PRÉSENTATION :

Les organisations humaines de toutes tailles dépendant aujourd’hui très fortement de leurs systèmes informatiques, si bien que leur sécurité est devenue un enjeu crucial.

Il convient donc, dans une approche préventive, de définir et de mettre en œuvre des politiques de sécurité pour les divers types d'environnement informatique existant. Nous nous intéressons pour notre part à la sécurité des réseaux auto-organisés, c'est-à-dire des réseaux se caractérisant par l’absence d’autorité globale à même de définir et de maintenir une politique de sécurité. Cette absence d’autorité se traduit pas la nécessité d’intégrer, au niveau de chaque nœud du réseau, des mécanismes permettant de constituer et de gérer le dit réseau. La notion de réseaux auto-organisés est naturellement présente dans l’informatique ambiante (ubiquitous computing) avec les réseaux ad hoc (ou MANET pour Mobile Ad hoc NETwork), mais également dans les systèmes distribués avec les réseaux pair-à-pair (P2P).

Il convient en outre, dans une approche corrective tenant compte de failles toujours possibles, de contrôler le respect de la politique de sécurité. En d’autres termes, on cherchera à détecter, dans un environnement informatique donné, toute action non conforme à la politique. C’est la détection d’intrusions. Les principaux outils de détection d’intrusions couramment utilisés de nos jours ne permettent de détecter que des attaques déjà répertoriées (approche dite par signature). Ils se heurtent donc au problème quotidien des nouvelles formes d’attaques.

ACTIVITÉS/OBJECTIFS :

Dans le cas des réseaux ad hoc, la problématique est la mise en place des mécanismes de routage nécessaires à l’interconnexion des nœuds.
Dans le cas des réseaux P2P, les problèmes relèvent davantage du partage et de la distribution de l’information. Du point de vue de la sécurité, les réseaux auto-organisés n’introduisent pas réellement de nouveaux problèmes. En revanche, l’absence d’autorité centrale en charge de gérer les infrastructures et les usages a des conséquences importantes. En particulier, chaque nœud doit considérer qu’il évolue dans un environnement « à risque » et donc mettre en place les mécanismes lui permettant de se protéger contre les nœuds malveillants, éventuellement en collaborant avec les nœuds qu’il sait être bienveillants. Au niveau des réseaux ad hoc, nous avons ainsi proposé une solution permettant à chaque nœud de contrôler le comportement des autres nœuds au regard du protocole de routage. Notre solution repose sur l’expression formelle des règles de confiance induite implicitement par le protocole de routage. Ces règles permettent à chaque nœud de détecter les incohérences entre les informations reçues et les données locales, et ainsi de se méfier des nœuds qui fournissent les fausses informations. Voir exemple ci- contre. Dans les réseaux P2P, nous avons proposé un système de contrôle d'accès distribué permettant de restreindre le réseau à un ensemble de nœuds ayant un comportement sain. Notre système repose sur un schéma de cryptographie à seuil adaptatif. L’accès au réseau est conditionné par l’obtention d’un certificat cosigné par un nombre variable de nœuds, chaque nœud utilisant SybilGuard afin d’empêcher un membre de contrôler une partie disproportionnée des identifiants (sybil attack). En outre, lorsqu’un nœud malveillant est détecté, son certificat est révoqué, la révocation de faisant suivant le même schéma que l’obtention d’un certificat.

Pour contourner l'incapacité des outils de détection d'intrusions classiques à détecter des formes d'attaque inconnues, la « détection d’anomalies » résonne par négation : elle consiste à confronter le comportement courant de l’entité surveillée à un modèle de comportement de référence estimé normal et construit préalablement.
Une alerte est émise si le comportement courant ne correspond pas à la référence. Le modèle de référence est classiquement construit par apprentissage. Par exemple, le comportement d’un processus applicatif est observé pendant le temps nécessaire à la découverte de toutes les suites d’une longueur donnée d’appels systèmes émis par ce processus.
En phase de détection, toute suite de cette longueur qui ne se trouvent pas dans le modèle donne lieu à alarme. En effet, une attaque par injection de code, par exemple peut expliquer cette situation.

Notre contribution au domaine de la détection d’intrusions s’inscrit dans le cadre de la détection d’anomalies. Cependant, nous cherchons à construire des modèles de référence en évitant toute forme d’apprentissage. En effet, un modèle appris peut être incorrect (la phase d’apprentissage peut inclure des attaques) ou incomplet (il est difficile voire impossible de savoir si toute les situations possibles ont été rencontrées pendant l’apprentissage). Pour éviter l’apprentissage, nous avons exploré diverses pistes. Par exemple, dans l’exemple présenté ci-contre, le modèle de référence est implicite, chaque version constituant un modèle pour les autres. Une autre approche qui nous semble particulièrement intéressante, consiste à faire de la politique de sécurité la référence. Nous avons proposé un mécanisme de surveillance des flux d'information paramétré par la politique, qui permet de détecter tout accès à l'information illégal au regard de la dite politique, et ce même lorsque l'information n'est plus dans son conteneur d'origine. Ce mécanisme de détection de flux illégaux peut être implanté à divers niveaux. Nous disposons d’une implantation au niveau système d’exploitation et au niveau langage (java/JVM).

THÈMES DE RECHERCHE :