DecompAI - L'IA qui révolutionne le reverse engineering

Si vous aimez faire un peu de reverse engineering, et que souvent, vous galérez à déchiffrer du code assembleur qui ressemble à des hiéroglyphes, alors voici un outil qui devrait vous plaire. Développé par les frenchies Louis Gauthier et Clément Florval, DecompAI transforme vos sessions d’analyse de binaires en conversations parfaitement naturelles pour décortiquer vos binaires.

Avec DecompAI, c’est terminé le jonglage permanent entre différents outils tels que Ghidra pour décompiler, GDB pour débugger, objdump pour désassembler, ou radare2 pour analyser. Cette fragmentation vous oblige à maintenir mentalement le contexte entre les applications, ça ralentit votre workflow et ça multiplie les risques d’erreur. Du coup, cette approche conversationnelle a son intérêt car au lieu de mémoriser des dizaines de commandes cryptiques, vous décrivez simplement vos besoins en langage naturel du genre : “Décompile-moi la fonction main”, “Montre-moi les strings intéressantes” ou “Analyse cette fonction suspecte”. L’agent DecompAI orchestre alors automatiquement les bons outils avec les paramètres appropriés.

Et ça marche vraiment ! Pour preuve, DecompAI résout automatiquement des challenges CTF Root-Me de niveau 3/5, ce qui correspond à un niveau intermédiaire-avancé en reverse engineering. Pour vous situer le niveau, Root-Me reste LA référence francophone en matière de challenges de hacking éthique.

Maintenant, sous le capot, l’architecture révèle une approche sophistiquée puisque le système exploite un agent ReAct (Reasoning and Acting) qui alterne intelligemment entre réflexion et action. Grosso modo, l’IA analyse votre demande, planifie les étapes, exécute les outils appropriés, interprète les résultats et vous livre une synthèse compréhensible. Le tout repose sur LangGraph et LangChain pour gérer les workflows d’IA, avec un container Docker privilégié embarquant une distribution Kali Linux complète.

Cette approche conteneurisée résout d’ailleurs brillamment le calvaire des conflits de dépendances entre outils de sécurité. Le container inclut une stack impressionnante : Ghidra 11.3.1 avec support Java 21, radare2 avec les plugins r2dec et r2ghidra, l’arsenal complet des utilitaires Kali, plus tous les outils de développement standards. Et cet environnement reste reproductible et sécurisé, parfaitement isolé du système hôte.

La gestion des sessions exploite également un système ingénieux de hash SHA-256 du binaire analysé, créant ainsi un workspace unique et persistant. Chaque session conserve l’historique des commandes, les fichiers générés, et l’état des outils stateful comme radare2. Cette persistance permet ainsi des analyses complexes étalées sur plusieurs jours sans perte de contexte, ce qui est un vrai plus pour s’attaquer aux gros binaires.

L’intégration avec les LLM cloud offre aussi un compromis malin entre performance et accessibilité. Vous pouvez utiliser OpenAI GPT-4 ou Google Gemini selon vos préférences et votre budget. Google propose d’ailleurs un tier gratuit généreux avec Gemini, rendant l’outil accessible sans investissement initial. Et le code de DecompAI reste facilement adaptable pour des LLM locaux si vous avez besoin de plus de confidentialité.

Et au niveau de l’UI, c’est hyper simple ! Vous uploadez votre binaire via l’interface Gradio et vous pouvez alors immédiatement poser vos questions. “Quelles fonctions méritent mon attention ?”, “Des vulnérabilités flagrantes ?”, “Cette fonction cache quoi exactement ?”…etc.

Et l’agent est capable d’adapter automatiquement sa stratégie selon la taille du binaire. Pour les petits exécutables, il charge le désassemblage complet en mémoire. Pour les mastodontes, il privilégie une approche par résumé et analyse ciblée. Cette intelligence contextuelle évite les timeouts et optimise l’utilisation des tokens LLM.

En plus, l’outil explique ses actions en temps réel. Quand DecompAI lance une commande Ghidra complexe, il détaille pourquoi il effectue cette approche, quels paramètres il utilise, et comment interpréter les résultats. C’est donc un formidable mentor pour débuter en reverse engineering. Et pour les experts, l’accélération des phases exploratoires reste spectaculaire : de 30 minutes à 5 minutes pour identifier les fonctions critiques d’un binaire inconnu.

Et l’aspect collaboratif homme-machine permet de demander à l’agent de documenter ses découvertes, générer des scripts Python pour automatiser certaines tâches, créer des rapports d’analyse structurés et ainsi, votre session devient un véritable labo partagé.

Bien sûr, DecompAI présente quelques limitations à connaître comme le support des fichiers qui se cantonne aux binaires x86 Linux ELF pour l’instant, excluant temporairement Windows PE, ARM, MIPS et autres architectures. Cette restriction figure en priorité sur la roadmap avec un support QEMU prévu. De plus, le temps de build initial peut surprendre… comptez 15 minutes minimum lors du premier lancement, le temps d’installer Kali Linux complet. Rassurez-vous, les dev prévoient des images pré-buildées pour éliminer cette friction.

La dépendance aux LLM cloud soulève également des questions de confidentialité pour analyser des binaires sensibles, même si le code permet l’intégration de LLM locaux. Enfin, le container privilégié constitue un point d’attention sécuritaire et les développeurs recommandent d’auditer le code avant tout usage en production.

Malgré ces contraintes, le potentiel de DecompAI dépasse largement ses limitations actuelles. Son architecture modulaire facilite l’ajout de nouveaux outils et architectures et surtout, la communauté active autour du projet laisse présager une évolution rapide vers un outil mature et polyvalent.

Bref, à tester d’urgence !