SAMOVAR UMR 5157

  • Accueil
  • Accueil
  • Accueil
  • Accueil

CNRS

Rechercher




Accueil > Équipes > R3S > Bilan scientifique 2008-2013 > Axes de recherche

Sécurité des réseaux et des systèmes

  • Professeurs : Hervé Debar (depuis le 1/1/2009), Maryline Laurent ;
  • Maitres de conférence : Joaquin Garcia-Alfaro (depuis le 1/1/2013), Abdallah M’hamed (HDR) (depuis le 1/1/2011) ;

Sécurité adaptée aux faibles capacités des terminaux et aux environnements sans fil

R3S répond à un double problème, celui de concevoir des approches de sécurité légères visant une très faible consommation de ressources, et celui de concevoir des solutions de sécurité adaptées à des environnements sans fil (réseau manet, mesh).

Deux solutions d’authentification mutuelles ultra légères ont été brevetées [1453, 1452]. La solution [1452] est basée sur une adaptation du cryptosystème à clés publiques NTRU asymétrique et sur la répartition astucieuse de l’effort de calcul entre un terminal de faibles capacités et un serveur central plus puissant. Elle est 5 fois plus performante en calculs que les autres solutions asymétriques.

Trois autres schémas d’authentification [943, 942, 915] utilisant la cryptographie ID-Based (IBC) et les courbes elliptiques, ont été concus pour les réseaux sans fil. En particulier, la solution [943] permet, à partir d’un simple secret partagé, qu’un client réalise une authentification mutuelle robuste auprès d’un serveur et simultanément récupère une clé privée IBC. Il est résistant aux attaques key-escrow, c.-à-d. un serveur corrompu ne peut pas retrouver la clé privée du client. Il a nécessité l’adaptation des schémas de signature et de chiffrement ID-Based.

Ces travaux ont été nominés au prix Fibre de l’Innovation 2013 et s’inscrivent dans le projet ANR RESCUEIT (classé 2nd au French-German Business Award 2011 catégorie « innovation »).

Identités numériques et protection des données personnelles

Deux voies de recherche ont été poursuivies, leur but commun étant d’automatiser la prise de décision concernant la délivrance ou non d’attributs personnels. L’une, dans un contexte de transaction électronique, a abouti à la définition d’un langage prenant en compte les aspects juridiques liés à la protection des données personnelles,
et également à la conception de mécanismes de négociation de politiques [1473] visant soit à dégrader la politique [953], soit à dégrader la précision de la donnée [1473]. L’autre, dans un contexte de systèmes collaboratifs, contribue activement au standard W3C WebID 1.0 [1399]. Elle permet à un client web disposant d’un profil personnel sous son contrôle de s’identifier sur le web, de s’authentifier avec un certificat X.509 auto-généré et de gérer l’accès à ses données personnelles dynamiquement. R3S coanime une chaire de l’Institut Mines-télécom depuis avril 2013 et contribue aux réflexions juridique, éthique, économique et technique en lien avec les informations personnelles, leur protection et les identités numériques.

Ces travaux s’inscrivent dans les projets FUI ODISEA et FC2 (Fédération de Cercles de Confiance) du pôle System@tic.

Cyberdéfense

Dans le domaine de la cyber-sécurité, l’équipe R3S s’intéresse à tous les thèmes liés à la cyber-défense : compréhension des mécanismes d’attaque, détection des attaques, évaluation des risques et aide à la décision, et gestion des contre-mesures (mitigation). R3S a en particulier travaillé sur une ontologie du domaine du SIEM (Security Information and Event Management) [892] qui permet d’exprimer les propriétés des différents composants utilisés dans une telle plate-forme.

  • Détection des attaques R3S a travaillé sur la spécification de multiples techniques de corrélation d’alertes, notamment en utilisant des données extraites de réseaux de pots de miel mondiaux [1194], avec pour but de mieux qualifier les alertes émises vers une plate-forme SIEM, et de mettre en évidence leurs points communs côté défense.
  • Aide à la décision pour la sélection des contre-mesures R3S a travaillé sur la définition de métriques quantitatives pour l’évaluation des contre-mesures, afin d’évaluer leur capacité à réduire l’impact d’une attaque sur un système d’information. En utilisant le formalisme de politiques de sécurité OrBAC, R3S a ensuite étendu les travaux menés en [984] pour prendre en compte la combinaison de multiples contre-mesures sur des attaques simples [1193].
  • Mitigation réseau R3S a travaillé sur l’utilisation du MPLS (« Multi-Protocol Label Switching ») pour lutter contre les attaques se propageant sur les réseaux très haut débit, le MPLS étant une technologie largement déployée et bien maitrisée par les opérateurs de télécommunications. Elle a défini une méthode d’usage du MPLS pour lutter contre les effets des attaques réseau et montré la possibilité de blackholes et sinkholes distribués adaptatifs [902]. Ces travaux sont en cours d’extension pour traiter le cas de l’inter-domaine.
  • Mitigation système R3S a travaillé sur les mécanismes de défense du cloud computing et a défini VESPA, un modèle permettant une défense autonome de composants utilisés dans le domaine du cloud [878, 934], fondé sur la définition de multiples boucles de rétroaction coordonnées. Ce modèle a été étendu à la protection autonomique d’un hyperviseur [1440].

Ces travaux s’inscrivent dans les projets FP7 MASSIF, FP7 DEMONS, FP7 Vis-Sense, FP7 NECOMA et ITEA2 ADAX.