Ces dernières années, le Bluetooth Low Energy (BLE) s'est imposé comme l'un des protocoles centraux de l'Internet des Objets. Nombre de ses caractéristiques (mobilité, faible consommation d'énergie, large déploiement) en font un protocole attrayant pour les objets connectés. En parallèle de cet essor, de nombreuses vulnérabilités critiques affectant le BLE ont été rendues publiques ces dernières années, dont certaines liées au design du protocole lui même. L'impossibilité de corriger ces vulnérabilités sans affecter la spécification nécessite le développement de systèmes de détection d'intrusion (IDS) adaptés, permettant la détection et la prévention de ces nouvelles menaces. Cependant, de nombreuses difficultés techniques entravent le développement de tels systèmes. Le monitoring du protocole par l'intermédiaire de sondes est en effet complexe, coûteux et limité, du fait de l'utilisation de communications pair à pair et la présence de nombreux mécanismes complexes et dynamiques tel que des algorithmes de saut de fréquences. Ces contraintes impactent significativement les approches existantes: celles ci manquent de flexibilité, ont une portée limitée et entraînent des coûts de déploiement élevés.
Dans cette présentation, nous présenterons une approche alternative pour la détection d'intrusion, visant à s'affranchir de ces limites en embarquant le système de détection d'intrusion directement au sein des contrôleurs BLE, au plus bas niveau accessible logiciellement. Nous montrerons que cette approche embarquée permet une analyse et une instrumentation plus avancée du protocole et ouvre la voie à de nouvelles applications défensives. Nous présenterons OASIS, un framework générique visant à faciliter l'injection d'heuristiques de détection au sein de contrôleurs BLE propriétaires sans impacter le fonctionnement normal de la pile protocolaire. Nous décrirons les choix ayant guidé sa conception (modularité, généricité, accessibilité), ainsi que son implémentation au sein de cinq contrôleurs de divers fabricants embarquant des piles protocolaires hétérogènes. Nous montrerons la pertinence de cette approche pour la détection d'attaques BLE bas niveau, en décrivant la conception et l'évaluation de cinq modules de détection couvrant diverses attaques complexes telles que KNOB, GATTacker ou BTLEJack. Nous détaillerons également notre analyse de l'impact du déploiement d'un tel IDS sur les performances des contrôleurs, notamment du point de vue de la consommation d'énergie, du temps d'exécution et de la mémoire. Pour terminer, nous discuterons des nouvelles directions ouvertes par ces travaux pour la prévention d'intrusion ou la détection coordonnée d'attaques complexes.