champ par champ

Phase1_Unwinding17632Unwinding style seL4

Phase1_NBC14724Modèle capabilities NBC-1→NBC-8

Phase1_Comp10814Compromission multiples, survie TCB

Phase1_Audit15424Hachage continu, intégrité audit

Phase1_Lattice12122Treillis phase KS, état domaine

Phase1_MultiStep13522Split, flood

Phase1_ConcreteExt13827Préservation champs concrets

Phase1_RefineExt11318Simulation étendue 4 opérations

Phase1_WellFormed9711Quarantaine invariante

Phase1_InfoFlow669BLP + Biba MLS simplifié (2 niveaux)

Phase1_Scenarios1081414 attaques formellement réfutées

Phase1_Invariants90125 invariants combinés

Isar structuré — 8 théories · 1 499 lignes · 144 lemmes

THÉORIELIGNESLEMMESDOMAINE

Isar_Security31023Confinement/coffre/isolement/nonce forever

Isar_Abstract27733Décomposition champ par opération

Isar_Refine14515Simulation à deux niveaux

Isar_Concrete18123Champs concrets, partition TCB

Isar_Invariants18315Invariants + 7 scénarios développés

Isar_Unwinding12811Équivalence réfl/sym/trans

Isar_MultiStep1029Split par induction et réplication

Isar_Audit17315Hash dépendance fonctionnelle, TRIPPED forever

PRISM v43 — 1 théorie · 2 549 lignes · 215 lemmes

THÉORIELIGNESLEMMESDOMAINE

PRISM_Model2 549215Journal crypto : P1–P7, NI, détection, seal, hash chain

215 lemmes · 215 prouvés · 0 sorry · 0 obligation ouverte. Session indépendante. Finished PRISM (0:00:05 elapsed).

Note : abs_hash est une fonction déterministe à dépendance forte au timestamp. Ce n’est pas une fonction injective au sens cryptographique strict (collision non triviale sous hypothèses bornées).

10 — Couverture SAR EAL7

91% couverture globale — 11 documents CC

ADV_* (Développement)

98%

AGD_* (Guides)

100%

ALC_* (Cycle de vie)

67%

ASE_* (Évaluation ST)

100%

ATE_* (Tests)

92%

AVA_* (Vulnérabilité)

95%

SAR TOTAL : 91% — 11 documents normatifs CC produits (+ CFVL-EVAL-005 M09 + CFVL-EVAL-007 WALL-DOME + CFVL-AVA-VAN-001)

Cibles de certification

CIBLECOMPOSANTSTATUT

ANSSI CSPN / CC EAL6-7CortexWall TCB (4 composants)Pré-certification

DGAApplications défense157 Coq + 692 Isabelle

NIS2 / ACPR / BCEBanque & OIV (V18.3)M00 + Ed25519 + matrice

OTAN STANAG 4774Interopérabilité OTAN (V18)31 Coq + post-quantique

France 2030Souveraineté IADossier complet

11 — Lacunes documentées (§25 du Dossier V3.1)

Transparence sur les limites

Conformément au principe de transparence du CFVL, les lacunes connues sont explicitement documentées. Un rapport lucide est plus crédible qu’un rapport parfait.

ÉCARTDESCRIPTIONIMPACT

AVA_VAN.5 CFVL-AVA-VAN-001 CONFORME — 41/57 · marge +10 · 8 vulnérabilités (8/8 non exploitables) · 10 classes CWE · ~57 Bd total · 1 691/1 691 Frama-C WP · 3 795+ CBMC Résolu — v2.0 · 10 mars 2026

ADV_IMP.2 Correspondance C→binaire non prouvée formellement CompCert ou justification GCC

ALC_TAT.3 GCC/Clang classe T3 (non vérifié formellement) Atténuation documentée

BLP+Biba MLS simplifié 2 niveaux statiques Pas un treillis dynamique complet

Org. Mono-développeur (pas de séparation des rôles) Séparation requise en évaluation

Tests 160 383+ non ventilés (unité/intégration/propriété) Ventilation requise pour CESTI

TCB LOC ~15 000 LOC indicatif LOC exact + hash SHA-256 à figer

Note : « proof-grade EAL6/EAL7 » signifie que l’architecture, les preuves formelles (692 lemmes Isabelle + 157 Coq, 0 obligation ouverte) et la traçabilité sont alignées sur les exigences CC EAL6–EAL7. La certification Critères Communs / CSPN n’a pas encore été réalisée en laboratoire (CESTI/CB). La preuve du microkernel seL4 est héritée de seL4 Foundation — CORTEX ne la reprouve pas.

12 — Évolution & historique Git

V16 → V17 → V18 → V18.3

V16 ▶ 42 modules définis, architecture complète, 12 TLA+ specs
V17 ▶ 181 fichiers Python, 26 preuves Coq, DefenseGuard (17 Qed), AVA-VAN5
V18 ▶ OTAN STANAG 4774, post-quantum crypto, 61 Coq Qed, 208+ tests, SGX
V18.3 ▶ Banque/OIV PRO+ M00, Ed25519, NIS2/ACPR/ECB, 13 tests

Historique des commits (session C-Refine)

COMMITDESCRIPTIONLIGNES

7e98d93Phase 1, lot 1 : Isar champ par champ — 41 lemmes+199

8d24f08Phase 1, lot 2 : Unwinding — 32 lemmes+176

b1c16a7Phase 1, lot 3 : Capabilities NBC — 24 lemmes+147

dc3e912Phase 1, lot 4 : Compromission multiples — 14 lemmes+108

e5fa3b1Phase 1, lot 5 : Audit + Treillis — 46 lemmes+275

f7a2c43Phase 1, lot 6 : MultiStep + ConcreteExt + RefineExt — 67 lemmes+386

89f061aPhase 1, lot 7 : Scénarios + Invariants — 28 lemmes+92

824a8bcIsar1 : Sécurité + Abstraction + Raffinement — 71 lemmes+732

826d766Isar2 : Concret — 23 lemmes+181

1ee4a14Isar3 : Invariants — 15 lemmes+183

5c23411Isar4 : Unwinding — 11 lemmes+128

c69a51cIsar5 : MultiStep — 9 lemmes+102

a6d78dcIsar6 : Audit — 15 lemmes+173

98216b3docs(cc-normatif) : 10 documents CC EAL7+10 docs

10mars26CFVL-EVAL-007 WALL-DOME EAL6 · CFVL-AVA-VAN-001 41/57 · ~57 Bd totalv2.4

Ce que nous ne parvenons pas encore à prouver est aussi important que ce que nous prouvons. L’honnêteté scientifique l’exige.

CFVL-DOC-003 · Journal R&D · Version 2.4 · 10 mars 2026

Cortex ORIGIN™

Journal R&D

CortexWall C-Refine — vérifié machine

Session PRISM v43 — Journal d’audit cryptographique

4 composants — liste figée, périmètre prouvé

① seL4 — Micro-noyau vérifié

② M00 — Kernel Cortex

③ M10 — OMEGA™ / PolicyForge

④ M02 — PRISM™ v43

La seule preuve formelle complète d’un micro-noyau au monde

8 lemmes prouvés formellement

234/234 lemmes — 0 écart

Abstrait → Concret → C

SENTINEL compromis par RCE — impact ?

4 TCB · 2 safety · 8 sécurité · 16+ résilience

Couche TCB (4 composants — liste figée)

Couche Safety-critical (hors TCB, confiné seL4)

Couche Sécurité & Orchestration (hors TCB)

Couche Résilience & Conformité (hors TCB)

Tous les modules seront testés

15 PASS · 0 FAIL · 0 WARN

Arrêt d’urgence vérifié formellement

8 propriétés de sécurité vérifiées (P1–P8)

Runtime Confinement Shield vérifié formellement EAL6

3 couches + PRISM — de preuve

Noyau — 6 théories · 745 lignes · 91 lemmes

Phase 1 — 13 théories · 1 777 lignes · 270 lemmes

Isar structuré — 8 théories · 1 499 lignes · 144 lemmes

PRISM v43 — 1 théorie · 2 549 lignes · 215 lemmes

91% couverture globale — 11 documents CC

Cibles de certification

Transparence sur les limites

V16 → V17 → V18 → V18.3

Historique des commits (session C-Refine)

Cadre

Recherche