Missions

L’industrie de l’internet des objets est tristement connu pour reléguer la sécurité de ces objets au second plan au profit d’autres critères comme la réduction de la consommation énergétique, du coût du produit ou de la durée du cycle de développement. Pour cette raison, on observe un intérêt croissant des chercheurs de vulnérabilités pour ces produits: de nombreuses faiblesses ont récemment été identifiées dans des protocoles sans-fils, comme Bluetooth [8, 9, 10], Bluetooth Low Energy [11, 12] ou Logitech Unifying [13]. Pour mieux se protéger, des constructeurs misent sur la sécurité par l’obscurité en employant des protocoles propriétaires non-documentés. Cette absence de documentation ralentit fortement le travail des chercheurs de vulnérabilités qui doivent fastidieusement faire de la rétro-ingénierie de protocoles, de la couche physique radio (modulation utilisée, débit de données, présence de saut de fréquence, etc.) à la couche applicative (i.e., l’automate protocolaire).

Récemment, plusieurs travaux se sont intéressés à la rétro-ingénierie des couches basses des protocoles sans fil. On peut par exemple citer l'outil Universal Radio Hacker [14], permettant l'analyse manuelle de modulations courantes à partir de signaux bruts, ou les travaux de Galtier et al. [5] qui ont permis d’automatiser en partie la rétro-ingénierie de la couche physique radio, ouvrant la voie à de nouveaux outils d’aide à la rétro-ingénierie. Ce post-doc porte sur l’application de l’intelligence artificielle à la rétro-ingénierie automatique de couches protocolaires, via trois objectifs.




[1] Cornanguer, L., & Gimenez, P. F. (2025, May). TADAM: Learning Timed Automata from Noisy Observations. In SIAM International Conference on Data Mining (SDM25).
[2] Bossert, G., Guihéry, F., & Hiet, G. (2012, June). Netzob: un outil pour la rétro-conception de protocoles de communication. In SSTIC 2012 (p. 43).
[3] Duchêne, J., Le Guernic, C., Alata, E., Nicomette, V., & Kaâniche, M. (2018). State of the art of network protocol reverse engineering tools. Journal of Computer Virology and Hacking Techniques, 14, 53-68.
[4] Rohith, R., Moharir, M., & Shobha, G. (2018, December). SCAPY-A powerful interactive packet manipulation program. In 2018 international conference on networking, embedded and wireless systems (ICNEWS) (pp. 1-5). IEEE.
[5] Galtier, F., Cayre, R., Auriol, G., Kaâniche, M., & Nicomette, V. (2020, December). A PSD-based fingerprinting approach to detect IoT device spoofing. In 2020 IEEE 25th Pacific Rim International Symposium on Dependable Computing (PRDC) (pp. 40-49). IEEE.
[6] Mining, W. I. D. (2006). Data mining: Concepts and techniques. Morgan Kaufinann, 10(559-569), 4.
[7] Cayre, R., & Cauquil, D. (2024, August). One for all and all for whad: Wireless shenanigans made easy!. In DEF CON 2024, DEF CON Security Conference.
[8] Antonioli, D., & Tippenhauer, N.O., & Rasmussen, K. (2019). The KNOB is broken: exploiting low entropy in the encryption key negotiation of bluetooth BR/EDR. In Proceedings of the 28th USENIX Conference on Security Symposium (SEC'19). USENIX Association, USA, 1047–1061.
[9] Antonioli, D. (2023). BLUFFS: Bluetooth Forward and Future Secrecy Attacks and Defenses. In Proceedings of the 2023 ACM SIGSAC Conference on Computer and Communications Security (CCS '23). Association for Computing Machinery, New York, NY, USA, 636–650.
[10] Seri, B. & Vishnepolsky, G. (2023). The dangers of Bluetooth implementations: Unveiling zero day vulnerabilities and security flaws in modern Bluetooth stacks.
[11] Cayre, R. & Galtier, F. & Auriol, G., Nicomette, V. & Kaâniche, M. & Marconato, G. (2021). InjectaBLE: Injecting malicious traffic into established Bluetooth Low Energy connections. In IEEE/IFIP International Conference on Dependable Systems and Networks (DSN 2021).
[12] Garbelini, M. E. & Wang, C., Chattopadhyay, S. & Sumei, S. & Kurniawan, E. (2020). SweynTooth: Unleashing Mayhem over Bluetooth Low Energy. In 2020 USENIX Annual Technical Conference (USENIX ATC 20).
[13] Newlin, M. (2016). MouseJack : White Paper. In DEF CON, volume 24.
[14] Pohl, J. & Noack, A. (2017). Universal Radio Hacker: A Suite for Analyzing and Attacking Stateful Wireless Protocols. In Proceedings of the 2017 Workshop on Internet of Things Security and Privacy (IoTS&P '17). Association for Computing Machinery, New York, NY, USA, 59–60.
[15] Nordic Semiconductor (2025). Documentation technique du protocole Enhanced ShockBurst. Available in: https://docs.nordicsemi.com/bundle/ncs-latest/page/nrf/protocols/esb/index.html.
[16] Szakaly, T. (2016). Help, I’ve got ANTs !!! In DEF CON, volume 24.
[17] Marcus, M. (2019). LogiTacker GitHub Repository. Available at https://github.com/RoganDawes/LOGITacker.
[18] Schroeder, T. & Moser, M. (2010). Keykeriki resources. Available at http://www.remote-exploit.org/articles/keykeriki_v2_0__8211_2_4ghz/.
[19] Pushstack (2014). Reversing Somfy RTS. Available at https://pushstack.wordpress.com/2014/04/14/reversing-somfy-rts/.

Activités

- Le premier objectif est de faciliter l’identification de champs au sein d’un protocole à partir d’exemples de séquences binaires. Des travaux en ce sens ont déjà été menés [2, 3] mais nécessitent encore un travail manuel important de la part du chercheur de vulnérabilités. De plus, ces travaux, réalisés dans un contexte de communication Ethernet, supposent une première couche physique correctement décodée. Dans le cas des communications réseau, la couche physique elle-même requiert l’utilisation d’intelligence artificielle qui peut introduire du bruit dans les données (par exemple, deux trames disjointes pourraient être considérées comme faisant partie d’une même trame). De plus, certains mécanismes liés à la couche physique pourraient être incorrectement inférés, comme le "whitening" (qui s’assure qu’il n’y a pas trop de bits consécutifs de même valeur). Enfin, contrairement à des protocoles basés sur TCP/IP, les couches physiques ne s’appuient pas forcément sur un alignement à l'octet et peuvent par exemple inclure des entêtes de 9 bits (tels que le champ d'entête du protocole propriétaire Enhanced ShockBurst [15]): il devient dès lors impossible de traiter les données octet à octet, le traitement ne pouvant être réalisé que bit à bit. Toutes ces contraintes spécifiques font qu’il est nécessaire de concevoir des techniques de rétro-conception de structure de trames qui soient robustes au bruit, tout en s’appuyant sur le moins d’hypothèses possibles. Des approches de data mining pourront servir de bases à ces travaux [6]. Pour faciliter l’identification de la structure des trames, nous nous appuierons sur une collection de structure de protocoles documentés, extraite depuis le logiciel Scapy [4]: en effet, de nombreux champs (champ de longueur, somme de contrôle, etc) sont communément utilisés dans ces protocoles. Cela permettra de largement accélérer la rétro-ingénierie si le protocole analysé est une variante d’un protocole connu, tout en constituant une base de connaissances représentative des technologies courantes.

- Le second objectif est d’inférer les automates protocolaires, qui s’appuie sur la réalisation du premier objectif. Il existe des méthodes d’apprentissage d’automates à état fini mais la plupart requièrent un apprentissage actif, c’est-à-dire qu’elles supposent la présence d'un "professeur" (ou oracle) permettant d'indiquer si telle séquence est protocolairement valide ou non, et pouvant fournir des contre-exemples à un automate appris candidat. Cette hypothèse n’étant pas raisonnable dans notre contexte, nous nous appuierons donc sur des travaux récents [1] reposant sur l’apprentissage de protocoles réseau à partir d’exemples de communications. Ces travaux, adaptés aux communications TCP/IP, devront être transposés au contexte sans fil et à ses contraintes propres.

- Le troisième objectif, dépendant de la réussite des deux précédents, est de réaliser du fuzzing sur un protocole sur la base de sa rétro-ingénierie. Ce fuzzing sera intelligent: il tirera parti de l’automate protocolaire inféré, de manière à avoir une large couverture de test tout en limitant les essais inutiles. En particulier, notre objectif est de réaliser la rétro-ingénierie et d’identifier ou retrouver par approche automatique des vulnérabilités au sein de protocoles propriétaires ou partiellement documentés, tels que ANT+ ou ANT-FS [16], Logitech Unifying [13, 15, 17] ou divers protocoles utilisés par des équipements IoT, tels que des claviers sans fil [18] ou des télécommandes intelligentes [19].

Compétences

- Compétences solides en sécurité informatique (sécurité des protocoles, sécurité des systèmes embarqués, sécurité IoT)
- Compétences solides en Intelligence Artificielle (Algorithmes d'apprentissage) et / ou Automates
- Bonne connaissance d'un ou plusieurs langages de programmation (Python, C, C++, OCAML)

Contexte de travail

Ces travaux se dérouleront à Toulouse, dans les locaux du LAAS-CNRS, et s’appuieront sur la plateforme du LAAS-CNRS consacrée à l'étude de la sécurité des objets connectés. Cette plateforme, initialement développée dans le cadre du projet SuperviZ, vise à permettre une instrumentation poussée d'objets connectés du commerce et de kits de développements IoT tout en permettant la collecte de trafic sans fil à différents niveaux de la couche protocolaire, des signaux radio-fréquences bruts (sous forme d'une représentation d'échantillons I/Q) à des fichiers réseaux structurés (de type PCAP): elle constituera ainsi une ressource précieuse pour l'évaluation des approches proposées dans le cadre de ces travaux. L’encadrement sera réalisé par Pierre-François Gimenez, chercheur en IA et cybersécurité à Inria, et Romain Cayre, enseignant-chercheur en cybersécurité offensive au LAAS-CNRS. Les implémentations issues de ces travaux seront open-source et seront intégrées au framework d’attaque sans fil WHAD [7] afin de transférer ces contributions aux autres chercheurs en vulnérabilités, qu’ils soient académiques, d’institutions publiques ou d’entreprises privées.

Le poste se situe dans un secteur relevant de la protection du potentiel scientifique et technique (PPST), et nécessite donc, conformément à la réglementation, que votre arrivée soit autorisée par l'autorité compétente du MESR.

Contraintes et risques

Sans objet