Vendredi 25 Février 2011 «Proposition de nouveaux mécanismes de protection contre l’usurpation d’identité pour les fournisseurs de services Internet.»

La thèse sera soutenue par Aroua Biri, doctorant du département RS2M

Vendredi 25 Février 2011 à 14h30

Sur le campus de Télécom SudParis, 9 rue Charles Fourier à Evry, en salle C06.

Jury

* Pr. Bernard Cousin, professeur à l’IFSIC (Rapporteur)
* Dr. Hasnaa Moustafa, ingénieur de recherche senior, Orange labs (Rapporteur)
* Pr. Guy Pujolle, professeur à Paris VI (Examinateur)
* M. Olivier Mary, associé de la société OPPIDA (Examinateur)
* Pr. Hossam Afifi, professeur à Télécom SudParis (Directeur de thèse)

Résumé

« Dans cette thèse, nous proposons des mécanismes de protection contre l’usurpation d’identité lors de la connexion aux fournisseurs de service Internet (FSIs) depuis les réseaux personnels ainsi que des mécanismes de protection contre l’usurpation d’identité pour les réseaux de cœur.

Les mécanismes de protection contre les attaques d’usurpation d’identité dans un contexte privé ainsi que dans un contexte public sont cruciaux pour l’adoption par les clients des nouvelles applications offertes par les FSIs.

Nous proposons ainsi un premier mécanisme dédié à la phase de formation et d’usage des réseaux personnels et un second dédié au cas particulier des réseaux médicaux personnels. Dans le contexte d’accès d’un équipement personnel au réseau d’un FSI depuis un lieu public, nous proposons un protocole inter-couche basé sur les principes de la théorie de l’information.

Par ailleurs, les FSI comptent sur les protocoles de routage qu’ils déroulent pour participer au bon acheminement des données de leurs clients. Cependant, le protocole intra-domaine OSPF et le protocole inter-domaine BGP sont vulnérables aux attaques utilisant la technique de l’usurpation d’identité qui peuvent conduire à l’acheminement des paquets vers des destinataires non légitimes ou au déni de service.

D’une part, afin de protéger les routeurs OSPF contre les attaques utilisant la technique d’usurpation d’identité, nous avons préconisé le stockage de l’identité et du matériel cryptographique dans un coffre-fort électronique que sont les cartes à puce. Les cartes déroulent ensuite un algorithme de dérivation de clés avec les cartes des routeurs voisins ainsi qu’avec celle du routeur désigné.

Les clés dérivées entre les cartes à puce servent à signer les messages OSPF et à authentifier le niveau MAC. Nous avons décrit par la suite la plateforme du démonstrateur et les scénarios de tests adoptés pour évaluer les performances de notre prototype.

D’autre part, afin de protéger les routeurs BGP contre les attaques utilisant la technique d’usurpation d’identité, nous avons préconisé la « clustérisation » des domaines Internet et la sécurisation des liens entre les clusters ainsi qu’au sein de chacun d’eux grâce aux paradigmes de « web of trust » et de la cryptographie sans certificats.

En plus de se protéger contre les attaques au niveau des protocoles de routage, les fournisseurs de services Internet se doivent d’octroyer à leurs clients des adresses IP dont l’usurpation peut être détectée, neutralisée et tracée.

L’attribution des adresses IP se fait lors de la connexion du client au fournisseur de services Internet. Nous avons donc repensé le mécanisme d’octroi des adresses IP et nous avons également proposé une nouvelle extension pour DNSSEC pour assurer la correspondance entre l’adresse IP du client et sa clé publique. »