Université de technologie de Troyes

Thèmes de recherche

Contenu

Sécurité

Le Cloud Computing (le Nuage) est l'un des segments qui connaît la plus forte et rapide évolution de l'industrie IT. Toutefois, si ses nombreux avantages sont principalement utilisés pour soutenir une activité́ légitime, il est maintenant détourné́ de son utilisation première : des utilisateurs malveillants tirent parti de sa puissance et de sa rapidité́ à déployer des services pour le transformer en un support d'attaque. Les botnets soutenant les attaques par déni de service distribuées (DDoS) sont parmi les plus grands bénéficiaires de cette utilisation malveillante car ils peuvent être mis en place à la demande et à très grande échelle. Pour les opérateurs de services Cloud, prévenir leur infrastructure d'une transformation en une plate-forme d'attaque est très difficile car cela nécessite la détection des menaces à la source, dans un environnement à grande échelle, très dynamique et hétérogène. Dans ce cadre, nous nous sommes intéressés à la détection d'attaques DDoS mises en œuvre dans un Cloud. Notre travail présente deux originalités en regard de l'état de l'art. Tout d'abord il propose d'effectuer une détection et contre-mesure à la source de l'attaque. Enfin, il consiste en l'utilisation de métriques liées à l'empreinte système des machines virtuelles, chose qui n'est pas rendue possible dans le cas d'un botnet infectant des machines physiques contrôlées par des utilisateurs quelconques. Pour ce faire, nous avons effectué une large campagne expérimentale (environ 250 millions de traces collectées), dans laquelle nous avons reproduit ces attaques in situ, ce qui nous a permis de comprendre le comportement opérationnel d'un botcloud et de conclure quant à sa possible détection. Nous avons ensuite conçu un système distribué de détection d’attaques, reposant sur un réseau d’overlay pair à pair, capable de répondre aux contraintes opérationnelles des infrastructures cloud qui sont-elles mêmes distribuées, dynamiques et à grande échelle. Ce travail est en cours de poursuite dans le cadre du projet Request au sein duquel nous nous intéressons au cas de la mise en œuvre d’attaques dissimulées dans une charge légitime et l’étude spécifique du support du facteur d’échelle de nos solutions pour faire face à la problématique des grands volumes de données.

 

Une nouvelle thématique a émergé sur la sécurisation des terminaux nomades (investigation numérique, détection et l’analyse de comportements atypiques, conception d’applications embarquées sécurisées) grâce à un partenariat avec l’IRCGN (Institut de Recherche Criminelle de la Gendarmerie Nationale). Ce partenariat a eu pour résultat la labellisation de trois projets de recherche financés (Cybercriminalité et Smartphone (CyS) financé par le GIS 3SGS ; Cybercriminalité, Nomadisme et Intelligence éConomique (CyNIC) financé par le CPER CRCA et le projet Confiance Numérique et Nomadisme (CnN) associé à une thèse CIFRE.

 

 Le projet CyNIC se focalise sur la détection et l’analyse de comportements atypiques (à risque, malveillants) dans l’usage des terminaux nomades et des réseaux sociaux dans un contexte professionnel. Il s’agit d’améliorer l’exhaustivité et l’exploitation de la collecte des données en faisant émerger des informations cachées (bases de données embarquées, traces de connexions vers des réseaux sociaux et les autres services). Il s’agit aussi de concevoir des dispositifs de collecte temps-réel de paramètres sur le comportement et l’usage du mobile pour la détection de modes de fonctionnement atypiques. Nous avons proposé un système estimant le taux d’anormalité dans l’utilisation d’un smartphone. Notre solution se base sur un agent applicatif installé sur le Smartphone pour la collecte et l’analyse des différentes métriques du système, qui seront transmises par la suite, en utilisant une connexion sécurisée (SSL), à un serveur distant pour décider de l’état du Smart- phone. L’algorithme de détection développé utilise les réseaux bayésiens.

 

Nous traitons le problème de façon systémique en ne mettant pas de côté les plateformes de socialisation qui constituent l’une des principales portes d’interactions de l’appareil avec l’extérieur. Les études réalisées nous ont permis de proposer deux techniques pour détecter les comportements anormaux : la méthode DCM (déterminant de covariance minimale) et la méthode VEM (volume d’ellipsoïde minimale). Nous avons ensuite proposé plusieurs techniques basées sur le clustering pour séparer les comportements normaux et anormaux des applications et calculer un score d’atypicité pour chaque application nomade. 
L’approche DCM (à l’échelle de l’Internet) a permis de valider le rôle des différents indicateurs (visibilité, agressivité et danger) qui ont été proposés pour la classification des profils sur les plateformes de socialisation. Grâce à notre collaboration avec l’Université de Ballarat (Australie), nous avons pu développer une approche commune qui intègre nos indicateurs avec des approches de fouilles de données centrées sur l’identification des auteurs dans le cadre de la détection d’attaques à grande échelle telle que les « campagnes » de propagation d’URL malveillants, de contenus illicites, etc. L’approche VEM est à l’échelle du smartphone comme point de vulnérabilité exploitable pour des attaques plus ciblées : notre approche « multicouches » repose sur l’exploration des traces des différentes applications sociales (appelés couches) du téléphone (téléphonie, messagerie, réseaux sociaux, etc.) pour la construction d’un indicateur de pertinence (ou confiance). Cet indicateur est calculé sur la base des redondances des contacts dans les différentes couches. Il fournit à l’utilisateur du téléphone exploré une vision du niveau de confiance qu’il peut accorder aux contacts présents dans ses réseaux.

 

Le projet CnN concerne la prise en compte de la sécurité et des principes de la protection de la vie privée (Privacy By Design) dès la phase de conception des applications pour terminaux nomades (smartphones, tablettes). En 2012, nous avons étudié des motifs de conception d’architecture pouvant être mis en œuvre dans le cadre des développements d’applications Android. Ces recherches ont abouti à l’élaboration d’un framework architectural (passive-MVC) open source plus stricte pour améliorer la qualité et la sécurité des développements sous Android.

 

Mais, les développeurs d’applications mobiles ne disposent pas de méthodologie pour les guider dans le développement d’applications respectant la vie privée de l’utilisateur. Nous avons abordé cette problématique en commençant par la modélisation d’une application « Privacy by Design ». Nous avons orienté notre étude sur les systèmes de permission et proposé un nouveau système de permissions respectant la notion de « Privacy by Design » qui doit améliorer la situation actuelle des applications mobiles vis-à-vis de la sécurité et du respect de la vie privée.