AVIS DE SOUTENANCE de Monsieur Nathanaël DENIS

L’Ecole doctorale : Ecole Doctorale de l’Institut Polytechnique de Paris

et le Laboratoire de recherche SAMOVAR – Services répartis, Architectures, Modélisation, Validation, Administration des Réseaux

présentent

l’AVIS DE SOUTENANCE de Monsieur Nathanaël DENIS

Autorisé à présenter ses travaux en vue de l’obtention du Doctorat de l’Institut Polytechnique de Paris, préparé à Télécom SudParis en :

Informatique

« Pour un internet des objets sécurisé et respectueux de la vie privée basé sur le contrôle d’usage et les registres distribués »

le mardi 3 octobre 2023 à 14h00 à

Amphi 2
Télécom SudParis, 19 Place Marguerite Perey, 91120 Palaiseau

Membres du jury :

Mme Maryline LAURENT, Professeure, Télécom SudParis, FRANCE – Directrice de thèse
Mme Sophie CHABRIDON, Directrice d’études, Télécom SudParis, FRANCE – Co-encadrante de thèse
Mme Sara TUCCI, Cheffe de laboratoire, CEA-LIST, FRANCE – Examinatrice
M. Philippe PUCHERAL, Professeur, Université de Versailles/St-Quentin, FRANCE – Examinateur
M. Vincent ROCA, Chargé de recherche, INRIA, FRANCE – Rapporteur
M. Mawloud OMAR, Professeur, ENSIBS, FRANCE – Rapporteur

« Pour un internet des objets sécurisé et respectueux de la vie privée basé sur le contrôle d’usage et les registres distribués »

présenté par Monsieur Nathanaël DENIS

Résumé :

Les objets connectés représentent l’une des principales cibles de la cybercriminalité. Les raisons en sont multiples : d’abord, pour limiter le coût de la sécurité, les fabricants peuvent vendre des produits vulnérables avec des failles de sécurité. Deuxièmement, de nombreux objets connectés sont soumis à des contraintes de performance et ne disposent pas de la puissance nécessaire pour exécuter des logiciels de sécurité. Enfin, l’hétérogénéité des applications, du matériel et des logiciels élargit la surface d’attaque. Pour parer à ces menaces, l’Internet des Objets (IoT) a besoin de technologies de sécurité et de préservation de la vie privée sur mesure. En ce qui concerne la protection de la vie privée, le contrôle d’usage donne aux utilisateurs la possibilité de spécifier comment leurs données peuvent être utilisées et par qui. Le contrôle d’usage étend le contrôle d’accès classique en introduisant des obligations, c’est-à-dire des actions à effectuer pour obtenir l’accès, et des conditions qui sont liées à l’état du système, comme la charge du réseau ou le temps. Cette thèse vise à apporter des réponses aux défis de l’internet des objets en termes de performance, de sécurité et de respect de la vie privée. Pour cela, les registres distribués (DLT) constituent, de par leur caractère décentralisé, une solution prometteuse aux contraintes de l’internet des objets, en particulier pour les micro-transactions. Cela se traduit par trois contributions: 1. un ensemble de technologies pour des transactions sans frais préservant la vie privée, conçu pour passer à l’échelle; 2. une méthode d’intégration du contrôle d’usage et des registres distribués pour permettre une protection efficace des données des utilisateurs; 3. un modèle étendu pour le contrôle d’usage dans les systèmes distribués, afin d’y ajouter le contrôle de flux décentralisé et les aspects liés à l’internet des objets. Une preuve de concept de l’intégration (2) a été mise en place pour démontrer la faisabilité et effectuer des tests de performance. Elle s’appuie sur IOTA, un registre distribué qui utilise un graphe orienté acyclique pour son graphe de transactions au lieu d’une blockchain. Les résultats des tests de performance sur un réseau privé montrent une diminution d’environ 90% du temps nécessaire pour effectuer des transactions et pour évaluer des politiques de contrôle d’usage, dans le cas où ce dernier est intégré au réseau.


Abstract :

IoT devices represent one of the major targets for malicious activities. The grounds for this are manifold: first, to reduce the cost of security, manufacturers may sell vulnerable products, leaving users with security concerns. Second, many IoT devices have performance constraints and lack the processing power to execute security software. Third, the heterogeneity of applications, hardware, and software widens the attack surface. As a result, IoT networks are subject to a variety of cyber threats. To counter such a variety of attacks, the IoT calls for security and privacy-preserving technologies. For privacy concerns, usage control grants the users the power to specify how their data can be used and by whom. Usage control extends classic access control by introducing obligations, i.e., actions to be performed to be granted access, and conditions that are related to the system state, such as the network load or the time. This thesis aims at providing answers to the challenges in the Internet of Things in terms of performance, security and privacy. To this end, distributed ledger technologies (DLTs) are a promising solution to Internet of Things constraints, in particular for micro-transactions, due to the decentralization they provide. This leads to three related contributions: 1. a framework for zero-fee privacy-preserving transactions in the Internet of Things designed to be scalable; 2. an integration methodology of usage control and distributed ledgers to enable efficient protection of users’ data; 3. an extended model for data usage control in distributed systems, to incorporate decentralized information flow control and IoT aspects. A proof of concept of the integration (2) has been designed to demonstrate feasibility and conduct performance tests. It is based on IOTA, a distributed ledger using a directed acyclic graph for its transaction graph instead of a blockchain. The results of the tests on a private network show an approximate 90% decrease in the time needed to push transactions and make access decisions in the integrated setting.