Ce laboratoire est associé à

CYBERSECURITÉ

L'ambition à long terme est de contribuer à construire des systèmes distribués qui sont dignes de confiance et respectueux de la vie privée, même lorsque certains nœuds du système ont été compromis.

Avec cet objectif en tête, le groupe CIDRE se concentre sur trois aspects différents de la sécurité, à savoir la confiance, la détection d'intrusion et le respect de la vie privée, ainsi que sur les ponts qui existent entre ces aspects. En effet, nous pensons que pour étudier de nouvelles solutions de sécurité, il faut tenir compte du fait qu'il est désormais nécessaire d'interagir avec des dispositifs dont les propriétaires sont inconnus. Pour réduire le risque de se fier à des entités malhonnêtes, un mécanisme de confiance est un outil de prévention essentiel qui vise à mesurer la capacité d'un nœud distant à fournir un service conforme à sa spécification. Un tel mécanisme devrait permettre de surmonter les suspicions infondées et de prendre conscience des mauvais comportements établis. Pour identifier ces mauvais comportements, des systèmes de détection d'intrusion sont nécessaires. Ces systèmes visent à détecter, en analysant les flux de données, si des violations des politiques de sécurité ont eu lieu. Enfin, la vie privée, qui est désormais reconnue comme un droit individuel fondamental, doit être respectée malgré la présence d'outils et de systèmes qui observent en permanence, voire contrôlent, les actions ou les comportements des utilisateurs.

L'équipe CIDRE considère trois niveaux d'étude complémentaires :

  • Le niveau du nœud : Le terme nœud désigne soit un dispositif qui héberge un client ou un service réseau, soit le processus qui exécute ce client ou ce service. La gestion de la sécurité des nœuds doit faire l'objet d'une attention particulière, car du point de vue de l'utilisateur, la sécurité de ses propres dispositifs est cruciale. Les informations et services sensibles doivent donc être protégés localement contre diverses formes d'attaques. Cette protection peut prendre une double forme, à savoir la prévention et la détection.
  • Le niveau du groupe : Les applications distribuées reposent souvent sur l'identification d'ensembles d'entités en interaction. Ces sous-ensembles sont appelés groupes, clusters, collections, voisinages, sphères ou communautés selon les critères qui définissent leur appartenance.

Entre autres, les critères adoptés peuvent refléter le fait qu'une personne unique administre ses membres, ou qu'ils partagent la même politique de sécurité. Ils peuvent également être liés à la localisation des entités physiques, ou au fait qu'elles doivent être fortement synchronisées, ou encore qu'elles partagent des intérêts mutuels.

En raison du grand nombre de contextes et de terminologies possibles, nous nous référons à un seul type d'ensemble d'entités, que nous appelons ensemble de nœuds. Nous supposons qu'un nœud peut localement et indépendamment identifier un ensemble de nœuds et modifier la composition de cet ensemble à tout moment. Le nœud qui gère un ensemble doit connaître l'identité de chacun de ses membres et doit pouvoir communiquer directement avec eux sans faire appel à un tiers.

Malgré ces deux restrictions, cette définition reste suffisamment générale pour inclure comme cas particuliers la plupart des exemples mentionnés ci-dessus. Bien sûr, des comportements plus restrictifs peuvent être spécifiés en ajoutant d'autres contraintes.
   

Nous sommes convaincus que la sécurité peut bénéficier de l'existence et de l'identification d'ensembles de nœuds de taille limitée, car ils peuvent contribuer à améliorer l'efficacité des mécanismes de détection et de prévention.

  • Le niveau du réseau ouvert : Dans le contexte des systèmes distribués et dynamiques à grande échelle, l'interaction avec des entités inconnues devient une habitude inévitable malgré le risque induit. Par exemple, considérons un utilisateur mobile qui connecte son ordinateur portable à un point d'accès Wi-Fi public pour interagir avec son entreprise.

 À ce stade, les données (qu'elles aient de la valeur ou non) sont mises à jour et gérées par des entités non dédiées et non fiables (c'est-à-dire l'infrastructure et les nœuds de communication) qui fournissent de multiples services à de multiples parties pendant cette connexion utilisateur. De la même manière, le même appareil (par exemple, un ordinateur portable, un PDA, une clé USB) est souvent utilisé pour des activités professionnelles et privées, chaque activité accédant et manipulant des données décisives.

 

 

FAITS MARQUANTS

Best Paper Award at SAR-SSI 2014

La supervision des systèmes distribués s'appuie fortement sur les mécanismes de corrélation qui sont chargés de collecter les alertes provenant des capteurs et de détecter des scénarios complexes dans le flux d'alertes. Le problème est que cela nécessite l'écriture de règles de corrélation complexes. Le travail que nous avons réalisé propose une technique pour générer de manière semi-automatique de telles règles de corrélation.

ESORICS 2014 Best Student Paper Award

Une approche pour protéger la vie privée des utilisateurs dans les systèmes de recommandation personnalisée consiste à publier une version aseptisée du profil de l'utilisateur en s'appuyant sur un mécanisme non interactif conforme au concept de confidentialité différentielle. Dans un travail conjoint avec l'équipe de LinkMedia Inria, nous avons considéré deux schémas existants offrant une représentation différentiellement privée des profils : BLIP (BLoom- and-flIP) et JLT (Johnson-Lindenstrauss Transform). Nos contributions sont une analyse théorique et des implémentations pratiques de deux attaques testées sur des ensembles de données composés de profils d'utilisateurs réels, révélant que le décodage conjoint est l'attaque la plus puissante.

CHIFFRES-CLES
 

  • Enseignants-chercheursc: 12
  • Doctorants: 16
  • Post-Doc: 1
  • Rank A publications (Source: Web Of Science): 14
  • Contracts: 394 K€

 

PARTENAIRES ACADEMIQUES

La Sapienza university, Technische Universitaet Hamburg-Harburg, Inria, CNRS, INSERM, LAAS, LIRIS, Rennes 1 university, Nantes university, Institut Mines-Telecom, ENS Rennes, ENSI Bourges, ENSI Caen.

 

PARTENAIRES INDUSTRIELS

RHEA Systems SA, Alcatel-Lucent Bell Labs France, EPIST, DGA-MI, Thales, NEC Corporation, Microsoft, Atos Wordline, CS, Technicolor, Hewlett Packard, Orange Labs, Oberthur Technologies, ACEA, Amossys, Mobigis, Tisséo, CryptoExperts, MoDyCo.

 

CONTACT

Web site: http://www.rennes.supelec.fr/ren/rd/cidre/

Leader: Christophe Bidan

Tél : (+33) 2 99.84.45.00
Fax : (+33) 2 99.84.45.99

Mail : christophe.bidan@centralesupelec.fr

Les dernières publications

Communication dans un congrès
06/09/2021
DAMAS: Control-Data Isolation at Runtime through Dynamic Binary Modification
Camille Le Bon, Erven Rohou, Frédéric Tronel, Guillaume Hiet
Article dans une revue
20/06/2021
Byzantine-tolerant Uniform Node Sampling Service in Large-scale Networks
Emmanuelle Anceaume, Yann Busnel, Bruno Sericola
Communication dans un congrès
07/06/2021
TRAITOR: A Low-Cost Evaluation Platform for Multifault Injection
Ludovic Claudepierre, Pierre-Yves Péneau, Damien Hardy, Erven Rohou
Article dans une revue
17/05/2021
Chemical Composition of Apples Cultivated in Norway
Trude Wicklund, Sylvain Guyot, Jean-Michel Le Quéré
Pré-publication, Document de travail
03/05/2021
Stochastic analysis of algorithms for collecting longitudinal data
Frédérique Robin, Bruno Sericola, Emmanuelle Anceaume
Voir toutes les publications du laboratoire sur HAL