Analyse comportementale sur terminaux mobiles appliquée à la détection d’anomalies de sécurité en utilisant l’intelligence artificielle

Les smartphones et les tablettes sont devenus des outils presque incontournables dans la vie de tout les jours. On les utilise tant sur un plan personnel que professionnel. Cependant, la diversité des applications mobiles, de leurs sources et de leur simplicité d'installation et d'utilisation rendent complexes la gestion de la sécurité de ce type de terminaux. Les applications malveillantes prolifèrent et exploitent des failles de sécurité ayant trait à la fuite de données (personnelles comme photos, contacts, etc. ou professionnelles comme documents d'entreprise, mails, etc.), pouvant générer des pertes financières (émission de messages vers des numéros surtaxés à l'insu de l'utilisateur, ...) ou compromettre la sécurité du terminal (installation de backdoor, ransomware, etc.). Pour faire face à ces menaces, il existe plusieurs types d'approches. On peut en citer : l'analyse statique, l'analyse dynamique ou encore l'analyse comportementale. Pradeo offre à ses clients une solution d'audit de sécurité automatique des applications mobiles. Le produit proposé utilise des techniques d'analyse statique avancées. Ce produit a été développé principalement dans le cadre de plusieurs thèses CIFRE en collaboration avec le laboratoire LIRMM. Cependant, ces travaux n'incluent pas de méthode d’apprentissage automatique permettant d'exploiter des données collectées à partir des terminaux mobiles afin d'anticiper des situations à risque. Dans cette thèse, nous nous intéresserons donc à l'application de méthodes d'analyse de données et d'intelligence artificielle afin de corréler des données provenant de plusieurs sources et ainsi implémenter une analyse comportementale efficace. Nous jugeons que les méthodes existantes ne s'appliquent pas directement à la problématique posée par Pradeo en raison de la vélocité des données, de leur caractère hétérogène et des spécificités de l'environnement mobile, comme développé dans les verrous ci-après : - La non-modification de l'OS ; l'agent de collecte de données sur un terminal mobile doit pouvoir fonctionner sans qu'il soit nécessaire de jailbreaker le terminal - La consommation d'énergie, de mémoire de stockage et de données réseau de l'agent mobile doit être minimale - L'aspect temps réel "souple" doit être pris en considération lors du traitement de gros volumes de données (données provenant de +1 million de terminaux) - La marge d'erreur du modèle de prédiction doit être minimale afin de réduire au maximum toute vérification manuelle - La prise en compte d'un large panel de terminaux mobiles, OS, constructeurs.Le but de cette thèse est d'enrichir la technologie Pradeo afin d'identifier des situations à risque sur un terminal mobile. L'objectif sera d'ajouter une brique d'analyse dynamique et intelligente du contexte global du terminal mobile qui corrélera plusieurs sources de données : - Des événements (système, réseaux et applicatifs) remontés en temps réel par les terminaux - Les rapports d'analyse statique des applications mobiles - Des sources de menaces / vulnérabilités externes.L'intérêt scientifique de cette thèse sera de développer des méthodes concrètes et efficaces pour la détection intelligente et automatique de menaces sur les terminaux mobiles. En effet, aujourd'hui quelques travaux de recherches ont été réalisés sur le sujet mais aucun n'a donné un résultat concret et applicable dans un contexte industriel.