Stage en analyse de sécurité, cryptographie appliquée et threat modeling F/H

L'entreprise

We connect the world,

We connect People.

Avec plus de 800 000 km de systèmes sous-marin optiques déployés dans le monde, chez Alcatel Submarine Networks, carrière rime avec aventure, et quotidien avec innovation. Grâce à la synergie de nos équipes, nous concevons des solutions innovantes de haute technologie et développons des savoir-faire d’exception. Nous rejoindre c’est faire partie d’un collectif, nous rejoindre c’est connecter le monde avec nous ! Alors, êtes-vous prêt pour l’aventure ?

Description du poste

Ce stage se déroulera au sein du service R&D Submarine Networks LNS (Long-Haul Networks Solutions) qui conçoit et développe des solutions de réseaux optiques sous-marins (transpondeurs et solution de network management), et plus spécifiquement dans l’équipe System & Architecture.

Au sein de l’équipe System & Architecture, le stagiaire participera à des travaux de recherche et développement visant à renforcer la sécurité des produits de gestion de réseaux critiques.

Ses missions principales seront les suivantes :

A. Analyse formelle et cryptanalyse de protocoles d’authentification pour réseaux sous-marins

• Analyse de sécurité et cryptanalyse de protocoles d’authentification et d’autorisation utilisés dans les environnements de télécommunications, avec une application à aux workflows OIDC en s’appuyant sur des modèles d’attaquant de type Dolev-Yao et sur des outils de vérification tels que Tamarin afin d’identifier d’éventuelles faiblesses de conception ou scénarios d’attaque ;
• Rédaction de la documentation technique.

B.       Conception d’un outil de modélisation et d’analyse automatisée des menaces

• Définition d’un modèle déclaratif de représentation de systèmes adapté aux produits ASN, permettant de décrire les composants, flux de données, frontières de confiance et mécanismes de sécurité ;
• Développement d’un prototype d’outil d’analyse de menaces,  capable de générer automatiquement des scénarios de menace à partir de cette modélisation ;
• Exploitation de référentiels de cybersécurité reconnus, notamment MITRE CAPEC et MITRE CWE, afin d’identifier les menaces, vecteurs d’attaque et vulnérabilités applicables ;
• Gestion des mesures de mitigation, avec traçabilité entre composants du système, menaces identifiées et contre-mesures recommandées ;
• Rédaction de la documentation technique et à la restitution des résultats auprès des équipes d’architecture et de développement.

Ce stage permettra d’acquérir une expérience pratique à l’intersection de la cybersécurité, des méthodes formelles, de la modélisation de systèmes complexes et de l’automatisation de l’analyse des risques.

Tâches à réaliser pour l’ensemble des missions qui seront confiées :

A. Analyse formelle et cryptanalyse de protocoles d’authentification pour réseaux sous-marins

• Étudier les mécanismes d’authentification et d’autorisation basés sur OpenID Connect (OIDC) mis en œuvre entre les différents composants des solutions de gestion de réseau de l’entreprise.
• Analyser les échanges de sécurité entre clients, serveurs, équipements réseau et fournisseurs d’identité.
• Identifier les hypothèses de confiance, les actifs à protéger et les modèles d’attaquants applicables aux architectures étudiées.
• Définir les propriétés de sécurité attendues : authentification, autorisation, confidentialité des jetons, intégrité des échanges, protection contre le rejeu, usurpation d’identité, etc.
• Modéliser les workflows OIDC dans un cadre formel basé sur un modèle d’attaquant de type Dolev-Yao.
• Représenter les scénarios d’authentification et d’autorisation à l’aide de l’outil Tamarin.
• Formaliser les propriétés de sécurité à vérifier.
• Réaliser des analyses de sécurité automatisées et étudier les contre-exemples produits par l’outil.
• Identifier d’éventuelles faiblesses de conception et proposer des recommandations d’amélioration.

B. Conception d’un outil de modélisation et d’analyse automatisée des menaces

• Étudier les approches existantes de modélisation de systèmes et de threat modeling.
• Définir un modèle permettant de représenter les architectures réseau, les composants logiciels, les flux de communication, les frontières de confiance et les mécanismes de sécurité.
• Intégrer les concepts nécessaires à l’analyse de sécurité des produits de gestion de réseau.
• Valider la pertinence du modèle avec les équipes d’architecture
• Développer un outil (Python) permettant l’analyse automatisée de menaces à partir d’une description structurée du système.
• Implémenter les règles de génération de menaces applicables aux architectures modélisées.
• Définir les règles de corrélation entre les éléments du modèle système et les entrées des référentiels de sécurité (MITRE).
• Produire des rapports synthétiques mettant en évidence les risques identifiés et leur impact potentiel.
• Gérer un état de mitigation pour les threats du système considéré
• Documenter le modèle de description de systèmes, les méthodes et outils développés.
• Produire les livrables techniques associés aux travaux réalisés.

Profil recherché

Durée du stage : 6 mois

Profil recherché 

Etudiant en 3^ème année d'école d’ingénieur ou en Master M2 (Bac +5)

Réf: 19a3dd20-22d3-4074-93f2-efce92a7697f