Votre rôle est d’effectuer un travail de thèse sur le traitement dynamique de vulnérabilités Android par l’intégration d’eBPF.
Contexte global et problématique du sujet
Avec plus de 40% de part de marché, Android est le système d’exploitation le plus utilisé au monde et, par conséquent, une cible privilégiée pour les cybercriminels qui en exploitent les vulnérabilités pour voler des données, espionner, ou encore contrôler les appareils. Étant un OS grand public, ses utilisateurs peuvent adopter des comportements à risque, mais même en suivant toutes les recommandations de sécurité, les appareils peuvent être victimes d’attaques insidieuses zero-day zero-click. Il est donc nécessaire de détecter et de contrer l’exploitation de ces vulnérabilités.
Néanmoins, l’aspect dual du système Android est complexe à surveiller. En effet, les applications Android sont à la fois constituées de bytecode haut niveau (bytecode Dalvik) et de code machine bas niveau (C/C++/assembleur). Les attaques peuvent avoir lieu dans ces deux niveaux et ainsi se dissimuler aux yeux des technologies d’observation existantes.
Objectif scientifique - résultats et verrous à lever
Cette thèse vise à relier ces différentes parties en se plaçant à son interface : la machine virtuelle Android (DVM/ART). L’approche considérée est d’utiliser eBPF (extended Berkeley Packet Filter), une technologie reconnue de chargement dynamique de programmes ayant fait ses preuves sur Linux. eBPF permet d’écrire des règles universelles, exécutables sur tout système compatible et déclenchées lors d’évènements (hooks) prédéfinis.
La thèse est structurée en trois parties : intégration, détection et gestion des politiques de sécurité. Il s’agit d’abord d’intégrer la technologie eBPF au cour d’Android, en identifiant les événements clés à surveiller et en adaptant les instructions eBPF pour enrichir, par exemple, les remontées d’informations vers les agents système. Cette intégration doit permettre l’utilisation de ce nouveau système pour détecter activement les tentatives d’exploitation de vulnérabilités grâce à des règles de détection spécifiques, démontrant ainsi l’efficacité de l’approche. La dernière étape consiste à déployer une architecture de gestion des politiques de sécurité, permettant de distribuer et d’installer ces règles eBPF sur un ensemble d’appareils Android, afin de rendre la solution pleinement opérationnelle, mais aussi adaptables à différents profils d’utilisateurs.

Compétences scientifiques et techniques :
Connaissances de la programmation avec les langages C/C++/ Java ou Kotlin, Android, lecture de code assembleur
Connaissance des principes de fonctionnement d’un OS et d’une machine virtuelle (mémoire virtuelle, ordonnancement, synchronisation, allocation, garbage collection, Just In Time Compiler, …)
Maîtrise du français et de l’anglais
Appétence pour la cybersécurité.

Le doctorant ou la doctorante recherché(e) doit faire preuve de curiosité intellectuelle, d’autonomie, de rigueur scientifique, de capacité d’analyse et de synthèse, de qualités rédactionnelles et de communication (français et anglais, pour des articles scientifiques, rapports internes, présentations), mais aussi, d’esprit de coopération.
Profil recherché : Candidat ayant obtenu ou en phase d’obtenir un Master 2, Master de Recherche, diplôme d’ingénieur ou équivalent en informatique, idéalement avec une spécialité en système, systèmes embarqués ou en cybersécurité.