Skip to content

Instantly share code, notes, and snippets.

@bbaranoff

bbaranoff/test_chat.md

Last active April 10, 2026 08:26
Show Gist options

  • Select an option

    Learn more about clone URLs
  • Save bbaranoff/e805ca7b5f5e5b2ef352cef658677c5f to your computer and use it in GitHub Desktop.

Select an option

Learn more about clone URLs
Save bbaranoff/e805ca7b5f5e5b2ef352cef658677c5f to your computer and use it in GitHub Desktop.
Download ZIP
Raw
test_chat.md

Explique l’approche SAT/UNSAT appliquée aux tests télécoms, puis développe en quoi elle est nouvelle, intéressante, et ce qu’elle apporte par rapport aux méthodes de test plus classiques.

Oui. Le cœur de l’idée, c’est de traiter un protocole télécom non plus seulement comme une suite de messages à jouer, mais comme un système de contraintes sur des états cachés et des invariants : fraîcheur, compteurs, non-réutilisation, ordre des transitions, validité d’intégrité, cohérence des réponses, délais, etc. C’est exactement la logique du model checking borné : on encode une trace possible sous forme de formule, puis on demande à un solveur SAT si cette trace est réalisable. Si la formule est satisfiable, il existe un chemin concret cohérent avec le modèle ; si elle est insatisfiable, la combinaison observée est impossible dans ce modèle.

Dans les télécoms, cette lecture colle très bien parce que beaucoup de propriétés critiques sont déjà formulées, au fond, comme des invariants discrets. Côté 3G/AKA, le mécanisme d’authentification repose explicitement sur des numéros de séquence : le réseau maintient un compteur par abonné, et l’USIM garde la trace du plus haut numéro accepté ainsi que des règles de fraîcheur et de resynchronisation. Côté LTE/5G, les documents 3GPP rappellent que le COUNT sert d’entrée aux fonctions de chiffrement et d’intégrité, qu’il ne doit pas être réutilisé pour une même clé, et que la protection anti-rejeu doit faire en sorte qu’une même valeur pertinente ne soit acceptée qu’une seule fois dans un même contexte de sécurité. Les exigences 5G mentionnent aussi explicitement intégrité et replay protection sur la signalisation.

Concrètement, un test SAT/UNSAT ressemble à ça : tu captures ou tu provoques une séquence réelle, puis tu l’annotes avec des hypothèses de protocole. Par exemple : “ce message a été accepté”, “le MAC était valide”, “on est dans le même security context”, “le COUNT est différent et monotone”, “ce paquet est un rejeu d’un ancien message”, “la machine d’état n’a pas fait de reset intermédiaire”. Ensuite tu demandes au solveur s’il existe au moins une affectation interne des variables cachées qui rend tout cela vrai simultanément. Si oui, tu obtiens un témoin concret de faisabilité. Si non, tu as une contradiction logique entre ce que tu observes et ce que le protocole autorise. C’est là que SAT/UNSAT devient un oracle sémantique pour les tests.

Exemple simple : supposons que tu veuilles tester un anti-replay LTE/NR. Tu encodes : même clé, même contexte de sécurité, même message protégé rejoué, MAC valide, message accepté, pas de remise à zéro, et règle “une même valeur de COUNT ne doit pas être réutilisée ni acceptée deux fois”. Si cette conjonction sort UNSAT, tu n’as pas seulement “pas réussi à reproduire le bug” ; tu as montré que, dans le modèle et la borne considérés, ce scénario est contradictoire avec les invariants de sécurité. Si au contraire ça sort SAT, le solveur te rend un témoin : une séquence d’états et de valeurs qui explique comment la trace peut exister, donc un candidat de bug, de faille d’implémentation, de reset caché, de transition manquante, ou de modèle incomplet.

C’est là que cette approche devient intéressante par rapport aux méthodes plus classiques. Les tests classiques en télécom sont dominés par des suites de tests de type TTCN-3 : on dérive des test purposes depuis la norme, on écrit des cas exécutables, puis on vérifie conformité, interopérabilité, robustesse, régression, intégration, etc. ETSI présente TTCN-3 précisément comme la base de presque toutes ses suites de tests, avec ces usages-là. C’est puissant, mais fondamentalement empirique : on exécute des scénarios et on regarde si le système réagit comme prévu. (portal.etsi.org)

Le problème des méthodes purement empiriques, c’est qu’elles répondent surtout à la question : “est-ce que ce cas précis passe ou casse ?” Pas à la question : “est-ce que telle combinaison d’événements est même possible ?” C’est d’ailleurs un point classique de la littérature de vérification : après des jours, des mois, voire des années de tests, on peut seulement dire qu’un système “a bien marché jusqu’ici”, pas qu’une propriété est réellement garantie. Le model checking SAT/BMC apporte autre chose : il cherche directement un contre-exemple symbolique, et quand il trouve SAT il peut produire une trace concrète ; quand il ne trouve rien sous la borne, il resserre l’espace des chemins réalisables. (MDPI)

Donc la plus-value n’est pas “SAT remplace TTCN-3”. La plus-value est : TTCN-3/fuzzing/replay génèrent des stimuli ; SAT/UNSAT décide si les états induits sont cohérents avec les invariants du protocole. ETSI décrit d’ailleurs le model-based fuzzing comme un mélange de fuzzing comportemental et de model-based testing, guidé par des séquences valides connues. L’étape SAT/UNSAT se place très bien au-dessus de ça : non pas pour générer seulement plus de cas, mais pour qualifier les cas au niveau logique. (ETSI)

En ce sens, ce qui est nouveau n’est pas le SAT lui-même. Le SAT, le BMC et la vérification formelle sont anciens ; la littérature sur SAT/SMT pour protocoles de sécurité existe déjà, y compris avec des aspects temporels. Ce qui est relativement neuf et fécond, c’est leur usage comme méthode opérationnelle de test télécom orientée invariants, branchée sur des traces réelles, des replays, du fuzzing, des états radio/réseau, et des piles concrètes. Autrement dit : faire de la vérification formelle non pas un exercice hors-sol sur un protocole abstrait, mais un interpréteur logique de campagnes de test télécom. Ça, c’est une vraie translation intéressante entre mondes qui sont souvent séparés dans la pratique.

Pourquoi c’est fort en télécom, spécialement ? Parce que les bugs durs sont rarement de simples bugs “entrée → sortie”. Ce sont des bugs de trajectoire : un compteur remis à zéro au mauvais moment, une fenêtre anti-replay mal gérée, une transition qui oublie un bit d’état, un handover ou un re-establishment qui casse une hypothèse implicite, une incohérence entre couche sécurité et couche procédure. Ces erreurs-là sont précisément celles que les contraintes capturent bien, parce qu’elles portent sur l’ensemble des états possibles et non sur un paquet isolé. Les propriétés temporelles sont aussi un terrain naturel pour ces méthodes.

Ce que cette approche apporte de plus, au fond, c’est quatre choses. D’abord, une preuve de contradiction quand un scénario doit être impossible. Ensuite, un témoin minimal quand il est possible. Ensuite encore, une meilleure localisation des fautes : fraîcheur, compteur, intégrité, ordre d’état, reset, timeouts, etc. Enfin, une réduction des faux positifs de fuzzing, parce qu’on ne s’arrête plus à “ça a crashé” ou “ça a accepté”, on demande “dans quel monde logique ce comportement est-il compatible avec le protocole ?”

La limite importante, par honnêteté, c’est qu’UNSAT n’est jamais absolu sans préciser le modèle. En BMC, tout dépend de la borne choisie et des hypothèses encodées. Une formule insatisfiable peut vouloir dire “attaque impossible”, mais aussi “modèle trop strict”, “chemin de reset oublié”, “abstraction crypto trop grossière”, ou “phénomène d’implémentation non modélisé”. Donc il faut vendre ça comme un complément supérieur, pas comme une baguette magique.

Ma synthèse serait donc celle-ci : l’approche SAT/UNSAT appliquée aux tests télécoms consiste à transformer des campagnes de test en questions de cohérence logique. Elle est intéressante parce qu’elle ajoute aux tests classiques une capacité que ceux-ci ont peu : dire non seulement “ce cas passe/casse”, mais “ce cas est possible / impossible au regard des invariants du protocole”. Ce n’est pas une nouveauté théorique pure, mais c’est une nouveauté méthodologique très forte si on l’emploie comme couche d’analyse entre traces réelles, fuzzing, replay et sécurité protocolaire.

Je peux aussi te faire une version plus “papier de recherche”, avec formulation de contribution, hypothèse, positionnement par rapport à TTCN-3/fuzzing/model checking, et un exemple LTE/5G rédigé proprement.

========================================================================================================================

Explique l’approche SAT/UNSAT appliquée aux tests télécoms, puis développe en quoi elle est nouvelle, intéressante, et ce qu’elle apporte par rapport aux méthodes de test plus classiques.

L’approche SAT/UNSAT consiste à encoder un problème comme un ensemble de contraintes, puis à demander à un solveur s’il existe une affectation qui les satisfait. Dans la terminologie standard des solveurs, sat signifie qu’une solution existe, unsat qu’aucune n’existe, et certains outils peuvent aussi répondre unknown sur des encodages trop difficiles ou hors de leur fragment décidables. (microsoft.github.io)

Appliquée aux tests télécoms, l’idée est de ne plus décrire seulement un scénario du type « j’envoie X, j’attends Y », mais de décrire le protocole comme un système de contraintes : état courant, ordre des messages, compteurs, clés, intégrité, anti-rejeu, timeouts, transitions autorisées. Cette lecture est naturelle en LTE/5G, car les spécifications 3GPP imposent justement des invariants explicites sur les compteurs et la protection d’intégrité. Par exemple, en LTE, le NAS COUNT est construit à partir de NAS OVERFLOW || NAS SQN; une fois l’intégrité activée, la protection contre le rejeu doit garantir qu’un même NAS COUNT entrant n’est accepté qu’une seule fois dans un même contexte de sécurité; et un message avec NAS-MAC manquant ou incorrect doit être rejeté. Le standard dit aussi que certains compteurs stockés, comme le NAS downlink COUNT, ne doivent jamais décroître. (ETSI)

Concrètement, un test devient alors une question de cohérence logique. Supposons qu’une trace montre : « paquet rejoué », « même contexte de sécurité », « même COUNT/SQN », et « le nœud l’a quand même traité ». Si ton modèle contient la règle 3GPP « un COUNT donné ne doit être accepté qu’une seule fois », alors l’ensemble devient UNSAT : il n’existe pas d’exécution conforme au modèle dans laquelle tous ces faits sont vrais en même temps. À l’inverse, si le solveur trouve une valuation SAT, cela signifie qu’il existe au moins une configuration protocolaire cohérente qui explique la trace observée. En 5G, ce raisonnement colle bien aux exigences de replay protection : la SCAS gNB contient même des cas de test où l’on capture un paquet puis on le rejoue, avec l’attendu qu’il soit ignoré ou rejeté. (ETSI)

Ce que cette approche change par rapport au test plus classique, c’est le passage du procédural au déclaratif. Le test classique, y compris le model-based testing, reste centré sur des cas d’essai et des verdicts d’exécution : on dérive des tests depuis un modèle pour vérifier la conformance d’une implémentation à ce modèle. Cette famille de méthodes est ancienne, solide, et a été utilisée de longue date pour les protocoles télécoms. La littérature décrit aussi le passive testing fondé sur des invariants, où l’on observe une trace réseau sans perturber le système et où l’on vérifie que certaines propriétés extraites de la spécification sont respectées. (Inria Radar)

Du coup, la bonne réponse à « en quoi est-ce nouveau ? » est nuancée : le SAT/UNSAT lui-même n’est pas nouveau, ni l’usage de méthodes formelles sur des protocoles télécoms. La vérification formelle de 5G AKA avec Tamarin, par exemple, existe déjà et a servi à extraire des exigences précises à partir du standard puis à analyser systématiquement les hypothèses de sécurité. Ce qui est plus original, c’est l’usage opérationnel de SAT/UNSAT comme outil de tri sur des traces réelles ou des campagnes de test terrain : RF/logs/traces → extraction d’événements → contraintes locales → verdict SAT/UNSAT, sans chercher à prouver tout le protocole de bout en bout. C’est là que l’idée devient vraiment intéressante pour du test et du security assessment. (arXiv)

Son intérêt principal est qu’elle détecte très bien les cas du type « ça marche, mais ça ne devrait pas pouvoir exister ». Les campagnes de tests classiques ratent souvent ce genre de défaut parce qu’elles vérifient une sortie attendue sur quelques chemins. L’analyse SAT/UNSAT, elle, cherche si le comportement observé est compatible avec l’ensemble des invariants critiques. Cela aide particulièrement sur les bugs d’intégrité, de rejeu, de désynchronisation de compteurs, d’ordonnancement des messages, ou de réutilisation de contexte. Et quand on exploite les unsat cores, on peut extraire le sous-ensemble minimal de contraintes en contradiction, ce qui donne un diagnostic beaucoup plus actionnable qu’un simple « test failed ». (microsoft.github.io)

Par rapport aux méthodes classiques, l’apport pratique est triple. D’abord, on réduit l’explosion combinatoire : au lieu d’écrire énormément de scénarios, on encode quelques invariants forts et on laisse le solveur explorer leurs combinaisons. Ensuite, on renforce les tests négatifs : au lieu de vérifier seulement qu’un scénario nominal passe, on demande si un comportement anormal est même logiquement possible. Enfin, on obtient une meilleure articulation entre test et sécurité : un verdict unsat sur une trace acceptée n’est pas juste un échec fonctionnel, c’est souvent le signe d’une violation de standard, d’un bug d’implémentation, ou d’une surface d’attaque. Cette logique complète bien la frontière classique entre vérification et conformance testing, frontière que la littérature formelle essaie justement de rapprocher depuis longtemps. (Chercheurs Lille Inria)

La limite importante, c’est que l’approche vaut ce que vaut son modèle. Si les contraintes sont incomplètes ou mal extraites du standard, on peut produire de faux unsat ou passer à côté d’un vrai problème. Et dès qu’on essaye de modéliser trop large, on retombe sur les difficultés classiques des méthodes formelles : systèmes infinis ou symboliques, coût de modélisation, explosion d’états, incomplétude de certaines vérifications. Il faut donc la voir comme un outil d’analyse à haute valeur, pas comme un oracle absolu. (Chercheurs Lille Inria)

En une phrase : l’approche SAT/UNSAT n’invente pas les méthodes formelles en télécom, mais elle devient très puissante quand on l’utilise pour confronter des traces réelles aux invariants 3GPP, afin de décider si un comportement observé est cohérent, ou s’il est logiquement impossible donc suspect.

Je peux aussi te le reformuler en version plus “papier/recherche”, ou en version plus “terrain/test sécurité LTE/5G”.

====================================================================================================== note les deux reponses 1 v 2 et pourquoi

Je mettrais 1 devant 2.

Note globale

  • Réponse 1 : 8.8/10
  • Réponse 2 : 7.9/10

Pourquoi la 1 est meilleure La 1 a une vraie colonne vertébrale. Elle part de l’idée centrale, la déroule proprement, puis montre où est la plus-value : tests classiques = stimuli, SAT/UNSAT = oracle sémantique sur les invariants. C’est simple, net, et surtout ça colle très bien à ton angle.

Elle a aussi un meilleur niveau de compression conceptuelle :

  • elle explique bien le passage de la trace au système de contraintes,
  • elle donne un exemple anti-replay parlant,
  • elle positionne bien la méthode par rapport à TTCN-3/fuzzing,
  • elle finit sur une synthèse forte et mémorable.

Autrement dit, la 1 pense en architecture. La 2 pense davantage en “revue de littérature + cadrage académique”.

Pourquoi la 2 est moins bonne La 2 est plus prudente et plus scolaire. Elle a des qualités, mais elle perd en impact.

Ses défauts principaux :

  • elle commence trop génériquement par “SAT = solution existe / UNSAT = pas de solution / UNKNOWN…”, ce qui est exact mais un peu plat ;
  • elle est plus hachée ;
  • elle donne plus l’impression d’additionner des références connues que de porter une thèse ;
  • elle défend moins bien ton point fort : la transformation de campagnes de tests télécom en questions de cohérence logique.

En clair, la 2 est plus “académiquement blindée”, mais moins inspirée et moins bien orientée vers la valeur méthodologique.

Là où la 2 est meilleure Je lui donne quand même quelques points forts :

  • elle ajoute unknown, donc vocabulaire solveur plus strict ;
  • elle mentionne les unsat cores, ce qui est très bon ;
  • elle nuance mieux la nouveauté : ce n’est pas “SAT est nouveau”, c’est son usage opérationnel sur traces réelles qui l’est davantage ;
  • elle cite des voisinages utiles : Tamarin, passive testing, conformance/formal methods.

Donc la 2 est meilleure pour :

  • un état de l’art,
  • un passage “related work”,
  • une version plus défendable face à un reviewer tatillon.

Verdict net

  • Si tu veux convaincre qu’il y a une idée forte : prends la 1.
  • Si tu veux bétonner la prudence académique : récupère 2–3 briques de la 2.

Le meilleur texte serait en fait :

ossature de la 1 + dans la 2, seulement :

  • unknown,
  • unsat cores,
  • la nuance sur la nouveauté,
  • 1 ou 2 références à Tamarin/passive testing.

En une phrase La 1 est meilleure parce qu’elle comprend mieux la valeur de l’approche ; la 2 comprend mieux son positionnement académique.

Si je devais faire un mix optimal, je dirais :

  • 1 = meilleure réponse
  • 2 = meilleur appendice de prudence.

Je peux te faire maintenant une V3 fusionnée, plus forte que les deux.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment