Titre : Contribution à la sécurisation des réseaux ad hoc véhiculaires

Transcription

1 UNIVERSITÉ MOHAMMED V AGDAL FACULTÉ DES SCIENCES Rabat N d ordre : 2674 THÈSE DE DOCTORAT Présentée par Mohammed ERRITALI Discipline : Sciences de l ingénieur Spécialité : Informatique Titre : Contribution à la sécurisation des réseaux ad hoc véhiculaires Soutenue le : 10 Octobre 2013 Devant le jury : Président : Mr Bouabid EL OUAHIDI, PES, Faculté des Sciences de Rabat Examinateurs : Mr Mourad EL BELKACEMI, PES, Faculté des Sciences, Rabat Mr Mohammed FAKIR, PES, Faculté des Sciences et Techniques, Béni Mellal Mr Mourad GHARBI, PH, Faculté des Sciences, Rabat Mr Abderrahim SEKKAKI, PES, Faculté des Sciences, Ain Chock Casablanca Invité(e)s : Mr Daniel BOURGET, MC Télécoms Bretagne, Brest France 1

2 2

3 Résumé L évolution progressive des technologies sans fil a donné naissance à une nouvelle génération des réseaux utilisée dans les communications véhicule à véhicule ou véhicule à infrastructure afin d améliorer la sécurité routière via l échange des messages d alerte entre les véhicules de voisinage ou encore afin d offrir de nouveaux services de confort aux usagers des routes. Ces types de réseaux sont très dynamiques avec des architectures fortement décentralisées et dont les services sont organisés de manière autonome. Le problème dans ces réseaux consiste à déterminer le protocole de routage le plus adapté à cet environnement, et ensuite à le sécuriser afin de fournir un acheminement optimal et sécurisé pour les données. Dans cette thèse, nous avons proposé quelques solutions de sécurité pour les réseaux ad hoc véhiculaire à savoir: la sécurisation du protocole de routage Greedy Perimeter Stateless Routing, une méthode hybride qui utilise les deux algorithmes de datamining Random Forest et Naïve Bayes pour la construction d un système de détection comportementale et une définition formelle d une intrusion par la mise en œuvre d une ontologie de détection d intrusions dans les réseaux ad hoc véhiculaire. Mots clés : Réseaux ad hoc véhiculaires (VANETs), protocole de routage, routage sécurisé, système de détection d intrusion, Random Forest and Naïve Bayes, ontologie de détection d intrusion. 3

4 Abstract The technological advancement in Wireless network has give the birth to a new generation of networks used in vehicle-to-vehicle or vehicle to road side unit communications to improve road safety by exchanging warning messages between neighbor vehicles or to offer new comfort services to road users. These types of networks are highly dynamic with highly decentralized architectures and whose services are organized independently. The problem in these networks is to determine the best routing protocol suited to this environment characterized by rapid topology changes, then secure it to provide a safe and optimal route to data. In this thesis, we propose some security mechanisms for vehicular ad hoc networks, first, two cryptographic security mechanisms have been proposed to secure the geographic routing protocol GPSR, secondly we have examined and classified intrusion detection systems then we proposed to use a combination of two data mining algorithms Random Forest and Naive Bayes in our IDS architectures to prevent from complex and distributed attacks. Finally, we propose a formal definition of an intrusion by the development of an ontology for intrusion detection in vehicular ad hoc networks. Keywords : Vehicular Ad hoc networks (VANET),routing protocol, secure routing, intrusion detection system, Random Forest and Naive Bayes, Ontology intrusion based intrusion detection system. 4

5 AVANT PROPOS Les travaux présentés dans le mémoire ont été effectués au sein du laboratoire de recherche en informatique (L.R.I) à la Faculté des Sciences de Rabat. J exprime mes sincères remerciements au M. Bouabid EL OUAHIDI professeur à la Faculté des Sciences de Rabat, Université Mohammed V Agdal, pour avoir accepté de diriger cette thèse.je tiens à le remercier aussi pour son suivi et ses encouragements tout au long de ce travail de thèse de doctorat. Je remercie aussi M. Bouabid EL OUAHIDI pour l honneur qu il m a fait en acceptant de présider le jury de ma thèse. Ensuite, je tiens à remercier M. Mourad EL BELKACEMI professeur à la Faculté des Sciences de Rabat, M. Mourad GHARBI professeur à la Faculté des Sciences de Rabat et M. Mohamed FAKIR professeur à la Faculté des Sciences et Techniques de Béni Mellal, pour avoir consacré du temps à lecture de cette thèse ainsi pour avoir soumis leur précieux jugement sur la qualité et le contenu de ce travail. Mes remerciements s adressent également à M. Abderrahim SEKKAKI professeur à la Faculté des Sciences Ain Chock Casablanca et M. Daniel BOURGET maitre de conférences à Télécoms Bretagne Brest France, membres du jury, qui ont bien accepté de siéger au jury de cette thèse. Qu ils trouvent ici l expression de ma reconnaissance! Il est bon et juste d évoquer l appui moral ainsi que la sollicitude trouvée auprès de toute ma famille. Je tiens à exprimer mes sentiments les plus respectueux et ma profonde reconnaissance à ma cher femme Ibtissame, à mes très chers parents, à mes frères et sœurs, pour les encouragements constants qu ils ont déployé tout au long de ces années de recherche. Merci à tous les collègues du laboratoire LRI pour leur amitié et bonne humeur qui ont égayé ma vie au laboratoire. Enfin, je remercie toutes les personnes qui, de près ou de loin, ont apporté leur contribution à ce travail. Je leur exprime ici toute ma reconnaissance et ma sympathie 5

6 Table des matières Table des matières... 6 Liste des acronymes Liste des figures Liste des tables Chapitre Contexte Général I. Motivation II. Problématique étudiée III. Organisation de la thèse Chapitre Les Réseaux VANETs I. Introduction II. Architectures de communication dans les VANETs II.1 Communications Véhicule à Véhicule (V2V) II.2 Communication de véhicule à infrastructure (V2I) II. 3 Communication hybride III. Caractéristiques des VANETs IV. Les applications des VANETs IV.1 Système d alerte de collision IV.2 Conduite coopérative IV.3 La localisation par carte IV.4 Parking intelligent IV.5 Applications de confort V. Technologies de communication sans fil pour les Vanets

7 V.1 WiFi (Wireless Fidelity) V.2 Bluetooth V.3 UWB (Ultra Wide Band) V.4 ZigBee V.5 La norme IEEE p ou WAVE (Wireless Ability in Vehicular Environments) VI. Acteurs et projets de recherches et développement dans le domaine des VANETs 32 VII. Protocoles de routage Ad hoc véhiculaire VII.1. Protocole de routage basé sur la topologie VII.1.1 Protocoles proactifs VII.1.2 Protocoles réactifs VII.2 Routage géographique VIII. Environnement de simulation des VANETs IX. Conclusion du chapitre Chapitre La Sécurité des VANETs I. Introduction II. Sécurité des VANETs vs Réseaux Traditionnels III. Classification des menaces dans les réseaux ad hoc véhiculaires III.1 L interception des messages III.2 Modification des paquets III.3 Suppression des paquets de routage III.4 Usurpation d'identité III.5 L attraction du trafic III.6 Dégradation des performances de réseau III.7 La modification de la topologie III.8 L'égoïsme IV. Mécanismes de sécurité de routage ad hoc existants IV.1 Mécanisme de gestion de clés IV.2 Les protocoles de routage sécurisés IV.3 Les systèmes de détection d'intrusions V. Conclusion du chapitre

8 Chapitre Evaluation de performances des protocoles de routage I. Introduction II. Les métriques visées par notre simulation II.1 Le trafic de routage II.2 Le débit II.3 délai III. Modélisation de la simulation et Scénarios IV. Résultats et interprétation IV.1 Le trafic de routage IV.2 Le délai IV.3 Le débit V. Conclusion du chapitre Chapitre Contribution à la sécurisation des VANETs I. Introduction II. Sécurisation du protocole GPSR II.1 Détection de voisinage et échange de clés II.2 Génération de la signature numérique III. Proposition du système de détection d intrusion comportementale III.1. L algorithme ID III.2. L algorithme C III.3. L algorithme Random Forest III.4. Les réseaux de neurones Multilayer perceptron III.5. L algorithme NaïveBayes III.6. La méthode proposée IV. Ontologie pour la détection d intrusion dans les VANETs IV.1 Les techniques de détection d intrusion basée sur des ontologies IV.2 Création de l ontologie V. Conclusion du chapitre Chapitre

9 Conclusion générale et perspectives Annexe A I. Présentation de la base KDD Annexe B I. Structure d interconnexion des RNAs II. Mise en oeuvre des RNAs VI. Modèles des réseaux neuronaux VII. Règles d apprentissage Annexe C I. Algorithme ID La listes des publications La listes des communications REFERENCES

10 Liste des acronymes AES AODV ARIADNE A-STAR ASTM Advanced Encryption Standard Ad-Hoc On demand Distance Vector A Secure On-Demand Routing Protocol for Ad Hoc Networks Anchor-based Street and Traffic Aware Routing American Society for Testing and Materials BPSK Binary Phase Shift Keying C2C-CC CAR 2 CAR Communication Consortium CCH Control Channel CHM Cluster-Head module CMM Cluster-Member module CONFIDANT COoperation of Nodes Fairness In Dynamic Ad hoc NeTworks CORE COllaborative REputation CW Contention Window DAG Directed Acyclic Graph DDOS Distributed Denial of Service DSR Dynamic Source Routing DSR Dynamic Source Routing DSR Dynamic Source Routing DSRC Dedicated Short Range Communications ETSI TC European Telecommunications Standards InstituteTechnical Committee FSR Fisheye State Routing FTP File Transfer Protocol GACE Global Aggregation and Correlation Engine GF Greedy Forwarding GG Global Positioning System GLS Greedy Location Service GPCR Greedy perimeter coordinator routing 10

11 GPS Global Positioning System GPSR Greedy perimeter stateless routing GRP Geographic routing protocol GSR Geographic source routing HMAC Hashed Message Authentication Code IDS Intrusion detection system IEEE The Institute of Electrical and Electronics Engineers IP Internet Protocol. ITS Intelligent Transportation Systems JDK Java Development Kit KDD 99 Knowledge Discovery in Databases 1999 LACE Local Aggregation and Correlation Engine MAC En réseau désigne medium allocation control En cryptographie désigne message authentification code MANET Mobile Ad-hoc NETworks MD5 Message Digest 5 MLP Multi Layer Perceptron OFDM Orthogonal Frequency Division Multiplexing, OLSR : Optimized Link State Routing OMNET++ Objective Modular Network Testbed in C++ OPNET Optimized Network Engineering Tool OTCL Oriented Tool command Language PDA Personal Digital Assistant PF Perimeter Forwarding PHY Physical Layer PKI Public Key Infrastructure QAM Quadrature Amplitude Modulation QLS Quorum-based location QPSK Quadrature Phase-Shift Keying RERR Route ERRor RFC Request For Comment RNG Relative Neighborhood Graph 11

12 RREP Route REPly RREQ Route REQuest SN RS-232 Recommended Standard 232 RSU Roadside units ( infrastructure de bord de la route ) SAODV Secure Ad-Hoc On demand Distance Vector SCH Service Channel SGPSR Secure Greedy perimeter stateless routing SOLSR Secure Optimized Link State Routing SRP Secure routing protocol TCP Transport Control Protocol TESLA Timed Efficient Stream Loss-Tolerant Authentication TORA Temporally-Ordered Routing Algorithm UWB Ultra Wide Band V2I Véhicule à Infrastructure V2V Véhicule à Véhicule VANET Vehicular Ad-Hoc NETwork WAVE Wireless Ability in Vehicular Environments ZBIDS Zone based Intrusion Detection system 12

13 Liste des figures Figure 1 : Organisation de la thèse Figure 2: Types de communication dans un réseau de véhicules Figure 3: Exemple d un réseau MANETs Figure 4: Alerte de collision dans les VANETs Figure 5: Sécurité coopérative aux intersections Figure 6: Parking intelligent Figure 7: Protocole de routage pour les VANETs Figure 8: Routage Fisheye State Routing Figure 9: Relais multipoints dans OLSR Figure 10: Découvert de la route dans DSR Figure 11: Génération d'un graphe ordonné de TORA Figure 12: La réaction du protocole TORA à la mobilité des nœuds Figure 13: y est le voisin de x le plus proche de la destination D Figure 14 : X est plus proche de D que ses voisins y, w Figure 15: Principe des graphes RNG et GG Figure 16: Perimeter forwarding. D est la destination ; x est le nœud où le paquet entre en mode Perimeter Figure 17: L acheminement des paquets dans GPCR Figure 18: L attaque blackhole Figure 19: Echange de clé Diffie Hellman Figure 20: Protocoles de routage sécurisés Figure 21: Le principe du Watchdog [73] Figure 22: Le principe de confidant [74] Figure 23: Modèle d un agent IDS [76] Figure 24: La division du réseau en zone par ZBIDS [77] Figure 25: L agent IDS dans ZBIDS Figure 26: Le système de détection d'intrusion hiérarchique [78] Figure 27: Le module CMH [79] Figure 28: Le module CMM [79]

14 Figure 29: Evaluation du trafic de routage de 5 nœuds avec une mobilité de 10m/s Figure 30:Evaluation du trafic de routage de 5 nœuds avec une mobilité de 28 m/s Figure 31:Evaluation du trafic de routage de 20 nœuds avec une mobilité de 10 m/s Figure 32: Evaluation du trafic de routage de 20 nœuds avec une mobilité de 28 m/s Figure 33: Evaluation du trafic de routage de 40 nœuds avec une mobilité de 10 m/s Figure 34: Evaluation du trafic de routage de 40 nœuds avec une mobilité de 28 m/s Figure 35: Evaluation du délai de 5 nœuds avec une mobilité de 10 m/s Figure 36: Evaluation du délai de 5 nœuds avec une mobilité de 28 m/s Figure 37 : Evaluation du délai de 20 nœuds avec une mobilité de 10 m/s Figure 38: Evaluation du délai de 20 nœuds avec une mobilité de 28 m/s Figure 39: Evaluation du délai de 40 nœuds avec une mobilité de 10 m/s Figure 40: Evaluation du délai de 40 nœuds avec une mobilité de 28 m/s Figure 41 : Evaluation du débit de 5 nœuds avec une mobilité de 10 m/s Figure 42: Evaluation du débit de 5 nœuds avec une mobilité de 28 m/s Figure 43: Evaluation du débit de 20 nœuds avec une mobilité de 10 m/s Figure 44: Evaluation du débit de 20 nœuds avec une mobilité de 28 m/s Figure 45: Evaluation du débit de 40 nœuds avec une mobilité de 10 m/s Figure 46: Evaluation du débit de 40 nœuds avec une mobilité de 28 m/s Figure 47: Diagramme de séquence beaconing Figure 48: Détection de voisinage et échange de clés Figure 49: Processus de création de la signature numérique Figure 50: Processus de vérification de la signature numérique Figure 51: Système de détection d intrusion pour les VANETs Figure 52: Combinaison de Random Forest et Naïve Bayes dans la détection d intrusion Figure 53: L'ontologie de haut niveau (généré par Protégé 3.4.8) Figure 54: L'ontologie des attaques Figure 55: L'ontologie des vulnérabilités Figure 56: L'ontologie des conséquences Figure 57: Réseau multicouche Figure 58: Réseau à connexion locale Figure 59: Réseau à connexions récurrentes Figure 60: Réseau à connexion complète

15 Liste des tables Table 1: Norme IEEE Table 2: Les systèmes de détection d intrusion Table 3: Scénarios et simulations utilisés Table 4: Comparaison des protocoles de routages Table 5 : Comparaison des temps d exécution de l AES et blowfish Table 6: Liste des attaques de la base KDD Table 7: Taux de prédiction obtenu par l'algorithme ID Table 8: Taux de prédiction obtenu par l'algorithme C Table 9: Taux de prédiction obtenu par l'algorithme Random Forest Table 10: Taux de prédiction obtenu par l'algorithme neurones Multilayer perceptron Table 11: Taux de prédiction obtenu par NaïveBayes Table 12: Taux de prédiction obtenu par le système proposé Table 13:Liste des attributs des connexions de la base KDD

16 Chapitre 1 Contexte Général I. Motivation La sécurité routière est une des priorités au Royaume du Maroc. Pour aider à l'améliorer, un plan de sécurité routière d'urgence était lancé en 2008 [1], qui stipule que l objectif principal jusqu'à 2010 est de réduire le nombre de victimes de routes. Le Ministère de l Équipement et des transports marocain présente ces statistiques [1] : «Chaque année, le Maroc compte environ tués sur les routes, et plus de blessés. En 2009, notre pays a enregistré accidents corporels. Le niveau de gravité des accidents est très élevé avec 5,77 tués pour 100 accidents». A la même période le Maroc favorise une politique [1] de sécurité routière intégrée avec une attention particulière à la prévention des accidents, à la lutte contre le non-respect du code de route, à une bonne gestion des urgences, à l équipement de l infrastructure routière avec des systèmes innovants d échange des informations entre les véhicules et les centres de services. L étape suivante est de créer de nouveaux types d applications coopératives permettant aux véhicules d échanger des informations au moyen de communication véhicule à véhicule. C est dans cette optique que les réseaux ad hoc sans fil de véhicules, appelés VANETs [ 2] (Vehicular Ad hoc Networks), sont utilisés pour améliorer la sécurité routière ou encore afin d offrir de nouveaux services de confort aux usagers des routes. 16

17 Les applications [2] liées à la sécurité routière représentent une partie importante des applications des VANETs et comprennent la diffusion des messages sur l état du trafic routier, de l état de la chaussée, des accidents et des travaux ou encore des messages rappelant les limitations de vitesse ou les distances de sécurité. Les services déployés dans les VANETs ne se limitent pas seulement aux applications de sécurité routière mais à d autres types [2] d applications qui permettent la diffusion d'informations pratiques par des fournisseurs de services aux conducteurs de voitures (présentation de places de stationnement disponibles, connexion à l Internet, communication entre véhicules qui se suivent, etc ). Les VANETs sont caractérisés par une forte mobilité, liée à la vitesse des voitures, qui est d avantage importante sur les autoroutes. Par conséquent, un élément peut rapidement rejoindre ou quitter le réseau en un temps très court, ce qui rend les changements de topologie très fréquents. Néanmoins, l absence d une gestion centrale des fonctionnalités du réseau crée d autres contraintes tels que l'accès au canal, le routage et la dissémination des données, l'autoorganisation, l'adressage ou encore la sécurité. II. Problématique étudiée Un réseau ad hoc véhiculaire est un ensemble de nœuds mobiles (véhicules) autonomes et coopératifs qui se déplacent et communiquent par une transmission sans fil et ne suppose pas d'infrastructure de gestion préexistante. Le réseau ad hoc se forme de manière spontanée et provisoire dès que plusieurs nœuds se trouvent à portée radio les uns des autres ou un véhicule peut communiquer directement avec un autre ou en comptant sur la coopération des voisins pour router les paquets vers la destination. Les protocoles de routage [31,32,33,34,35,36,42,43,44,45,46] ad hoc ont été conçus sans aucun contrôle de sécurité et font l hypothèse d un comportement honnête entre les entités qui collaborent. La réalité peut toutefois être très différente en présence d entités malveillantes capables de détourner le bon déroulement des opérations de routage pour servir leur intérêt. Parmi ces attaques, motivées par l'égoïsme ou par la malveillance figurent : la modification des paquets, l injection des données et la génération de faux messages, la rupture de l acheminement ou la suppression de paquets. 17

18 Le problème dans ces réseaux consiste à déterminer le protocole de routage le plus adapté à cet environnement caractérisé par des changements rapides de la topologie, ensuite à le sécuriser afin de fournir un acheminement optimal et sûr pour les données. Pour remédier à ces vulnérabilités, plusieurs protocoles de routages sécurisés [3] pour les réseaux mobiles ont été proposés dans lesquels des primitives cryptographiques interviennent, comme les signatures numériques [8], le MACs (Message Authentication Code) [4] ou le chiffrement asymétrique [5,6].On peut citer par exemple : SRP (Secure Routing Protocol) [4], SAODV (Secure Ad-Hoc On demand Distance Vector) [5, 6], ARIADNE [7] et SOLSR (Secure Optimized Link State Routing) [8]. Ces protocoles sont hautement spécialisés pour une attaque précise et ils n offrent pas la possibilité de détecter de nouvelles attaques, ni même de défendre le réseau contre des nœuds internes compromis [10]. D autres chercheurs ont proposé des mécanismes d'observation des comportements [73] des nœuds pour sécuriser le routage. Cependant, ces protocoles sont toujours vulnérables à certaines attaques, telles que Rushing Attack qui permet à un nœud malveillant de supprimer le délai aléatoire ajouté, en cas collisions des requêtes de routes, pour que sa requête sera traité en première ordre dans le processus de constructions des routes,l attaque Route cache poisoning qui consiste à injecter de fausses informations dans le caches de routage des nœuds honnêtes d une part. D autre part, les solutions proposées nécessitent un temps de synchronisations supplémentaire des horloges des nœuds, utilisé pour la détermination des intervalles de temps de validité des clés cryptographique et certificats. Ce qui rend ces solutions inadaptées pour les VANETs. Dans le cadre de cette étude, nous nous sommes intéressés aux problématiques de sécurité des communications véhiculaires. L objectif principal consiste à proposer des mécanismes de sécurité adaptés aux caractéristiques des réseaux VANETs et à leurs applications. Dans un premier temps, nous avons effectué un état de l art sur les principaux concepts, spécificités et challenges liés aux réseaux VANETs. Le système de communication entre véhicules a été détaillé en présentant les différentes architectures de réseaux VANETs : V2V (Véhicule à Véhicule), V2I (Véhicule à Infrastructure) et hybrides (mélange des deux précédentes). Nous avons pu apporter une vue sur un ensemble d algorithmes de routage que nous avons ensuite comparé sous OPNET [48]. Rappelons qu OPNET est un simulateur qui permet la modélisation et la simulation de réseaux de communication grâce à des 18

19 bibliothèques de modèles (de routeurs, de commutateurs, de nœuds fixes ou mobiles, serveurs ).Dans cette simulation sous OPNET, nous avons représenté le réseau VANET comme étant un ensemble de nœuds mobiles et nous avons examiné les statistiques moyennes du débit, délai, et du trafic de routage pour l'ensemble du réseau VANETs afin d évaluer les performances des protocoles de routage ad hoc suivant les critères de mobilité et de scalabilité (le support d un nombre plus grand de nœuds). Ceci nous a permis d avoir un aperçu sur le fonctionnement des protocoles de routage des réseaux sans fil mobiles, et de choisir le routage géographique GPSR (Greedy Perimeter Stateless Routing) [42] comme étant le meilleur pour les VANETs. La deuxième étape de notre étude, consiste à sécuriser le protocole GPSR. En effet, le routage a un rôle primordial vu sa fonctionnalité dans l acheminement des données entre les nœuds du réseau. Il est donc nécessaire de bloquer toutes les tentatives qui visent à modifier ces fonctionnalités par un nœud malveillant en lançant des attaques menaçant la vie des usagers de la route. Cependant les contraintes liées à l'absence d'infrastructure de gestion centralisée, à l'utilisation de canaux de communication sans fil, ainsi qu à l absence de coopération entre les nœuds, rendent cette tâche difficile pour les réseaux ad hoc. Dans cette partie de notre travail sur la sécurisation du protocole de routage géographique, nous avons proposé deux extensions à ce protocole : (i) (ii) Etablir des clés secrètes de Diffie-Hellman [93] entre deux véhicules voisins (à un saut) au moment d échange des messages beacon qui sont des messages utilisé par les nœuds pour annoncer leurs positions géographiques. L idée consiste à avoir des tables de voisins qui contiennent des clés secrètes qui seront utilisées comme des clés de chiffrement. Ajouter au paquet GPSR, une signature numérique basée sur la cryptographie symétrique générée à l aide de l algorithme AES [95] et la fonction de hachage MD5 [94] ce qui minimise le temps de calcul de la signature numérique. Nous montrons que notre solution est spécialement conçue pour éviter les attaques d usurpation d identité et de modification de paquets. Néanmoins, et afin de contrer d autres attaques telles que l attaque wormhole qui permet de créer un tunnel entre deux nœuds pour contrôler le trafic réseau passant par eux, et l égoïsme des nœuds qui refusent de coopérer avec les autres pour assurer le bon fonctionnement du routage ad hoc, afin d'économiser la 19

20 bande passante et les ressources de calcul., nous avons proposé la construction d un système de détection d intrusion comportementale IDS (Intrusion Detection System) qui utilise une méthode hybride basée sur les deux algorithmes Random Forest [85] et Naïve Bayes [82]. Cette approche de détection repose sur l hypothèse qu une attaque provoque une utilisation anormale des ressources ou manifeste un comportement étrange de la part d un nœud,pour détecter ces anomalies l IDS doit être habile à distinguer entre un comportement normal et une attaque, pour cela avant de passer à l étape de la détection l IDS établit un profil normal auquel il compare les nouvelles utilisations du réseau. Ce profil normal a été construit par la classification des données normales qui sont des connexions TCP/IP, de la base KDD 99 (Knowledge Discovery in Databases 1999) [82] dans la phase d apprentissage en un ensemble de classes de telles sorte que les objets d une même classe soient plus similaires entre eux qu avec les objets des autres classes. Après avoir construit un profil normal, l IDS recueille les nouvelles connexions TCP/IP et doit les classer en attaques ou connexions normales. Nous avons présenté aussi une ontologie pour la détection d intrusion qui peut être utilisée afin d'enrichir les données sur les intrusions et de permettre à des IDS non homogènes de partager des données, en partageant une instance de l'ontologie entre IDS sous la forme d'un ensemble de déclarations XML, RDF ou OWL [92] Les ontologies [101], à l heure actuelle, sont considérées en tant que la prochaine tendance pour résoudre les problèmes d hétérogénéité. C est la raison qui nous a poussé à produire une ontologie de domaine de sécurité des VANETs. III. Organisation de la thèse Cette thèse traite la sécurité des réseaux VANETs. Elle est organisée comme suit : 20

21 Figure 1 : Organisation de la thèse Dans le chapitre 2, nous introduisons le concept de réseau VANET. Nous décrivons les architectures et les technologies de communication sans fil pour ce type de réseaux. Nous décrivons aussi ses caractéristiques, ses applications, les projets de recherches et les différents acteurs impliqués dans ce domaine, ainsi que les diverses protocoles de routage et les simulateurs utilisés dans ces réseaux. Le chapitre 3 est consacré principalement à l état de l art sur la sécurité dans les réseaux Ad hoc véhiculaires. Tout d abord, nous décrivons les différentes vulnérabilités et la classification des attaques contre ces réseaux. Puis, nous étudions les différents protocoles de routage sécurisés et les systèmes de détections d intrusions. 21

22 Dans le chapitre 4, nous présentons notre comparaison des performances des protocoles de routage afin de valider notre choix de routage géographique pour un environnement de communication véhiculaire. Le chapitre 5 décrit le protocole sécurisé GPSR, la combinaison de Random Forest et Naïve Bayes afin de construire un système de détection comportementale et la mise en ouvre d une ontologie de détection intrusions dans les VANETs. Enfin, une synthèse générale qui reprend l'ensemble des contributions importantes de ce travail de recherche est présentée. De plus, un ensemble de perspectives sont identifiées et discutées. 22

23 Chapitre 2 Les Réseaux VANETs I. Introduction Les réseaux VANETs (Vehicular Ad hoc NETworks) constituent une nouvelle forme de réseaux ad hoc mobiles permettant d établir des communications entre les véhicules ou bien avec une infrastructure située aux bords de routes. Ils sont caractérisés par une topologie dynamique au gré d ajout (portée radio) ou de départ (le signal radio ne peut être capté) d un véhicule du réseau et ils sont globalement des réseaux ad hoc, c'est-à-dire des réseaux sans infrastructure de gestion et de contrôle de la communication. Ces réseaux sont utilisés pour répondre aux besoins de communication appliquée aux réseaux de transport pour améliorer la conduite et la sécurité routière aux utilisateurs de la route. Pour la mise en place d un tel réseau, certains équipements électroniques doivent être installés au sein de véhicules tel que : les dispositifs de perception de l environnement (radars, caméras), un système de localisation GPS, et bien sûr une plateforme de traitement. Ces réseaux sont déployés à l aide de plusieurs technologies de communications sans fil de type IEEE [11] ou Ultra Wide Band (UWB) [14,21]. 23

24 II. Architectures de communication dans les VANETs Dans les réseaux de véhicules, on peut distinguer deux modes de communication, les communications Véhicule-à-Véhicule (V2V) et les communications Véhicule-à- Infrastructure (V2I) [2] (figure 2). Les véhicules peuvent utiliser un de ces deux modes ou bien les combiner s ils ne peuvent pas communiquer directement avec les infrastructures de la route. Figure 2: Types de communication dans un réseau de véhicules Dans la section suivante, nous présentons le principe et l utilité de chaque mode : II.1 Communications Véhicule à Véhicule (V2V) Dans cette approche, un réseau de véhicules est vu comme un cas particulier de MANET (Mobile Ad hoc NETwork) où les véhicules constituent un réseau ad hoc afin d échanger des informations sur l état de la route pour éviter des accidents ou réduire le chemin parcouru pour une meilleure utilisation des ressources comme le temps et le carburant. Un MANET est un ensemble de nœuds interconnectés par le moyen de communication radio. Ces réseaux sont de nature totalement distribuée et dynamique, c'est-à-dire chaque nœud doit être capable de s'auto-configurer sans la nécessité d'aucune gestion centralisée, ni d'aucune infrastructure préalablement déployée. La figure 3 montre un exemple d'un réseau MANET très réduit. Les MANETs n ont aucune infrastructure fixe et ils s appuient plutôt sur les nœuds ordinaires (par exemple, l ordinateur portable, PDA, téléphone portable, etc..) pour effectuer le routage des messages et des fonctions de gestion de réseau. 24

25 Figure 3: Exemple d un réseau MANETs Les communications V2V concernent le plus souvent des applications de sécurité (alerte dans le cas : de risque de collision, d obstacle sur la route, de non-respect de la distance de sécurité etc ) II.2 Communication de véhicule à infrastructure (V2I) Dans cette catégorie, on ne se concentre pas seulement sur de simples systèmes de communications inter véhicules mais aussi sur ceux qui utilisent des stations de bases ou points d infrastructure RSU (Road Side Units, dénomination proposée par le consortium C2C -CC). Cette approche (V2I) repose sur le modèle client/serveur où les véhicules sont les clients et les stations installées le long de la route sont les serveurs. Ces serveurs sont connectés entre eux via une interface filaire ou sans fil. Toute communication doit passer par eux. Ils peuvent aussi offrir aux utilisateurs plusieurs services : localisation des stations d essence et emplacements de parking libre, le chat inter véhicule, informations climatiques, informations culturelles, échange de données de voiture-à-domicile et même la communication de voitureà-garage pour le diagnostic distant. L inconvénient majeur de cette approche est que l installation des stations le long des routes est une tâche coûteuse et prend beaucoup de temps, sans oublier les coûts relatifs à la maintenance des stations. II. 3 Communication hybride La combinaison des communications véhicules à véhicules avec les communications de véhicules avec utilisation d infrastructures, permet d obtenir une communication hybride très intéressante. En effet, les portées des infrastructures (stations de bases) étant limitées, l utilisation des véhicules comme relais permet d étendre cette distance. Dans un but 25

26 économique et afin d éviter la multiplication des stations de bases à chaque coin de rue, l utilisation des sauts par véhicules intermédiaires prend tout son importance. III. Caractéristiques des VANETs Les réseaux VANETs peuvent être considérés comme une sous-classe des MANETs, la mobilité de leurs nœuds constitue la différence principale, cette mobilité des véhicules est souvent influencée par le comportement du conducteur et les contraintes de la mobilité (par exemple des restrictions de la vitesse routières). Ces caractéristiques ont d'importantes implications sur les décisions de conception des protocoles dans ces réseaux. Les principales caractéristiques de VANETs sont : - Des changements rapides de la topologie des réseaux VANETs qui sont difficiles à gérer. En raison de la forte vitesse relative entre les véhicules du réseau la topologie change très vite. Différents auteurs ont tenté de trouver des solutions à ce problème pour les scénarios sur les autoroutes [15, 17] et les environnements urbains [16]. Toutefois, ces résultats ne peuvent pas être appliqués pour ces deux environnements en même temps. - Couverture réseau limitée, dans les VANETs les liens entre les nœuds peuvent être rompus fréquemment à cause de la haute vitesse, le nombre élevé d'obstacles, et la hauteur de l'antenne utilisée. - Les contraintes d'énergie ne sont pas significatifs pour les dispositifs utilisées pour déployer ces réseaux, contrairement aux capteurs et autres types d'appareils mobiles utilisés dans les MANET où la vie de la batterie limitée est une préoccupation majeure. - La topologie du réseau pourrait être affectée par la réaction des conducteurs après la réception de messages. Cela signifie que le contenu des messages peut changer la topologie du réseau. IV. Les applications des VANETs Les communications véhiculaires peuvent être utilisées par de nombreuses applications qui peuvent être classées en applications de sécurité routière, applications pour les systèmes 26

27 d aide à la conduite et applications de divertissement qui nécessite une connexion internet. Cidessous, nous identifions un ensemble représentatif des applications des VANETs. IV.1 Système d alerte de collision Les systèmes d avertissement de collision des véhicules sont l une des applications les plus intéressantes des VANETs pour l assistance du conducteur. Ces systèmes avertissent le conducteur pour qu il change de direction afin d éviter la congestion routière comme illustré sur la figure 4. Figure 4: Alerte de collision dans les VANETs IV.2 Conduite coopérative Une autre application intéressante dans les VANETs est la sécurité coopérative aux intersections illustrées à la figure 5, dans laquelle les véhicules échangent des messages afin de rendre le passage plus sécurisé. 27

28 Figure 5: Sécurité coopérative aux intersections IV.3 La localisation par carte La localisation par carte est une application d assistance au conducteur, dans laquelle par exemple une direction de trajet entre deux points dans une ville peut être tracée sur une carte afin d aider des conducteurs perdus dans une partie inconnue de la ville. IV.4 Parking intelligent La localisation des emplacements de parking libre est une application d assistance au conducteur qui permette de gagner le temps et le carburant gaspillé dans la recherche des emplacements libres pour une voiture. Figure 6: Parking intelligent IV.5 Applications de confort Les utilisateurs au bord d une voiture peuvent avoir accès à plusieurs services de communication et d'informations (en passant d'une voiture à une autre jusqu'au point d'accès 28

29 le plus proche) comme l'accès mobile à l'internet pour téléchargements des fichiers MP3, le chat inter-véhicules et les jeux en réseaux. V. Technologies de communication sans fil pour les Vanets Dans cette section, nous allons présenter dans un premier temps un état de l'art des normes d'accès sans fil qui peuvent apporter une solution pour le déploiement des VANETs, ensuite nous abordons un choix possible de technologie de communication pour ces réseaux. V.1 WiFi (Wireless Fidelity) En général, le WiFi se réfère à tout type de protocole sans fil IEEE Plus précisément, le WiFi est la norme de l'industrie pour les produits définis par le WiFi Alliance [18] et conforme à la norme IEEE [11]. La norme WiFi définit les protocoles nécessaires pour mise en ouvre d'un réseau local et il spécifie les couches physique (PHY) et medium access control (MAC). Il existe plusieurs spécifications de la norme IEEE qui s'étend de l'original (IEEE ) qui prend en charge 1 ou 2 Mbps de transmission dans la bande 2,4 GHz. Le tableau suivant présente les différentes révisions de la norme et leur signification : Norme Nom Description a Wi-Fi 5 La norme a (baptisée Wi-Fi 5) permet d obtenir un haut débit (dans un rayon de 10 mètres : 54 Mbit/s théoriques, 27 Mbit/s réels). La norme a spécifie 52 canaux de sous-porteuses radio dans la bande de fréquences des 5 GHz b Wi-Fi La norme b est la norme la plus répandue en base installée actuellement. Elle propose un débit théorique de 11 Mbit/s (6 Mbit/s réels) avec une portée pouvant aller jusqu à 300 mètres (en théorie) dans un environnement dégagé. La plage de fréquences utilisée est la bande des 2,4 GHz e Amélioration de la qualité de service La norme e vise à donner des possibilités en matière de qualité de service au niveau de la couche «liaison de données». Ainsi, cette norme a pour but de définir les besoins des différents paquets en termes de bande passante et de délai de transmission de manière à permettre, notamment, une meilleure transmission de la voix et de la 29

30 vidéo f Itinérance (roaming) g La norme f est une recommandation à l intention des vendeurs de points d accès pour une meilleure interopérabilité des produits. Elle propose le protocole Inter-Access point roaming protocol permettant à un utilisateur itinérant de changer de point d accès de façon transparente lors d un déplacement, quelles que soient les marques des points d accès présentes dans l infrastructure réseau. Cette possibilité est appelée itinérance ( roaming). La norme g offre un haut débit (54 Mbit/s théoriques, 25 Mbit/s réels) sur la bande de fréquences des 2,4 GHz. La norme g a une compatibilité ascendante avec la norme b, ce qui signifie que des matériels conformes à la norme g peuvent fonctionner en b. Cette aptitude permet aux nouveaux équipements de proposer le g tout en restant compatibles avec les réseaux existants qui sont souvent encore en b. Le principe est le même que celui de la norme a puisqu'on utilise ici 52 canaux de sous-porteuses radio mais cette fois dans la bande de fréquences des 2,4 GHz. Ces sousporteuses permettent une modulation OFDM autorisant de plus hauts débits que les modulations classiques BPSk, QPSK ou QAM utilisés par la norme a s Réseau Mesh La norme s est actuellement en cours d élaboration. Le débit théorique atteint aujourd hui 10 à 20 Mbit/s. Elle vise à implémenter la mobilité sur les réseaux de type Ad-Hoc. Tout point qui reçoit le signal est capable de le retransmettre. Elle constitue ainsi une toile au-dessus du réseau existant. Un des protocoles utilisé pour mettre en œuvre son routage est OLSR. Table 1: Norme IEEE Victor González et al [19] ont effectué une étude expérimentale de la possibilité d utilisation d IEEE b dans les communications inter-véhicules. V.2 Bluetooth La technologie Bluetooth (IEEE ) [12] a été développée à l'origine par la compagnie des téléphones mobiles Ericsson en 1994, permettant une communication radio à courte portée. Cette technologie a été conçue comme une alternative sans fil pour la communication série RS-232 pour des appareils comme les téléphones mobiles, les PDA, les ordinateurs portables, etc,et permet d obtenir un taux de transfert allant jusqu'à 3 Mbps et une couverture jusqu'à 100 mètres. 30

31 Helia Mamdouhi et al [20] ont proposé un nouveau module Bluetooth pour contrôler la température qui peut affecter la santé du conducteur à l'intérieur d'une voiture et aussi de contrôler quelques accessoires de voiture en utilisant un téléphone mobile. V.3 UWB (Ultra Wide Band) L'UWB [14,21] peut être considérée comme une évolution du bluetooth qui vient avec la norme IEEE UWB est une technologie radio qui peut être utilisée dans des très faibles niveaux de puissance à courte portée (10 m) et en communications à bande passante élevée (> 500 MHz) en utilisant une grande partie du spectre radioélectrique. Cette technologie offre des transmissions avec des débits allant jusqu'à 480 Mbps. L'une des caractéristiques les plus importantes de l'uwb est la faible consommation d'énergie. J. Fernandez-Madrigal et al [14] ont proposé de combiné l UWB et la technologie GPS pour la localisation des voitures. V.4 ZigBee ZigBee est basée sur la norme IEEE [13,22]. Cette technologie est utilisée dans les réseaux ad-hoc de capteurs (Wireless Sensor Networks). Elle offre une bande passante assez limitée allant à 250 Kbps et une couverture jusqu'à 75 m. La technologie ZigBee est utilisée principalement dans les systèmes où on transmit des petites quantités d'informations dans des petites distances. L'une des caractéristiques les plus importantes de ZigBee est la faible consommation d'énergie. V.5 La norme IEEE p ou WAVE (Wireless Ability in Vehicular Environments) La norme IEEE p est utilisée pour soutenir les systèmes de transport intelligents (ITS) afin d'échanger des données entre les véhicules et entre les véhicules et l'infrastructure routière dans la bande de 5,9 GHz (5.85 à GHz), elle s appuie sur la norme sans-fil appelée DSRC (Dedicated Short Range Communication)[23] adopté en 2002 par l'astm (American Society for Testing and Materials). Cette norme utilise le concept de multicanaux afin d'assurer les communications pour les applications de sécurité et les autres services du Transport Intelligent. 31

32 Dans les sections suivantes on présente Control) sur lesquelles s'appuie le protocole WAVE. la couche physique et MAC (Medium Access D après cette étude, on peut constater qu aucune solution de communication ne peut satisfaire à la fois les besoins des communications véhiculaires en termes de portée, bande passante, et de contrainte de souplesse dans le déploiement du réseau à grande échelle. En effet, l'option des réseaux VANETs en utilisant Bluetooth et Zigbee est à écarter à cause de leur très faible portée. La solution basée sur l IEEE semble être la plus adaptée, non seulement pour la portée et la bande passante, mais surtout pour la facilité de déploiement. VI. Acteurs et projets de recherches et développement dans le domaine des VANETs Plusieurs projets de recherche, de développement et de standardisation portant sur les communications véhiculaires sont actuellement en cours. Ci-dessous sont décrits quelques projets majeurs traitant des communications véhiculaires : Le CAR 2 CAR Communication Consortium Le C2C-CC [24] est un organisme industriel sans but lucratif initié par les constructeurs automobiles européens, soutenus par les fournisseurs d'équipements tels que CohdaWireless, Tyco electronics, Hitachi etc, et des organismes de recherche tels que l INRIA (Institut national de recherche en informatique et en automatique), Université de Twente, Université d Ulm et d'autres partenaires. Le C2C-CC a comme objectif d'augmenter la sécurité routière grâce à la coopération des systèmes de transport intelligent déployé à l aide des communications Inter-Véhiculaire soutenues par des communications Véhicule-à-Roadside. Le C2C-CC prend en charge la création d'une norme européenne pour les futurs véhicules communicants couvrants toutes les marques. Comme un contributeur clé dans le domaine, le C2C-CC travaille en étroite collaboration avec les organismes de normalisation européens et internationaux, en particulier ETSI TC ITS [2]. CARLINK Consortium CARLINK Consortium [25] "Wireless Traffic Service Platform for Linking Cars Project", il s'agit d'une initiative Eureka Celtic qui a comme but de développer une plate-forme de service intelligent sans fil du trafic entre les voitures soutenues par des émetteurs-récepteurs sans fil du bord de la route. Les principales applications de cette plateforme sont des données 32

33 météorologiques locales en temps réel, la gestion du trafic urbain de transport et de diffusion d'informations urbain. EVITA "E-Safety Vehicle Intrusion Protected Applications" Les objectifs du projet EVITA [26] sont de concevoir, de vérifier et de construire des blocs de prototypes pour les réseaux de véhicules où les données sensibles doivent être protégées contre la compromission. Ainsi, le projet EVITA fournira une base pour le déploiement sécurisé des communications véhicule à véhicule. GeoNet "Geographic addressing and routing for vehicular communications" Le but de GeoNet [27] est de mettre en œuvre et de tester un module logiciel autonome qui peut être incorporé dans les systèmes coopératifs afin de déployer des communications véhicule à véhicule, en améliorant encore les spécifications et les résultats de base du travail du CAR 2 CAR Communication Consortium afin et de créer une implémentation logicielle interfaçage avec IPv6. NOW " Network On Wheels" NOW est un projet de recherche allemand [28] soutenu par le Ministère fédéral de l'education et de la Recherche. Les principaux objectifs de ce projet sont de résoudre les questions techniques clés sur les protocoles de communication et de sécurité des données pour les communications Car-2-Car et de soumettre les résultats aux activités de normalisation de la CAR 2 CAR Communication Consortium CVIS "Cooperative Vehicle-Infrastructure Systems" CVIS est un projet européen [29] qui vise à concevoir, à mettre en œuvre et à tester les nouvelles technologies nécessaires pour permettre aux véhicules de communiquer entre eux ainsi qu avec les infrastructures routières situées à proximité. Il a pour ambition d'amorcer une révolution dans la mobilité des voyageurs et des marchandises en concevant de toutes nouvelles modalités d'interaction entre les conducteurs, leurs véhicules, les marchandises qu'ils transportent et les infrastructures routières. Ainsi, le projet CVIS vise à améliorer la sécurité et l'efficacité du transport routier et à réduire son impact sur l'environnement. 33

34 SEVECOM "SEcure VEhicle COMmunication" Sevecom [30] est un projet financé par l'ue qui vise à fournir une définition complète et la mise en œuvre des exigences de sécurité pour les communications véhiculaires. VII. Protocoles de routage Ad hoc véhiculaire Le routage est le mécanisme qui permet de trouver et maintenir un chemin de communication entre une paire de nœuds distants dans un réseau VANET, et qui fonctionne selon deux phases distinctes : une phase de signalisation assurée par des échanges de messages de contrôle afin de permettre la construction et le maintien des chemins, et une phase d'acheminement des paquets de données. En raison des caractéristiques de ces réseaux, les protocoles de routage conçus pour les réseaux filaires ne peuvent être directement utilisés. Pour fonctionner, ces protocoles doivent prendre en considération certains aspects liés à l'environnement dans lequel ils sont déployés tels que les changements de la topologie due à la mobilité des nœuds, l'absence d'une entité centrale de gestion, etc Durant ces dernières années, l'amélioration des performances des mécanismes de routage dans les réseaux ad hoc était l'une des principales problématiques. Ceci s'est traduit par l'apparition de centaines de protocoles dans la littérature [31,32,33,34,35,36,42,43,44,45,46] parmi lesquels seulement quelques-uns ont été soumis à normalisation. Selon la manière dont les nœuds établissent les chemins nous pouvons distinguer deux grandes classes de protocoles : les protocoles de routages basés sur la topologie ( topologybased) [31] et les protocoles de routages géographiques (position-based) [37]. Dans ce qui suit, nous donnons un aperçu sur le fonctionnement des protocoles de routages pour les deux catégories. 34

35 La figure 7 illustre la taxonomie des protocoles de routage dans les VANETs. Figure 7: Protocole de routage pour les VANETs VII.1. Protocole de routage basé sur la topologie Ces protocoles de routage utilisent les informations des liens qui existent dans le réseau dans l'acheminement des paquets. Ils peuvent être classifiés en deux familles : protocoles proactifs et réactifs. VII.1.1 Protocoles proactifs Le principe des protocoles proactifs est de maintenir à tout instant une vue globale et cohérente de la topologie du réseau, et de construire des routes entre les nœuds avant qu'elles ne soient demandées. Ces protocoles exigent que chaque nœud maintienne une table de routage indiquant par quel voisin passer pour atteindre un destinataire. Grâce à ces informations, chaque nœud dispose à tout instant d'un chemin vers n'importe quel autre nœud du réseau. Pour traiter les changements de topologie, les nœuds diffusent des messages de contrôle à travers le réseau. Actuellement, les protocoles Fisheye State Routing (FSR) et Optimized Link State Routing (OLSR) ont été proposé pour les réseaux ad hoc véhiculaires [31]. 35

36 a. Fisheye State Routing (FSR) Le protocole "Routage à Etat de l'œil du Poisson" ( Fisheye State Routing ) FSR [31] est basé sur l'utilisation de la technique "œil de poisson" ( fisheye ), proposée par Kleinrock et Stevens [32], qui l'ont utilisé dans le but de réduire le volume d'information nécessaire pour représenter les données graphiques. L'œil d'un poisson capture avec précision, les points proches du point focal. La précision diminue quand la distance, séparant le point vu et le point focal, augmente. Dans le contexte du routage, ce principe se concrétise par le maintien des données concernant le chemin d'un voisin direct, avec une diminution progressive, de précision, quand la distance augmente (figure 8). Le protocole FSR est similaire aux protocoles état de lien, dans sa sauvegarde de la topologie au niveau de chaque nœud. La différence principale, réside dans la manière avec laquelle les informations de routage circulent. Dans le FSR, la diffusion par inondation de messages n'existe pas. L'échange se fait uniquement avec les voisins directs. Dans les protocoles état de lien traditionnel, si on détecte des changements de la topologie, les paquets d'états de liens sont générés et diffusés par inondation dans tout le réseau. Par contre, le FSR maintient la table - la plus récente - d'état des liens reçus à travers les voisins, et l'échange uniquement avec ses voisins locaux, d'une façon périodique. La réduction de volume des données de mise à jour, est obtenue en utilisant des périodes d'échanges différentes pour les différentes entrées de la table. Les entrées qui correspondent aux nœuds les plus proches, sont envoyées aux voisins avec une fréquence élevée (donc avec une période d'échange relativement petite). 36

37 Les informations de la topologie sont plus précises dans zone 1 du nœud centrale et devient de moins en moins précises dans les zone 2 et 3 selon le principe expliqué ci dessus. Zone 1 Zone 2 Zone 3 Figure 8: Routage Fisheye State Routing b. Le protocole Optimized Link State Routing protocol (OLSR) OLSR [33] est un protocole état de liens, qui optimise la manière de diffusion des messages de contrôle afin d économiser la consommation de la bande passante, grâce à l utilisation du concept des "relais multipoints " (MPRs) illustré sur la figure 8 dans lequel chaque nœud choisit un sous-ensemble de ses voisins pour retransmettre ses paquets en cas de diffusion. En se basant sur la diffusion en utilisant les MPRs, tous les nœuds du réseau sont atteints avec un nombre réduit de répétitions. Un ensemble de MPRs d un nœud N est l ensemble minimal de ses 1-saut voisins qui couvrent (dans le sens de la portée de communication) ses 2-sauts voisins. Dans OLSR, chaque nœud diffuse périodiquement des messages Hello qui contient l état de ses liens avec ses 1-saut voisins (unidirectionnel, bidirectionnel ou MPR pour dire que ce voisin est un MPR). Grâce aux messages Hello, un nœud construit sa table des voisins ainsi que la liste des voisins qui l ont choisi comme MPR dits "MPR-sélecteurs". De plus, un nœud diffuse périodiquement des messages TC (Topology Control) qui contient la liste de ses MPR-sélecteurs. 37

38 Figure 9: Relais multipoints dans OLSR En exploitant ces messages, chaque nœud remplit les deux champs nommés "destination" (correspond aux MPR-sélecteurs dans le message TC) et "dernier saut" (prend comme valeur l identificateur du nœud émetteur du message TC) d une table dite de topologie. Les tables de topologie et des voisins sont exploitées pour construire la table de routage. VII.1.2 Protocoles réactifs Les protocoles réactifs construisent des chemins uniquement lorsque ces derniers sont requis par un nœud source et ne gardent que les routes en cours d'utilisation par le processus de routage. On dit alors que la topologie du réseau est découverte à la demande. Ainsi lorsqu'un nœud cherche à communiquer avec une destination pour laquelle il ne connait pas le chemin, il lance un processus de découverte dans le réseau (généralement par inondation). Cette phase de découverte se termine lorsque le chemin est trouvé. Ces chemins formés sont susceptibles d être rompus à cause de la haute mobilité des véhicules. Les ruptures de liens sur les chemins sont alors traitées au moyen d'un mécanisme de maintenance, dont le but est de les identifier, puis si possible de les corriger. Dans ce qui suit, nous allons présenter les protocoles réactifs les plus connus, proposés par certains travaux de recherche pour effectuer le routage dans les réseaux ad hoc. a. Le protocole de routage DSR Le protocole "Routage à Source Dynamique" ( DSR : Dynamic Source Routing ) [34], est basé sur l'utilisation de la technique "routage source". Dans cette technique, le trajet parcouru par le paquet est inclus dans l'en-tête du paquet de données à partir de la source. Les deux opérations de base du protocole DSR sont : la découverte de routes (route discovery ) et la maintenance de routes ( route maintenance ). 38

39 Un nœud source qui veut atteindre un nœud cible débute l opération de découverte par la diffusion d un paquet requête de route. (a) Construction de l enregistrement de la route (b) : renvoie du chemin dans le DSR. Figure 10: Découvert de la route dans DSR Si cette l'opération de découverte est réussite, le nœud initiateur reçoit un paquet réponse de route qui liste la séquence de nœuds à travers lesquels la destination peut être atteinte. En plus de l'adresse de la source, le paquet requête de route contient un champ enregistrement de route, dans lequel est accumulée la séquence des nœuds visités durant la propagation de la requête de route dans le réseau (voir la figure 10 (a)). Le paquet requête de route, contient aussi un identificateur unique de la requête. Dans le but de détecter les duplications de réceptions de la requête de route, chaque nœud du réseau ad hoc maintient une liste de couples (adresse source, identificateur de requête), des requêtes récemment reçues. Pour réduire le coût de la découverte de routes, chaque nœud garde les chemins appris à l'aide des paquets de réponses (figure 10 (b)). Ces chemins sont utilisés jusqu'à ce qu'ils soient invalides. Le protocole DSR exécute aussi une procédure de maintenance de routes quand un noeud détecte un problème fatal de transmission, à l'aide de sa couche de liaison. 39

40 Cette procédure est initiée par l envoie d un message erreur de route (route error) à l'émetteur original du paquet. Ce message d'erreur contient l'adresse du nœud qui a détecté l'erreur et celle du nœud qui le suit dans le chemin. Lors de la réception du paquet erreur de route par l'hôte source, le nœud concerné par l'erreur est supprimé du chemin sauvegardé, et tous les chemins qui contiennent ce nœud sont coupés à ce point là. Par la suite, une nouvelle opération de découverte de routes vers la destination, est initiée par l'émetteur. b. Ad Hoc On Demand Distance Vector (AODV) Le protocole AODV [35] est un protocole réactif basé sur le principe des protocoles de routage à vecteur de distance. AODV hérite des deux mécanismes qui caractérisent le DSR et qui sont : la découverte et la maintenance des routes et utilise aussi un routage nœud à nœud et le principe des numéros de séquence. Comme nous avons déjà dit, les réseaux ad hoc véhiculaires sont hautement mobiles, donc les routes changent fréquemment ce qui fait que les routes maintenues par certains nœuds, deviennent invalides. Les numéros de séquence permettent d'utiliser les routes les plus nouvelles. Comme le protocole DSR, Lorsqu un nœud source utilisant AODV désire établir une route vers une destination pour laquelle il ne possède pas encore de route, il diffuse un paquet (route request) RREQ à travers le réseau. Cependant, AODV maintient les chemins d'une façon distribuée en gardant une table de routage au niveau de chaque nœud de transit appartenant au chemin cherché. Une entrée de la table de routage contient essentiellement : (1) l'adresse de la destination, (2) le nœud suivant, (3) la distance en nombre de nœud (i.e. le nombre de nœud nécessaire pour atteindre la destination), (4) le numéro de séquence destination, (5) le temps d'expiration de l'entrée de la table. Le paquet RREQ envoyé contient l IP de la source, le numéro de séquence courant et un identifiant de diffusion et le numéro de séquence de la destination le plus récent connu par la source. Un nœud recevant un paquet RREQ émettra alors un paquet «route reply» (RREP) s il est la destination ou s il possède une route vers la destination avec un numéro de séquence supérieur ou égal à celui repris dans le paquet RREQ. Si tel est le cas, il envoie un paquet RREP vers la source. Sinon, il rediffuse le paquet RREQ. Les nœuds conservent chacun une trace des IP sources et des identifiants de diffusion des paquets RREQ. S ils reçoivent un paquet RREQ qu ils ont déjà traité, ils le suppriment. 40

41 Les nœuds établissent le chemin vers la destination, alors que les paquets RREP reviennent vers la source. Une fois que la source a reçu les paquets RREP, elle peut commencer à émettre des paquets de données vers la destination. Si, ultérieurement, la source reçoit un RREP contenant un numéro de séquence supérieur ou bien le même, mais avec un nombre de sauts plus petits, elle mettra à jour son information de routage vers cette destination et commencera à utiliser la meilleure route. Afin de maintenir des routes consistantes, une transmission périodique du message "HELLO" est effectuée. Si trois messages "HELLO" ne sont pas reçus consécutivement à partir d'un nœud voisin, le lien en question est considéré défaillant. Dans le cas toutes les entrées des tables de routage participantes dans le chemin actif et qui sont concernées par la défaillance sont supprimées. Cela est accomplit par la diffusion d'un message d'erreur entre les nœuds. c. Temporally-Ordered Routing Algorithm TORA [36] est un protocole de routage distribué basé sur un algorithme "d'inversion de lien". Il est conçu pour découvrir des routes à la demande, fournir des voies multiples vers une destination et de minimiser la surcharge de la communication réseau par la localisation des changements topologiques lorsque cela est possible. L'optimalité de la route (chemin le plus court) est considéré comme d'importance secondaire, et des routes plus longues sont souvent utilisés pour éviter la surcharge de la découverte de nouvelles routes. Il n'est pas nécessaire (ni souhaitable) de maintenir les liaisons entre toutes les paires de sources / destinations à tout moment. Pour découvrir une nouvelle route, il utilise la propriété appelée "orientation destination" des graphes acycliques orientés et utilise également un ensemble de valeurs de taille des nœuds totalement ordonnées à tout moment. Cette taille est utilisée dans l orientation des liens du réseau. Un lien est toujours orienté du nœud qui à la plus grande taille vers le nœud qui la plus petite taille. Le protocole est basé sur trois fonctionnalités : la création des routes, la maintenance des routes et l effacement des routes en utilisant trois paquets distincts QRY, UPD et CLR. 41

42 Lorsqu'un nœud a besoin d'un itinéraire vers une destination particulière, il diffuse un paquet route query contenant l'adresse de la destination. Ce paquet se propage à travers le réseau jusqu'à ce qu'il atteigne soit la destination ou un nœud intermédiaire ayant un itinéraire vers la destination. Le récepteur du paquet requête diffuse alors un paquet de mise à jour indiquant sa taille par rapport à la destination (si le récepteur est la destination, cette hauteur est 0). Comme ce paquet se propage en arrière à travers le réseau, chaque nœud qui reçoit la mise à jour définit sa taille à une valeur supérieure à la taille de la voisine à partir de laquelle la mise à jour a été reçue. Cela a pour effet de créer une série de liens dirigés de l émetteur de la requête au nœud qui initialement généré la mise à jour. Un exemple de ce processus est illustré dans la figure 11. Etape 1 La source diffuse un paquet route Query Etape 2 La destination renvoie un paquet de mise à jour Etape 3 Le paquet de mise à jour est diffusé en arrière à travers le réseau et les tailles sont définies successivement Etape 4 Le réseau converge avec un graphe orienté Figure 11: Génération d'un graphe ordonné de TORA. Lorsqu'un nœud découvre qu une route vers une destination n'est plus valide, il ajuste sa taille de sorte qu'il soit un maximum local par rapport à ses voisins et transmet un paquet de mise à jour. Ce processus est illustré à la figure

43 Etape 1 Le réseau a convergé Etape 2 Certains nœuds bougent et cassent des liens et créent des nouveaux uns Etape 3 Les nœuds réagissent à la nouvelle topologie et ajuste leur tailles Etape 4 Le réseau converge avec un graphe orienté avec les changements localisés Figure 12: La réaction du protocole TORA à la mobilité des nœuds. VII.2 Routage géographique Le routage géographique [2,37] est une technique qui permet de délivrer un paquet à un nœud dans un réseau VANET via plusieurs sauts à l aide de la position géographique. Dans ce type les décisions de routage ne sont pas basées ni sur les adresses réseau ni sur les tables de routage, au contraire, les messages sont acheminés vers l emplacement de destination. Avec la connaissance de l'emplacement des voisins, chaque nœud peut sélectionner le voisin 43

44 qui est plus proche de la destination, et ainsi avancer vers la destination à chaque saut. Le fait que ni les tables de routage, ni les activités de découverte de route ne sont nécessaires rend le routage géographique très attractif pour les réseaux dynamiques, tels que les réseaux véhiculaires. Pour effectuer un routage géographique dans un réseau ad hoc, il est nécessaire : (i) que tous les nœuds soient muni d un moyen de localisation comme GPS [38], (ii) qu un nœud source doit connaître la position du nœud destinataire. Pour ce faire les nœuds peuvent utiliser un service de localisation tels que GLS (Greedy Location Service) [39], QLS (Quorum-based location service) [40] ou encore Homezone [41]. a. Greedy Perimeter Stateless Routing Greedy Perimeter Stateless Routing, GPSR [42,43], est un protocole de routage réactif et efficace pour les réseaux ad hoc véhiculaire qui exploite la correspondance entre la position géographique et la connectivité dans un réseau sans fil afin de prendre des décisions de transfert de paquets. Dans un réseau VANET, les nœuds sont susceptibles de se déplacer. Il est donc nécessaire d'utiliser un mécanisme qui permet à chaque nœud de connaître la position de ses voisins, afin de signaler leur présence et leur localisation, les nœuds inondent le réseau en envoyant un paquet de signalement (messages«beacon») contenant la position et un identifiant (par exemple, son adresse IP). L'échange périodique de ces paquets permet aux nœuds de construire leur table de position. La période d'émission des messages «beacon» dépend du taux de mobilité dans le réseau ainsi que de la portée radio des nœuds. En effet, lorsqu'un nœud ne reçoit pas de message «beacon» d'un voisin après un temps T, il considère que le voisin en question n'est plus dans sa zone de couverture et l'efface de sa table de position. Un des avantages des messages «beacon» est qu un nœud n'a pas besoin que des informations sur ses voisins directs, ce qui nécessite peu de mémoire. Alternativement, le protocole GPSR permet au nœud d'encapsuler sur quelques bits leur position dans les paquets de données qu'il envoie, «We encode position as two four-byte floating point quantities, for x and y coordinate values.»[42]. Dans ce cas, toutes les interfaces des noeuds doivent être en mode promiscuité afin de recevoir les paquets s'ils se trouvent dans la zone de couverture de l'émetteur. 44

45 L'acheminement des paquets par GPSR se fait selon deux modes suivant la densité du réseau : le «Greedy Forwarding» et le «Perimeter Forwarding» (appelés respectivement GF et PF dans la suite). Greedy Forwarding Le GF construit un chemin parcourant les nœuds de la source à la destination où chaque noeud qui reçoit un paquet l'achemine en faisant un saut vers le nœud intermédiaire le plus proche de la destination dans sa zone de couverture. La figure 13 montre un exemple de ce mode d'acheminement. Figure 13: y est le voisin de x le plus proche de la destination D. La méthode «Perimeter Forwarding», est utilisé lorsqu un nœud ne trouve aucun voisin plus proche que lui de la destination ou la destination ne se trouve pas à la portée de celui-ci. La figure 14 montre un exemple de ce problème d acheminement. Figure 14 : X est plus proche de D que ses voisins y, w Perimeter Forwarding La méthode «perimeter Forwarding» consiste à transformer la topologie du réseau en un graphe planaire (ne contenant pas des arrêtes qui se croisent). Ce graphe peut être de type RNG (Relative Neighborhood Graph) ou GG (Gabriel Graph) (figure 15). 45

46 Figure 15: Principe des graphes RNG et GG Les graphes Gabriel graph et Relative Neighborhood graph sont deux cas des graphes de proximité qui visent à représenter la disposition des points d un ensemble dans l'espace. Dans un tel graphique, deux points sont reliés par une arrête s'il n'y a pas d'autres points dans une certaine «zone interdite» définie mathématiquement par : Relative Neighborhood graph Gabriel graph Ensuite le paquet traverse le graphe jusqu'à la destination en utilisant la règle de la main droite «Right-Hand Rule» définit comme suit : Lorsqu'un paquet arrive à un nœud x du nœud y, le chemin à suivre est le prochain qui se trouve dans le sens inverse des aiguilles d'une montre en partant de x et par rapport au segment [xy] tout en évitant les «crossing links» (route déjà parcourue). Pour conclure nous allons décrire le protocole GPSR en combinant entre les deux méthodes de routage: Un paquet GPSR contient dans son en-tête un champ pour le mode de routage. Ce champ contient «Greedy» lorsque le routage est «greedy forwarding» et «Perimeter» lorsque le routage est «Perimeter forwarding». Un noeud x recevant un paquet en mode «Greedy» examine sa table de voisins. S il trouve le voisin le plus proche de la destination alors il lui transmet le paquet. Dans le cas contraire, le noeud va modifier le 46

47 champ mode de l en-tête du paquet par «Perimeter» et enregistre sa localisation. Ensuite, il construit un graphe planaire à partir de ses voisins et transmet son paquet à travers ce graphe. La figure 16 montre un exemple de ce mode d'acheminement. Figure 16: Perimeter forwarding. D est la destination ; x est le nœud où le paquet entre en mode Perimeter. b. Geographic Source Routing (GSR) Le protocole GSR [44] tente de pallier les inconvénients du GPSR dans des scénarios urbains. En utilisant l emplacement de la destination, le plan de la ville (cartographie des routes) et l'emplacement du nœud source, GSR calcule une séquence de jonctions que le paquet doit traverser pour atteindre la destination. Le protocole vise à calculer le plus court chemin entre l'origine et la destination en appliquant l algorithme Dijkstra sur la carte routière. Le plus court chemin calculé est composé d'une séquence de jonctions que le paquet d un véhicule source S doit suivre pour atteindre le véhicule de destination D. Le routage Greedy forwarding est utilisé pour transmettre des paquets entre deux jonctions impliqués. L'inconvénient de GSR est que le chemin le plus court n'est pas le chemin optimal, car il ne considère pas la circulation des véhicules dans la rue. De plus, il utilise mécanisme de sélection de jonction fixe où la source S calcule à la fois la séquence de jonctions par lesquelles le paquet doit passer pour atteindre la destination D. c. Greedy Perimeter Coordinator Routing (GPCR) Comme GSR, l algorithme Greedy Perimeter Coordinator Routing [45] est basé sur le fait que les rues de la ville forment un "graphe planaire naturel» et modifie la stratégie de transfert greedy Forwarding de telle sorte qu'il n achemine les messages qu a travers des 47

48 intersections rues (figure 17), en éliminant l'exigence d'un plan des rues statique externe pour son fonctionnement. L'objectif est de transmettre les paquets vers des nœuds à une intersection, plutôt que de les transmettre à un nœud qui est déjà passé l'intersection. Les nœuds qui sont situés dans la zone d'une intersection sont appelé «coordonnateurs». Les nœuds peuvent de déterminer s ils sont coordinateurs en utilisant l un des deux approches suivantes : La première approche est l approche des tables voisines. Dans cette approche, les nœuds transmettent périodiquement des paquets beacons qui contiennent les informations de position et les informations de dernière position connue de tous leurs voisins. En utilisant cette information, un nœud x s'estime être dans une intersection s il a deux voisins y et z qui sont à portée de transmission, mais aucun d'eux n indique que l autre est son voisin. Une telle situation implique que y et z sont séparés par un obstacle et que x nœud peut transmettre les paquets afin de contourner cet obstacle. La seconde approche (l'approche des coefficients de corrélation) utilise les informations de position d un nœud et l'information de position de ses voisins immédiats afin calculer le coefficient de corrélation, ρ par rapport à ses voisins. Une forte corrélation linéaire entre les positions des nœuds voisins (ρ est proche de 1) indique que le nœud est présent dans une rue. S'il n'y a pas de corrélation linéaire entre les positions des voisins du nœud (ρ est proche de 0), ce qui indique que le nœud se trouve à une intersection. Grâce à l'ajustement d'un seuil ε, un nœud peut évaluer le coefficient de corrélation et de supposer que ρ ε indique le nœud est dans une rue et ρ <ε indique que le nœud est à une intersection. 48

49 Figure 17: L acheminement des paquets dans GPCR d. Anchor-based Street and Traffic Aware Routing (A-STAR) A-STAR [46] est un protocole de routage basé sur la position géographique pour un environnement véhiculaire métropolitain qui utilise les informations sur les itinéraires d'autobus de ville pour identifier un trajet d intersection ( anchor route ) avec une connectivité élevée pour l'acheminement des paquets. A-STAR est similaire au protocole GSR dans l utilisation de la cartographie des routes. Cependant, contrairement à GSR il calcule les "anchor paths" en fonction du trafic (trafics de bus, véhicules, etc...). Un poids est assigné à chaque rue en fonction de sa capacité (grande ou petite rue qui est desservie par un nombre de bus différent). Un chemin trajet d intersection ( anchor route ) peut donc être calculé en utilisant l'algorithme de Dijkstra (chemin de plus faible poids ). Les informations des routes fournies par les bus donnent une idée sur la charge de trafic dans chaque rue. Ce qui donne une image de la ville à des moments différents. VIII. Environnement de simulation des VANETs L'émergence de réseaux de véhicules a encouragé la conception d'un ensemble de nouvelles applications et de protocoles spécifiquement pour ces types de réseaux. L'évaluation de ces protocoles en plein air, en utilisant des réseaux à grande échelle pour obtenir des résultats significatifs, est extrêmement difficile en raison des coûts de construction, c est pourquoi la simulation est devenue un outil indispensable car il permet de modéliser un 49

50 VANET et ensuite de récupérer des données statistiques sur l'utilisation du réseau au cours de la simulation afin de mesurer les performances des protocoles. Aujourd'hui, nous identifions deux approches qui tentent de résoudre le problème complexe de simulation des VANET. Tout d'abord, le plus largement utilisé, est l'utilisation d'un simulateur de trafic pour générer des traces réalistes de mobilité de véhicules qui seront utilisées comme entrée pour un simulateur de réseau mobile. En second lieu, vient l utilisation des outils de simulation des VANETs spécialement conçu. La communauté de recherche adopte plusieurs simulateurs pour étudier les performances des applications et protocoles dans les réseaux mobiles tels que : Network Simulator 2 [47], OPNET [48], OMNET++ [49], etc IX. Conclusion du chapitre Dans ce chapitre nous avons présenté les réseaux VANETs qui sont apparus comme solution aux besoins des applications de sécurités routières mais actuellement ils permettent aussi de développer de nouveaux services aux usagers de la route comme la localisation des stations d essence, emplacements de parking libre et l accès à internet. Nous avons détaillé dans notre étude les différents modes de communications à savoir les communications véhicule à véhicule (V2V), les communications véhicule à infrastructure (V2I) et les communications hybrides, ainsi que les différentes technologies de communications sans fil qui peuvent être utilisées pour déployer un VANET, ce qui nous a permis de déduire que la solution basée sur l IEEE semble être la plus adaptée pour les VANETs, grâce à sa portée et sa bande passante. Une liste des projets de recherche et de développement et des simulateurs les plus utilisés de réseaux sans fil a été abordée. Nous avons également étudié les protocoles de routages développés pour les MANETs et les VANETs, il est en ressort de cette étude que le protocole de routage le plus adapté pour les VANET est le protocole de routage géographique GPSR. Néanmoins, nous allons proposer une simulation sous OPNET afin de valider notre choix de ce protocole, ensuite nous détaillons la problématique de sécurité des réseaux VANETs. 50

51 Chapitre 3 La Sécurité des VANETs I. Introduction La sécurité est un sujet important à traiter, surtout pour les applications de VANET dites sensibles à la sécurité, par exemple un attaquant peut émettre des messages d alerte dont le contenu est falsifié ou empêcher l acheminement d un message légitime afin de causer des accidents. L attaquant peut empêcher l acheminement de ces messages en visant la disponibilité du réseau aux niveaux des différentes couches de la pile protocolaire. Nous avons déjà signalé que le routage ad hoc est très différent de celui des réseaux traditionnels. Il en est de même pour sa sécurité. Concrètement, pour sécuriser le routage dans un réseau traditionnel, il est suffisant de protéger et d'authentifier les routeurs dédiés, mais pour assurer la sécurité du routage dans un réseau VANET chacun des nœuds doit non seulement prendre la responsabilité de ses propres comportements mais aussi de vérifier les comportements des autres nœuds. II. Sécurité des VANETs vs Réseaux Traditionnels Le travail réalisé se focalise sur la sécurité du routage ad hoc véhiculaire. Nous allons dans un premier temps discuter les raisons pour lesquelles les mécanismes de sécurité conçus pour les réseaux traditionnels ne sont pas adaptés aux réseaux ad hoc, et les nouveaux besoins de la sécurité du routage ad hoc véhiculaire : Raison 1 : La mobilité La mobilité des nœuds rend la topologie des VANETs instable. Il n'est donc pas facile pour un nœud de connaître correctement son voisinage. Les attaquants peuvent ainsi forger et diffuser des fausses informations de topologie [3] pour construire des routes qui passent par eux et réaliser ainsi des attaques qui visent à causer des accidents ou la congestion de routes. Par ce moyen, un protocole de routage ad hoc non-sécurisé peut facilement être attaqué. De plus, la mobilité des attaquants peut aussi les rendre plus difficiles à détecter ou la localiser. 51

52 En comparaison avec les réseaux traditionnels, il n'y a pas autant de mobilité dans les réseaux filaires, et dans les réseaux cellulaires ce sont des infrastructures qui gèrent la mobilité, donc il est nécessaire de construire des protocoles de routage spécialement pour les VANETs capables de découvrir correctement la topologie du réseau même sous attaques. Raison 2: le support sans fil partagé La nature de transmission radio dans l air, permet à un intrus d écouter passivement [50] tous les messages échangés pourvu qu il se trouve dans la zone d émission, en opérant en promiscuous mode et en utilisant un logiciel qui permet de capturer paquets émis (sniffer). L adversaire, a donc accès au réseau et peut intercepter aisément les données transmises, sans même que l émetteur ait connaissance de l intrusion. L intrus, en étant potentiellement invisible, peut brouiller le canal radio pour bloquer les transmissions, injecter massive de paquets visant à épuiser les ressources des nœuds, enregistrer, modifier, et ensuite retransmettre les paquets comme s ils avaient été envoyés par un utilisateur légitime, donc les VANETs ont besoin de nouveau mécanismes afin de sécuriser l accès au réseau Raison3: manque des serveurs centraux Dans les VANETs puisqu'il n'y a pas forcément de serveur central [51], la distribution et la gestion de clés peuvent être difficiles à réaliser. Dans les réseaux traditionnels les solutions de sécurité s'appuient souvent sur des relations de confiance préalablement établies ou des autorités de confiance tierces, et utilisent les primitives cryptographiques pour authentifier les nœuds et sécuriser les échanges de données. Afin d'utiliser ces moyens cryptographiques dans les VANETs, nous devons étudier comment établir des autorités de confiance ou des relations de confiance entre les nœuds sans l'aide d'aucune infrastructure. Raison 4: manque de coopération Dans un réseau ad hoc il est difficile de détecter des nœuds égoïstes [52] qui peuvent tout simplement être silencieux et/ou refusent de transférer les données afin de préserver leur ressource. Quand de tels nœuds sont nombreux dans le réseau, la disponibilité du service de routage est touchée. Ce problème d'égoïsme n'existe pas dans les réseaux traditionnels où les nœuds reposent sur les routeurs dédiés pour assurer la fonctionnalité de routage. Donc, de nouveaux mécanismes doivent être désignés pour garantir la coopération des nœuds dans les réseaux VANETs. 52

53 Raison5: nœuds compromis Les nœuds dans un VANET sont plus faciles à compromettre [10,53] que ceux des réseaux traditionnels, parce qu'ils sont de nature mobile, en plus les VANETs peuvent être divisés et/ou fusionnés, les attaquants auront plus de chances d'attaquer (compromettre) des nœuds sans être aperçus. Dans les réseaux ad hoc il y a quelques attaques très sophistiquées, par exemple les attaques de type wormhole [54] ne peuvent être commises que par des nœuds compromis et sont difficiles à éviter. L utilisation de la cryptographie ne permet pas de résoudre le problème de ces nœuds compromis par une simple authentification, car ces nœuds ont été des participants légitimes au processus de routage avant d être contrôler par des attaquant, c est pourquoi nous devons donc considérer spécialement d'autres solutions pour ce problème. Après avoir une vue globale des nouveaux besoins de sécurité des réseaux VANETs, nous allons présenter dans les sections suivantes de ce chapitre une classification des différents attaques contre les VANETs ainsi que les solutions proposées pour la sécurité du routage ad hoc dans des différentes travaux de recherches [3, 50, 54, 55, 56, 57, 58, 59,60]. III. Classification des menaces dans les réseaux ad hoc véhiculaires Les réseaux ad hoc véhiculaires sont exposés à un grand nombre de vulnérabilités, surtout au niveau routage. Étudier les vulnérabilités dans la couche réseau des VANETs peut nous permettre de reconnaître toutes les attaques à éviter, afin d'établir un environnement sécurisé qui satisfait les besoins de sécurité de chacune des applications de VANETs. Dans plusieurs travaux de recherches [3, 50, 54, 55, 56, 57, 58, 59,60] nous avons remarqué que les objectifs principaux des comportements malicieux sont : la découverte d'informations de routage, découverte de données, la dégradation de performance du réseau et la modification de topologie de réseau. Nous présentons dans cette section la liste des attaques selon les objectifs visés par l attaquant. III.1 L interception des messages Dans les réseaux ad hoc sans fil, en utilisant le mode promiscuité de , un attaquant peut intercepter [50] (espionner) les messages envoyés facilement dans son voisinage car les ondes radioélectriques ont intrinsèquement une grande capacité à se propager dans toutes les directions avec une portée relativement grande. Il est donc facile d utiliser un logiciel spécialisé (sniffer) pour les capturer. Même si ces attaques sont en fait situées à la couche 53

54 MAC, ils peuvent aider beaucoup à réaliser les attaques de routage. L interception des messages est généralement utilisée dans les attaques qui visent la récupération des données, le chiffrement des paquets est habituellement utilisé pour empêcher cette opération. III.2 Modification des paquets Un nœud malveillant peut modifier une partie du paquet qui transite par lui [61]. Par exemple, dans AODV l attaquant peut diminuer le champ hop count dans un message de découverte de route. III.3 Suppression des paquets de routage Cette attaque peut concerner les paquets de routage et les paquets de données. Un attaquant peut supprimer un paquet qui est envoyé à travers lui, ou un nœud égoïste peut être silencieux quand il doit envoyer des paquets de routage. Par exemple, un nœud peut refuser de rediffuser le RREQ, ou d'envoyer des informations de routage périodiques lorsqu'un protocole de routage proactif est utilisé. La suppression des paquets peut être utilisée pour réaliser des attaques liées à la dégradation des performances et de modification de topologie. Les techniques suivantes peuvent entraîner le rejet de données dans les VANETs: L attaque Blackhole [62] Dans cette attaque un nœud malveillant forge le numéro de séquence ou le nombre de saut d'un message de routage afin d'acquérir une route, ensuite il intercepte et supprime toutes les données qui passent par lui, la figure 18 représente le comportement d'une attaque du trou noir, dans laquelle le nœud S veut établir une route vers la destination D. Dans le protocole de routage AODV [35], le nœud S diffusera une (RREQ) pour chercher une route vers le nœud de destination D, dans ce cas les nœuds intermédiaires normales et le nœud blackhole reçoivent le RREQ, comme le montre la Figure 18 (a), puis le nœud blackhole va répondre directement à travers un RREP avec un nombre de séquence très grand et un nombre de sauts de 1 au nœud source S. le nœud de destination D va également sélectionner une route avec un nombre de saut minimal et ensuite, retourne une réponse (RREP), comme le montre la Figure 18 (b). Selon la conception d AODV, le nœud source va choisir le plus grand numéro de séquence et le plus court chemin pour envoyer les paquets de données. Ainsi, une route à travers le nœud blackhole serait choisie par nœud S. Une fois le nœud blackhole a contrôlé la route, il peut supprimer les paquets de donnée comme le montre la figure 18 (c). 54

55 (a) Diffusion du RREQ (b) Envoi du RREP (c) Suppression des paquets de données Figure 18: L attaque blackhole 55

56 Greyhole attaque : c'est une attaque de Blackhole partielle où un attaquant rejette partiellement les paquets de données. Cependant, un système de surveillance peut détecter cette opération. III.4 Usurpation d'identité Les protocoles de routage ad hoc non sécurisés n authentifient pas les nœuds sources de paquets. Ainsi, un nœud malveillant peut lancer une attaque avec une identité usurpée. Dans un cas extrême, un nœud malveillant peut forger des identités multiples pour réaliser l attaque Sybil où un nœud malveillant est capable de revendiquer des entités multiples appelées nœuds sybil ou faux nœuds [63,67]. Ainsi, en utilisant ces différentes identités, le nœud malveillant pourra compromettre plus facilement le fonctionnement général du réseau de véhicules. L'usurpation d'identité n'est pas utilisée seule mais, elle est lancé en même temps avec d'autres attaques. Une contremesure efficace contre cette opération est d'authentifier les messages par des moyens de la cryptographie, dans ce cas un message usurpé ne peut pas être authentifié correctement en raison d'absence de la clé appropriée. Dans notre thèse on va proposer une solution pour sécuriser le protocole GPSR contre l usurpation d identité. III.5 L attraction du trafic Le but de cette attaque et de rediriger les donnée pour qu il passe à travers lui en intervenant dans la phase de découverte de routes, on peut distinguer plusieurs variantes de cette attaque selon le types de protocoles de routage. Les attaques applicables à tous les protocoles de routage : L attaque Wormhole Dans cette attaque deux nœuds qui se trouvent généralement dans des zones géographiquement séparées vont utiliser une collusion afin de transporter les paquets des autres nœuds au-delà du périmètre autorisé [54,64], en créant un court chemin entre ces deux nœuds. Ceci mène les nœuds voisins à acheminer leurs données à travers l'attaquant. Dans ce type, l attaquant reçoit des paquets à un point du réseau, puis les encapsule vers un autre attaquant pour les réintroduire dans le réseau. L'encapsulation peut se faire de deux manières: 56

57 - Multi-sauts: l'encapsulation multi-sauts permet de cacher les nœuds se trouvant entre les deux attaquants. Donc, les chemins passant par le nœud malicieux apparaissent plus courts. - Communication directe: les routes passant par les attaquants sont plus rapides, car ils sont à un saut. Donc, cette technique peut être employée contre les protocoles qui utilisent la première route découverte. L incrémentation du numéro de séquence SN d un paquet Dans de nombreux protocoles, un nœud malveillant peut envoyer des paquets avec de grands numéro de séquences, ces paquets sont considérés comme plus nouveaux que les autres paquets, et de cette manière des paquets le routage légitimes seront rejetés et les paquets de routage envoyés par l'attaquant seront acceptés ce qui lui permet d acquérir une route passant par lui. Cette attaque est uniquement applicable aux protocoles utilisant des identificateurs de message, en raison de l'absence de synchronisation. La réduction du nombre de sauts Cette attaque fonctionne avec tous les protocoles utilisant un champ de nombre de sauts dans leurs paquets de routage comme AODV. Les attaques spécifiques aux protocoles réactifs Rushing Attack [65] Dans la plupart des protocoles de routage réactifs, afin d'éviter les boucles et découvrir les chemins les plus rapides, chaque nœud ne traite que la première requête RREQ et pour limiter les collisions chaque nœud ajoute un délai d'émission aléatoire avant de retransmettre les RREQ. En supprimant le délai aléatoire un nœud malveillant peut envoyer son paquet RREQ aux nœuds suivants, de cette façon d'autres paquets RREQs envoyés par les nœuds légitimes seront rejetés. Donc les routes contenant le nœud malveillant ont plus de chances d'être choisies pour la livraison des données. Route cache poisoning [66] Cette attaque consiste à injecter de fausses informations de routage dans les caches de nœuds honnêtes. Cela fonctionne uniquement avec les protocoles qui utilisent la technique "routage source". Cette attaque utilise l'avantage du mode promiscuité afin d avoir les informations de routage échangées. Supposons qu'un nœud malveillant M veut empoisonner 57

58 les routes du nœud X. M pourrait diffuser des paquets avec route source vers X à travers lui, donc nœuds voisins vont entendre le paquet et vont ajouter cette route au cache de routes. Attaques spécifiques aux protocoles proactifs Dans le protocole OLSR pour attirer les flux de données un attaquant peut essayer d'être sélectionné comme MPR avec les mécanismes suivants: Déclaration des faux-voisins Un attaquant peut déclarer des nœuds inexistants en tant que voisins dans ses messages HELLO, alors selon les règles de sélection du MPR [33], l'attaquant va sûrement être choisi comme MPR puisqu il est le seul qui a des voisins. Révélé une grande willingness d être MPR En montrant une grande willingness (volonté), un attaquant est sûr d'être choisi comme MPR. Même une volonté de second niveau peut augmenter son chance d'être MPR. III.6 Dégradation des performances de réseau Ces attaques visent à perturber le routage ad hoc ou des attaques DOS dans les VANETs. Cette catégorie d attaques peut être classée selon les trois sous-objectifs suivants : Ajout du délai Dans ce qui suit, nous énumérons les différentes méthodes qui peuvent être utilisées pour ajouter un retard à la livraison des données qui fonctionnent essentiellement avec les protocoles réactifs: Fournir une route non optimale : En modifiant les paquets de découverte de route, un attaquant peut pousser d'autres nœuds à utiliser des routes non optimales pour la livraison des données. La modification de l entête du paquet de données : Le moment d'arrivée d'un paquet de données peut être différé lorsqu'il est volontairement modifié par un attaquant, par exemple l'attaquant peut rediriger le paquet vers un autre voisin qui peut avoir une route plus longue à la destination. 58

59 Ajout de trafic L ajout de trafic redondant dans les VANETs augmente la charge de routage et diminue ainsi les performances de routage. Une méthode pour réaliser une attaque de déni de service est de surcharger un nœud en lui inondant par une énorme quantité de trafic / demandes en utilisant l un des mécanismes suivantes : Rejouer (replay) les paquets de données boucle de routage [66]: Cette attaque fait tourner les paquets dans une boucle infinie dans le réseau afin de consommer les ressources réseau. III.7 La modification de la topologie Dans cette section, nous considérons les attaques dont le but est de modifier la connectivité du réseau, et qui peuvent être classées en trois sous-objectifs suivants : L exclusion / isolement d un nœud: des attaquants essaient d'exclure ou d'isoler certains nœuds honnêtes en utilisant l attaque Sybil ou l attaque Blackmail [67] qui est appliqué à un protocole de routage sécurisé basé sur un système de réputation et qui accepte les recommandations. Les attaquants peuvent envoyer des fausses accusations contre les nœuds honnêtes. L ajout d un nœud : Les attaquants tentent d'introduire, de fausses identités de nœuds dans le réseau VANET en se basant sur l attaque Sybil. Route / link invalidation: Les attaquants tentent d invalider des routes ou des liens légitimes en utilisant l attaque wormhole. III.8 L'égoïsme Les comportements égoïstes [52] ne sont pas vraiment des attaques, mais des comportements des nœuds qui refusent de coopérer avec les autres pour assurer le bon fonctionnement du routage ad hoc, afin d'économiser la bande passante et les ressources de calcul. Dans cette section, nous avons présenté un ensemble de menaces des protocoles de routage ad hoc selon les objectifs d attaquant, ce qui va faciliter le choix de la solution de sécurité le plus adapté au protocole de routage géographique GPSR. 59

60 IV. Mécanismes de sécurité de routage ad hoc existants Pour faire face aux attaques décrites dans la section précédente, de nombreux mécanismes de sécurité de routage ont été proposés dans la littérature qu on peut les classer dans les trois catégories suivantes : Les mécanismes de gestion des clés qui traitent l'identification et toutes les questions concernant (création, la distribution, la révocation, le renouvellement et l échange des clés). Les mécanismes de routage sécurisé garantissent l'authentification, la confidentialité, l'intégrité et finalement la non-répudiation dans les deux phases de routage : découverte de route et la transmission des données. Les systèmes détection d'intrusion pour surveiller les nœuds des VANETs. IV.1 Mécanisme de gestion de clés Un système de distribution de clé dans les réseaux ad hoc peut être asymétrique ou symétrique, dans le premier cas chaque nœud possède une paire de clés publique / privé géré par une PKI Public Key Infrastructure, dans le second cas, il utilise soit une clé symétrique partagée par tous nœuds d'un réseau, ou plusieurs paires de clés symétriques partagées par chaque deux ou plusieurs nœuds. IV.1.1 Gestion de clés asymétriques Le déploiement des PKI traditionnelles dans les réseaux ad hoc est problématique, puisqu un tel système a besoin d'une autorité de certification (CA) qui est un serveur central qui assure la livraison et la révocation de certificats en permanence, en plus le CA doit être toujours connecté et accessible par les nœuds. Ces contraintes font du PKI traditionnelle inadaptée à un environnement VANET. PKI Auto-organisée Capkun [68] and Hubeau [69] ont proposé une infrastructure à clé public auto-organisée inspirée du PGP pour authentifier les nœuds d un réseau mobile ou les certificats numériques sont créés, signés, émis et enregistrés par les nœuds eux-mêmes. Dans cette PKI chaque nœud établi des certificats pour les nœuds en qui il a confiance, et si deux nœuds veulent communiquer sans connaissance préalable l un à l autre, ils s échangent leur liste de certificat afin de créer un certificat entre eux. 60

61 Par exemple si un nœud A veut communiquer avec un nœud C, et que le nœud A fait confiance en un troisième nœud B comme le nœud C, alors A peut établir une chaine de confiance à travers B. IV.1.2 Gestion de clé Symétrique Le but d échange de clés symétriques est d établir une clé secrète commune entre les parties communicantes sans avoir aucune information préalable l'une sur l'autre. Parmi les protocoles d échanges de clés on peut citer celui inventé par Diffie et Hellman. L échange de clés Diffie-Hellman L'échange de clés Diffie-Hellman [93], du nom de ses auteurs Whitfield Diffie et Martin Hellman, est une méthode par laquelle deux nœuds notés M1 et M2 peuvent se mettre d'accord sur une clé qu'ils peuvent utiliser pour chiffrer une conversation. Le protocole d échange de clés de Diffie-Hellman, repose sur une fonction de la forme, avec P premier et g < P. Une telle fonction est très facile à calculer, mais la connaissance de K ne permet pas d en déduire facilement X. Cette fonction est publique, ainsi que les valeurs de g et P. Voici comment se passe l échange Diffie-Hellman. Les calculs indiqués sont faits dans le groupe cyclique fini qui possède g comme générateur. 1. Le nœud M1 tire au hasard un entier a tel que 1 < a < P 1 et le garde secret. 2. Le nœud M1 envoie à M2 3. Le nœud M2 choisit un nombre b tel que 1 < b < P 1 et le garde secret. 4. Le nœud M2 envoie à M1 5. Le nœud M1 a reçu B et calcul (c'est-à-dire en passant par, mais il ne connaît pas B) : 6. Le nœud M2 a reçu A et calcul (c'est-à-dire en passant par,, mais il ne connaît pas A) : M1 et M2 obtiennent à la fin de leurs calculs respectifs le même nombre qui n a jamais été exposé à la vue des indiscrets : c est la clé S. La figure 19 presente le pocessus d'echange de clé Diffie Hellman. 61

62 Figure 19: Echange de clé Diffie Hellman D après cette étude, on peut constater que la solution symétrique semble être la plus adaptée pour les VANETs pour sa facilité de déploiement et sa rapidité de calcul. IV.2 Les protocoles de routage sécurisés Les protocoles de routage ad hoc présentés dans le chapitre 2 sont spécifiés sans aucune mesure de sécurité, cependant la sécurité de ce service est identifiée comme essentielle pour assurer un large déploiement de ces réseaux et susciter leurs intérêts dans la sécurité routière. Dans cette section, nous présentons certains protocoles de routage sécurisés qui sont en effet des protocoles de routages existants renforcés par des mécanismes de sécurité supplémentaires. La figure 20 illustre les techniques cryptographiques utilisées dans ces protocoles. 62

63 Figure 20: Protocoles de routage sécurisés IV.2.1 ARIADNE Le protocole Ariadne a été proposé par Hu et al. [7] comme extension au protocole DSR en se basant sur la cryptographie symétrique utilisée par la technique d authentification TESLA (Timed Efficient Stream Loss-tolerant Authentication). Dans Ariadne un émetteur ajoute un (HMAC) avec des clés généré selon des intervalles de temps. Le récepteur peut vérifier le message lorsque la clé est envoyée dans un intervalle de temps futur sur la base d'un intervalle de divulgation de clé. La divulgation de clé temporisée est fondée sur le détachement, mais la synchronisation d'horloge est bornée entre les deux nœuds impliqués. L'objectif principal d'ariadne est de fournir l'authentification et l'intégrité des messages de signalisation DSR. Dans la découverte de route, à chaque saut les nouvelles informations du RREQ sont authentifiées. L'état de la sécurité Tesla est vérifiée à la destination, et un HMAC est inclue dans la réponse de route RREP pour certifier que les conditions de sécurité ont été vérifié. ARIADNE protège aussi l'entretien de route de DSR, par l authentification des messages RERR. Selon ses auteurs, le protocole peut également être facilement adapté à deux autres schémas, à savoir les clés partagées entre chaque paire de nœuds et la signature numérique. L inconvénient de la première variante est l utilisation de TESLA qu elle procure des délais 63

64 supplémentaire dans le processus de découverte de route; par conséquent, ARIADNE basé sur TESLA n est pas recommandé pour les réseaux à forte mobilité comme les VANETs. L autre variante ARIADNE basée sur la signature numérique n est pas adaptée pour un environnement véhiculaire à cause de la difficulté de distribution des clés public qui nécessite un serveur central. IV.2.2 Secure Routing Protocol Le protocole SRP (Secure Routing Protocol) [4] est conçu comme une extension sécurisée de protocole de routage réactif DSR en se basant sur la cryptographie symétrique. SRP ne suppose pas que tous les nœuds intermédiaires dans une route, partagent une clé secrète avec le nœud source ou destinataire. Par conséquent, seuls les deux nœuds communicants (nœud source et nœud destination) partagent une clé secrète. De ceci résulte que la vérification et l authentification de paquets de contrôle échangés ne sont effectuées qu au niveau des nœuds communicants. Au début, un nœud source S diffuse à ses voisins à un saut un paquet RREQ contenant un MAC calculé sur les différents champs avec la clé qu il partage avec le nœud destinataire D. Ensuite chaque nœud intermédiaire recevant ce paquet ajoute son identifiant au descriptif de ce dernier. Dés que le nœud destinataire D intercepte le paquet contenant la route spécifiée dans le descriptif du paquet, il vérifie le MAC généré par S et ensuite envoie un paquet RREP à S via la route inverse; ce paquet contient le descriptif de la route trouvée et un MAC (calculé avec la clé secrète partagée avec S). Les opérations du protocole SRP sont très optimisées en termes de bande passante et de traitement. Cependant, cet avantage disparait en présence d un attaquant qui peut ajouter des paquets RREQ falsifiés (par exemple contenant un identifiant d un destinataire inexistant) ou altérer le descriptif d une route en cours de construction. Ainsi, l authentification et la vérification d intégrité de ces paquets ne sont pas effectuées par les nœuds intermédiaires, ce qui provoque une consommation de ressources supplémentaires en présence d attaquants. 64

65 IV.2.3 Secure Ad-Hoc On demand Distance Vector SAODV [5,6] est une extension du protocole AODV pour assurer l authenticité et l intégrité des messages de routage, et pour éviter les manipulations de la valeur de nombre de sauts (HOP-COUNT). Dans AODV les messages de routage (Route_Reply et Route_Request) ont une partie non modifiable et une autre modifiable. La partie non modifiable est protégée par une signature numérique et elle inclut les champs suivants: le numéro de séquence, les adresses des nœuds source et destinataire et l identifiant de requête. Tandis que la partie modifiable qui inclut le compteur de sauts est protégée par une technique basée sur les chaînes de hachage, qui permet aux nœuds intermédiaires (selon les concepteurs de ce protocole) de vérifier que sa valeur n a pas été décrémentée abusivement. Cette dernière technique de protection n est toutefois pas totalement sûre et la valeur de compteur du nombre de sauts peut être rendue par un nœud malveillant supérieure ou inférieure à sa valeur réelle. Donc, le nœud malveillant peut faire apparaitre les routes plus courtes. Ce protocole présente l inconvénient que les nœuds doivent utiliser un serveur en ligne afin de vérifier les signatures numériques. IV.2.4 Secure Optimized Link State Routing SOLSR [8,9] une extension du protocole OLSR qui utilise un HMAC à chaque saut, et l horodatage des échanges (time-stamp) afin d authentifier les paquets de signalisation et pour prévenir les attaques de rejeux (reply attacks). SOLSR suppose aussi que tous les nœuds ont accès à la même clé partagée pour signer et vérifier l'intégrité de chaque message. L horodatage des échanges est réalisé par un système de défi-réponse (challenge-response). Quand un message signé est reçu une certaine marge de différence d'horodatage calculée est autorisée. Cette différence est recalculée chaque fois qu'un message reçu est vérifié, de sorte que tout défaut d'inclinaison entre les horloges peut être rapidement compensé. Cette étude nous permis de déduire que ces primitives de sécurité ne sont pas adaptées aux cas des réseaux VANETs, car d une part ils sont toujours vulnérables à des attaques telles que : (1) l usurpation d identité (l attaques sybil), (2) la création des boucles de routage, (3) 65

66 l attaque Route cache poisoning qui consiste à injecter de fausses informations dans le cache de routage des nœuds honnêtes. D autre part, ces solutions nécessitent un temps de synchronisations supplémentaire des horloges des nœuds, utilisé pour la détermination des intervalles de temps de validité des clés cryptographique et certificats. Ce qui rend ces solutions inadaptées pour les VANETs. IV.3 Les systèmes de détection d'intrusions L utilisation des techniques comme la cryptographie n offre pas la possibilité de détecter de nouvelles attaques, ni même de défendre le réseau contre des nœuds internes compromis [10,53]. Toutefois, ce type de système est utilisé comme premièr ligne de défense alors que la deuxième ligne de défense est occupée par les systèmes de détection d intrusion communément désignés par son acronyme anglais IDS (Intrusion Detection System). Un IDS fonctionne de trois phases : une phase de collection de données suivie d une phase d analyse et enfin une phase de réponse pour prévenir ou minimiser l impact sur le système. Le système IDS est implanté au niveau de certains nœuds spéciaux appelés moniteurs ou nœuds de surveillance. Le déploiement de ces nœuds diffère en fonction du type protocole et de l architecture de l IDS. Les IDS peuvent être classifiés [70,71] selon les techniques de détection utilisées : système de détection d anomalie: le système détecte tout comportement qui dévie le comportement normal préétabli et déclenche une réponse. système basé sur les signatures : le système possède une base de données de certaines attaques avec laquelle sont comparées les données collectées. Une attaque est détectée si les données collectées coïncident avec un comportement malicieux déjà enregistré. système basé sur les spécifications: le système définit un ensemble de conditions qu un protocole doit satisfaire. Une attaque est détectée si le programme ou le protocole ne respecte pas les conditions établies du bon fonctionnement. Les IDS peuvent aussi être classés selon l architecture en : autonome, distribuée et coopérative et hiérarchique [72]. IV.3.1 Watchdog and Pathrater Marti, Giuli, and Baker [73] ont présenté une solution pour détecter les nœuds malicieux qui suppriment les paquets (de façon sélective ou aléatoire) passant par ce nœud de transit. Cette solution nommée Watchdog consiste en effet, à surveiller le comportement de tous les 66

67 nœuds d une part, et choisir la route la plus sécuritaire grâce au module nommé Pathrater d une autre part. De ce fait, tous les nœuds du réseau se surveillent les uns les autres sous forme d architecture maillée. La figure 21 ci-dessous présente le mécanisme Watchdog. En effet, si le nœud S veut transmettre un paquet vers le nœud D via les nœuds intermédiaires A, B et C, le paquet est transmis au nœud A qui le retransmet à son tour au nœud B mais garde une copie du paquet. La prochaine étape du processus est de surveiller si B va retransmettre ce paquet vers le nœud C en écoutant et en comparant tous les paquets émis par le nœud B. Si le nœud B ne retransmet pas le paquet au bout d un certain temps, un compteur est incrémenté. Si le compteur atteint une valeur maximale préétablie (nombre de fois que le nœud B ne transmet pas un paquet), le nœud A peut conclure que le nœud B est malicieux. Sa décision est rapportée au nœud S. Figure 21: Le principe du Watchdog [73] Ces deux techniques sont très efficaces pour choisir les routes pour éviter les nœuds malveillants. Toutefois, ces nœuds ne sont pas punis. En revanche, ils continuent à bénéficier du réseau puisque les autres nœuds transmettent les paquets pour eux, alors qu eux suppriment les paquets afin d'économiser leurs propres ressources. Par conséquent, les nœuds malveillants sont encouragés à poursuivre leurs comportements. IV.3.2 CONFIDANT : un système basé sur la réputation Buchegger et Le Boudec ont proposé une extension au protocole de routage DSR appelé CONFIDANT [74] (Cooperation Of Nodes: Fairness In Dynamic Ad-hoc NeTworks), utilisant un mécanisme similaire au mécanisme Watchdog et Pathrater ou chaque nœud observe le comportement de ses voisins. Une fois qu un comportement malicieux est détecté, le nœud malicieux est exclu de tous les services offerts par le réseau (retransmission des paquets par exemple) et l isole grâce à un système de réputation (Figure22) en alertant les autres nœuds par la diffusion d un message d alarme. 67

68 Figure 22: Le principe de confidant [74] Le mécanisme proposé utilise le module Monitoring pour détecter toute activité malicieuse. Si un cas suspect est détecté, le module Monitor en voie une notification au module Reputation System qui, à son tour, fait une mise à jour de sa table de réputation en fonction des rapports d activité reçus. Si la valeur de réputation dépasse un seuil critique, une alarme est envoyée aux autres nœuds via le module Trust Manager ainsi qu au Path Manager qui supprime toutes les routes contenant le nœud malicieux. Puisque ce protocole permet l envoi d alarmes, le réseau peut être sujet à des attaques envoyant de fausses accusations. Ainsi, un déni de service peut être facilement réalisé. IV.3.3 CORE : un système basé sur la réputation Le mécanisme CORE [75] (Collaborative reputation mechanism) présenté par Michiardi et Molva a proposé une solution pour contrer le comportement égoïste des nœuds. La solution consiste à offrir des moyens d incitation pour tout nœud voulant participer aux processus collaboratifs. Les moyens d incitation sont inspirés de la théorie des jeux (Prisoner s Dilemma) ou chaque nœud a une réputation à mettre en jeu traduisant son honnêteté. Pour transmettre ou recevoir un paquet, le nœud doit avoir une réputation suffisante. De plus, chaque nœud détecté malveillant ou égoïste voit sa réputation se diminue ce qui a pour 68

69 conséquence d isoler ce nœud complètement du réseau (impossibilité d émettre ou recevoir des paquets). Cela oblige les nœuds à adopter un comportement honnête. Dans CORE, chaque nœud attribue une valeur de réputation à tout autre nœud impliqué dans un processus coopératif. À noter que CORE contrairement à CONFIDANT ne permet d attribuer que des valeurs positives pour la réputation, si le nœud de décision reçoit un rapport positif d un autre nœud (surveillance indirecte). Les valeurs négatives sont réservées seulement pour une surveillance directe dans le cas où le nœud surveillé ne coopère pas. En procédant ainsi, le mécanisme élimine les éventuelles fausses accusations et les attaques de dénis de service dont CONFIDANT souffre. Si un nœud A sollicite un service du nœud B (Retransmission de paquet, découverte de routes), le nœud B consulte sa table de réputation et calcule la valeur globale de réputation (surveillance directe et indirecte) pour le nœud A. S il s avère que le nœud A à une réputation globale négative alors sa requête sera rejetée et le nœud sera isolé. IV.3.4 Zhang et Lee IDS Zhang et Lee [76] ont proposé un IDS distribué coopératif où chaque nœud appelé agent IDS, est responsable de la collection des données et la détection des activités malicieuses. Chaque agent IDS peut initier une réponse (punition) indépendamment des autres nœuds. Toutefois, les agents IDS voisins pourraient coopérer entre eux pour une détection d intrusion globale. Un agent IDS est structuré en six modules comme illustrés sur la figure 23 : le module local data collection qui est responsable de la collecte les données en temps réel. le module local detection engine décide à partir des données collectées si le système est attaqué ou non. Le module peut initier une réponse si une attaque est détectée. La réponse est exécutée par le module local response (alerte à l utilisateur local) ou le module global response (alerte globale) en fonction du type d attaque. Le module cooperative detection engine est exécuté quand une anomalie est détectée et sollicite la coopération des autres nœuds via un autre module de communication sécurisée appelé secure communication. 69

70 Figure 23: Modèle d un agent IDS [76] IV.3.5 Zone-Based Intrusion Detection System Sun, Wu et Pooch [77] ont proposé un IDS comportemental qui divise le réseau en zones comme illustré sur la figure 24, les nœuds dans cette architecture peuvent être classés en deux types: Les nœuds intrazones et les nœuds interzones (ou nœuds passerelle). Figure 24: La division du réseau en zone par ZBIDS [77] Considérant la zone E, les nœuds 5, 9, 10 et 11 sont des nœuds intrazones, tandis que les nœuds 2, 3, 6, et 8 sont des nœuds interzones connectés aux nœuds d'autres zones. La 70

71 formation et l'entretien des zones exigent que chaque nœud doive connaître son emplacement physique pour le mapper sur une carte la zone. Chaque nœud a un agent IDS semblable à un agent IDS proposé par Zhang et Lee, en outre, nous trouvons le module Local Aggregation and Correlation Engines (LACE) qui combine les résultats des différents modules locaux et génère des alertes si un comportement anormal est détecté. Ces alertes sont diffusées à d'autres nœuds dans la même zone. Cependant, la manière de fonctionnement de module Global Aggregation and Correlation Engines (GACE) est dépendant au type du nœud, comme décrit dans la figure 25, si le nœud est intrazone, il envoie uniquement les alertes générées aux noeuds interzones. Alors que, si le noeud est interzone, il reçoit des alertes à partir d'autres nœuds intrazones, les agrégats et les corrèle avec ses propres alertes, puis génère des alertes qui seront envoyées vers les autres modules GACE des noeuds interzones. Figure 25: L agent IDS dans ZBIDS Enfin, le module intrusion response est responsable du traitement des alertes générées par le GACE. L algorithme d agrégation et de corrélation utilisé dans ZBIDS est basé sur la création d un profil normal construit par une chaine de Markov à partir du cache des informations de routage. Un changement valide dans le cache de routage peut être caractérisé par le modèle de détection de chaîne de Markov avec des probabilités, sinon, il sera considéré comme anormal, et une alerte sera générée. Pour algorithme d agrégation et de corrélation globale, il est basé sur les informations fournies dans les alertes reçues contenant le type, l'heure, et la source de ces attaques. 71

72 IV.3.6 Système de détection d'intrusion hiérarchique Les réseaux ad hoc véhiculaires sont caractérisés par une forte mobilité c est pourquoi une hiérarchie statique n'est pas appropriée pour une telle topologie dynamique de réseau.stern et al. [78] ont proposé un IDS clustérisé qui est basé sur la signature d attaque qui peut être structuré en plusieurs niveaux comme le montre la Figure 26. Figure 26: Le système de détection d'intrusion hiérarchique [78] Les nœuds étiquetés "1" sont le premier niveau de chefs de grappe (clusterheads) tandis que les nœuds étiquetés "2" sont second niveau de chefs de grappe ainsi de suite. Chaque nœud possède des responsabilités de surveillance (par l'accumulation de statistiques), d'enregistrement, d'analyse (par exemple, contrôler si la signature d'attaque correspondant aux têtes des paquets et des payloads), répondre aux intrusions détectées s'il y a suffisamment de preuves, et d'alerter les chefs de grappe. Les chefs de grappe, en outre, doivent également effectuer: Fusion / intégration/ réduction des données Détection d intrusion : les chefs de grappe consolident les données afin de détecter les attaques car un nœud ne pourrait pas être en mesure de détecter une attaque comme DDoS tout seul. Gestion de la sécurité: les nœuds les plus élevés de la hiérarchie ont l'autorité et la responsabilité de gestion de détection d intrusion et d'intervention aux clusters en dessous d'eux. Ils peuvent envoyer des mises à jour de signatures ou des directives et des politiques visant à modifier les configurations pour la détection d'intrusion et la réponse. 72

73 IV.3.7 Système de détection d'intrusion clustérisé Jaydip Sen a proposé un système de détection d intrusion clustérisé [79] composé de deux modules : le module Cluster-Head (CHM) s'exécutant sur chaque chef de grappe, et il est responsable de la gestion des nœuds membres de grappe, de l'initiation de détection d'intrusion coopérative et de réponse aux demandes des nœuds membres de grappe. Le CHM est composé en six sous modules comme illustrés à la figure 27: Figure 27: Le module CMH [79] Le module Cluster-Member (CMM) qui est exécuté sur tous les nœuds et gère les données recueillies localement par les membres de grappe pour la détection d'intrusion et la réponse, et en cas besoin, il peut demander au chef de grappe d initier une détection d'intrusion coopérative. Cela se produit lorsque les données locales disponibles au CMM ne sont pas suffisantes pour tirer une conclusion concrète sur une activité.le CMM est composé en six sous modules comme illustrés à la figure

74 Figure 28: Le module CMM [79] Jaydip Sen propose aussi d invoquer périodiquement l algorithme d élection de chef de grappe afin d assurer la rotation de la responsabilité de gestion de cluster à différents nœuds ce qui assure un équilibrage de charge appropriée et de tolérance aux pannes dans le système. Chaque nœud dans le réseau maintient une base de données d'attaques connues (misuse signatures) et les activités du réseau sont considérées anormales si l IDS dépasse un seuil ce qui permet l identification des nouvelles attaques contre le réseau. L auteur propose aussi d utiliser les agents mobiles pour les communications inter-grappe afin d augmenter la flexibilité dans la détection coopérative du système de détection d'intrusion distribué. IV.3.8 Comparaison des IDS étudiés Le tableau 1 représente la comparaison finale entre les techniques de détection d intrusions discutées. 74

75 Le système de detection d intrusion Watchdog and Pathrater Confidant CORE Zhang et Lee IDS ZBIDS Jaydip Sen clustered IDS Sterne IDS Architecture La méthodologie Techniques Autonome surveillance de - Auto observation de voisin noeuds relais - Evite les nœuds malveillants dans la qui assure le recherche de route routage - Auto observation de voisin - observation voisin pour voisin Distribuée et Réputation - Evite les nœuds malveillants dans la coopérative recherche de route - punition de nœud malveillant - la théorie des jeux Distribuée et - Auto observation de voisin Réputation coopérative - Détection d'égoïsme - Punition de nœud malveillant - Détection locale indépendamment des autres nœuds Distribuée et Détection - Détection globale coopérative si les coopérative coopérative informations locales sont insuffisant pour faire des décisions sur une activité. Clustérisé - Les agents mobiles Détection - Chaine de Markov coopérative - Module LACE et GACE - Les agents mobiles Clustérisé Signature - Détection d intrusion assurée par les chefs de grappe - Fusion / intégration/ réduction des données Clustérisé et Signature -Détection d intrusion par les chefs de hiérarchique grappe - Gestion de la sécurité Table 2: Les systèmes de détection d intrusion 75

76 V. Conclusion du chapitre Dans un réseau ad VANET tous les nœuds doivent coopérer dans les opérations de routage, en gérant entre autre l établissement des chemins, la dissémination de notifications de ruptures de chemins et la retransmission des données. Etant donné cette caractéristique, il devient relativement facile de mener des d'attaques, qui visent à modifier la topologie du réseau, comme la déclaration de faux voisins, l utilisation de fausses identités (attaque sybil), ou à dégrader ses performances via des attaques comme l attaque blackhole, la déclaration des routes non optimales ou la création des boucles de routage afin de le rendre inopérant, soit par des nœuds malveillants internes ou bien de nœuds compromis par un attaquant au cours de l'exploitation du réseau. Dans ce chapitre nous avons étudié un ensemble de protocoles de routage pour les réseaux ad hoc mobile sécurisés par des méthodes cryptographiques. Ces solutions utilisent soit mécanismes légers comme l'authentification de bout en bout par MAC en SRP, soit des mécanismes couteux comme Tesla et la signature à clé publique. Cette étude nous a permis de remarquer que certaines d entre eux sont toujours vulnérables à certaines attaques de modification de paquets comme la création des boucles de routage et l attaque Route cache poisoning qui consiste à injecter de fausses informations dans le cache de routage des nœuds honnêtes. Ces techniques montrent d'autres limitations comme les coûts calculatoires importants liés à la génération et la vérification des clés dans Tesla, ainsi que la difficulté liée à la mise en place d une architecture de gestion de clé. Ces problèmes nous ont poussé à proposer d établir des clés secrètes Diffie-Hellman dans la phase de découvert de voisinage pour les utiliser comme clés pour la génération d une signature symétrique décentralisé et rapide basée sur AES. Même si les procédés cryptographiques peuvent s'avérer efficaces pour contrer un nombre important d attaques, ils demeurent inopérants pour contrer l attaque wormhole car cette attaque ne requiert aucune génération ou modification des paquets de routage, nous avons examiné aussi plusieurs techniques de détection d'intrusion qui ont été proposées récemment et considérées comme complémentaires aux techniques cryptographiques, ce qui nous a 76

77 permis de constater que la plupart des modèles IDS existants sont distribués et basé sur la détection d anomalies, en plus il y a une tendance à utiliser les agents mobiles pour la détection d'intrusion dans les réseaux ad hoc mobiles, car ils permettent l utilisation de multiples ressources distribuées d'une manière efficace. Nous notons également que l'ensemble de ces techniques utilisent le mécanisme de watchdog et l'améliore par la résolution de certains de ses problèmes. Ces techniques basées sur l'observation présentent l'inconvénient d'être sujettes à des erreurs dans leur diagnostic, c est pourquoi nous avons proposé un mécanisme de détection d intrusion basé sur des algorithmes de datamining. Dans le chapitre 5 de notre thèse on va détailler l ensemble des propositions qui visent à sécuriser le protocole de routage géographique GPSR choisi comme le mieux adapté pour les VANETs. 77

78 Chapitre 4 Evaluation de performances des protocoles de routage I. Introduction Dans le chapitre 2, nous avons apporté une vue sur un ensemble protocole de routage proposé pour les réseaux ad hoc, et leur classification selon la manière et les informations utilisées dans le processus de routage. Cette classification ne tient pas en compte des critères telle que la mobilité et de la densité des nœuds sur le comportement de ces protocoles. Pour l évaluation de ces protocoles la simulation offre une vision sur les performances du protocole avant même de l adopter et le commercialiser par un organisme de standardisation et nous rapproche de l utilisation réelle du protocole, ce que nous aide à sélectionner les meilleurs protocoles qui ont un bon comportement dans différents scénarios, la simulation permet aussi aux développeurs des protocoles et de tester leur algorithme de routage afin de les améliorer. Les métriques de performances des protocoles ad hoc ont été abordées dès le premier RFC publié par le groupe de travail MANET [80], en séparant ces métriques en mesure externes de l efficacité du routage (comment la performance du protocole est perçue par les mécanismes utilisant le routage) et mesure interne (pour un même niveau externe de performances, deux algorithmes vont déployer des volumes d overhead différents). Les mesures externes de l efficacité d un protocole ad hoc regroupent : le délai de bout en bout, le débit le temps d acquisition d une route qui est valable uniquement pour les protocoles réactifs. le pourcentage de segments reçus hors séquence (intéressant du point de vue de la couche transport car TCP ajuste sa fenêtre en cas d arrivées désordonnées de segments) 78

79 Pour mesurer l efficacité interne du protocole, les métriques suivantes sont conseillées : le nombre moyen de bits de données transmis / nombre de bits de données reçus le nombre moyen de bits de contrôle transmis / nombre de bits de données reçus le nombre moyen de paquets de contrôle et de données transmis / nombre de paquets de données reçus. Le but de ce chapitre est d étudier les performances des protocoles de routage ad hoc afin de répondre aux questions suivantes : 1) Quelles sont les principales différences entre les protocoles de routage ad hoc? 2) Quel protocole de routage fournit une meilleure performance dans les réseaux adhoc véhiculaires? 3) quels sont les facteurs qui influencent la performance de ces protocoles de routage? Pour répondre à ces questions, nous avons utilisé OPNET [48] pour comparer les performances des cinq protocoles AODV, DSR, TORA, OLSR et GRP afin d'examiner l'impact de la mobilité et de la densité des nœuds sur le comportement de ces protocoles en ce qui concerne le débit, le taux de paquets de routage envoyé, le délai et le débit. II. Les métriques visées par notre simulation II.1 Le trafic de routage Le trafic de routage envoyé par chaque nœud est une mesure importante de l'évolutivité du protocole de routage, et donc du réseau. Il est défini comme le nombre total de paquets de routage transmis sur le réseau, et est exprimé en bits par seconde ou de paquets par seconde, ce nombre est recalculé à chaque émission ou réception de paquets. Ce test est fait pour savoir si le réseau est chargé ou non. Le trafic de routage est exprimé sous OPNET par la relation suivante : Le trafic de routage = nombre des paquets envoyés-(nombre des paquets reçus+ nombre des paquets perdus) (1) Cette métrique permet de choisir le protocole qui encombre le moins le réseau. 79

80 II.2 Le débit Le débit est le taux de transfert à un moment donné, il est exprimé en bits par seconde. Les facteurs qui affectent le débit dans les VANET sont les changements fréquents de topologie et la bande passante limitée. II.3 délai Le délai représente le temps nécessaire pour qu un paquet arrive à la destination, autrement dit: le temps qui s écoule entre la génération du paquet par la source et sa réception par la couche application de la destination. Le délai de bout en bout est donc une mesure de performance pour un protocole de routage afin de savoir s il s'adapte aux différentes contraintes du réseau, aussi il représente la fiabilité du protocole de routage. Pour chaque paquet dans le réseau ce délai ce calcule comme suit sous OPNET: Délai de bout en bout = instant de réception du paquet instant d émission du paquet (2) III. Modélisation de la simulation et Scénarios Notre objectif dans cette partie est de modéliser le comportement des protocoles de routages sous différentes situations de charge et de vitesses de mobilité dans des communications véhicule à infrastructure (V2I), afin d examiner les statistiques moyennes du débit, délai, et du trafic de routage pour l'ensemble du réseau VANETs. Nous avons modélisé le réseau avec une superficie bien déterminée. Les nœuds (véhicules) et le serveur ont été répartis au hasard dans la zone géographique. Dans les simulations, nous avons utilisé le trafic TCP afin d'étudier les effets des applications basées sur TCP telles que le web et le transfert de fichiers sur des protocoles ad hoc. Nous avons configuré un profil d'application FTP pour notre étude où les nœuds sont les clients mobiles WLAN avec un débit fixé à 11 Mbps, tandis que la destination est un serveur de réseau sans fil aussi avec un débit de données de 11 Mbps. Nous avons aussi utilisé l objet de mobilité pour définir le modèle de mobilité random waypoint. Il s'agit d'un modèle de mobilité simple et largement accepté pour décrire les comportements de mobilité plus réaliste. Nous avons aussi choisi deux vitesses de mobilité, la première est 10m/s (36Km/h) qui reflète une faible mobilité, et la deuxième est 28ms/s (100,8 Km/h) qui reflète une forte mobilité des nœuds. Lorsque le nœud atteint sa destination, il s'arrête pendant 300 secondes, puis choisit une nouvelle destination au hasard. 80

81 Pour la densité du réseau nous avons choisi les nombres des nœuds: 5 pour une fiable densité, 20 pour une densité moyenne, et 40 pour une grande densité du réseau. Le tableau 3 ci-dessous représente les 30 scénarios utilisé dans notre simulation. Pour chaque protocole de routage on a procédé à 6 scénarios, où chaque scénario est caractérisé soit par un changement de la vitesse de mobilité soit le nombre des nœuds : Scénarios Nombre des nœuds Vitesse de mobilité (m/s) Protocole utilisé Scénario DSR Scénario DSR Scénario DSR Scénario DSR Scénario DSR Scénario DSR Scénario AODV Scénario AODV Scénario AODV Scénario AODV Scénario AODV Scénario AODV Scénario TORA Scénario TORA Scénario TORA Scénario TORA Scénario TORA Scénario TORA Scénario OLSR Scénario OLSR Scénario OLSR Scénario OLSR Scénario OLSR Scénario OLSR Scénario GRP Scénario GRP Scénario GRP Scénario GRP Scénario GRP Scénario GRP Table 3: Scénarios et simulations utilisés. IV. Résultats et interprétation Dans cette partie, on va discuter et analyser les résultats de nos simulations des protocoles de routage utilisés, en commençant par une analyse du trafic du routage dans le réseau, ensuite le délai de bout en bout et enfin le débit du réseau. 81

82 IV.1 Le trafic de routage D après les figures 28, 29, 30, 31, 32, 33 on remarque pour le protocole DSR, dans tous les scénarios, que la mobilité n affecte pas le trafic, dans le cas de 5 nœuds ce dernier est estimé par 10 bits/sec, dans le cas de 20 nœuds il vaut 200 bits/sec et dans le cas de 40 nœuds il vaut 500bit/s. En ce qui concerne le protocole AODV on remarque la même chose, la mobilité n a pas d influence sur le trafic, dans le cas de 5 nœuds il arrive jusqu à 40 bits/sec, dans le cas de 20 nœuds il atteint 1000 bits/sec et dans le cas de 40 nœuds il est à 2000bit/s. Le protocole TORA connait une diminution de trafic de routage dans le cas de 5 et 20 nœuds avec des vitesses de mobilité différentes et se stabilise avec un trafic de 425 bits/sec pour 5 nœuds et bits/sec pour 20 nœuds. Avec plus de nœuds et grandes vitesses de mobilité : TORA génère un grand trafic qui arrive à bits/sec. Pour le protocole OLSR la mobilité n'affecte pas trafic de routage mais ce dernier augmente avec la charge du réseau et qui reste presque dans le même niveau dans tous les scénarios, avec 1150 bits/sec dans le cas d un réseau constitué de 5 nœuds, 9000 bits/sec pour le réseau de 20 nœuds et bits/sec pour une grande charge de réseau estimée par 40 sources de trafic. Pour le protocole de routage GRP on remarque que le trafic du routage diminue rapidement et reste presque stable et faible pendant toute la durée de la simulation et pour tous les scénarios, ce trafic est estimé par 550 bits/sec dans le cas du réseau de 5 nœuds et par 2000 bits/sec dans le cas de 20 et 40 nœuds. D après notre simulation on constate que le routage géographique ne génère pas un grand trafic de routage en comparaison avec les protocoles TORA et OLSR qui utilisent des messages de contrôle pour détecter les changements de topologie dans leur voisinage. 82

83 Figure 29: Evaluation du trafic de routage de 5 nœuds avec une mobilité de 10m/s. Figure 30:Evaluation du trafic de routage de 5 nœuds avec une mobilité de 28 m/s 83

84 Figure 31:Evaluation du trafic de routage de 20 nœuds avec une mobilité de 10 m/s Figure 32: Evaluation du trafic de routage de 20 nœuds avec une mobilité de 28 m/s. 84

85 Figure 33: Evaluation du trafic de routage de 40 nœuds avec une mobilité de 10 m/s. Figure 34: Evaluation du trafic de routage de 40 nœuds avec une mobilité de 28 m/s. 85

86 IV.2 Le délai D après les figures 34, 35, 36, 37, 38, 39 dans tous les scénarios envisagés, on observe que le protocole OLSR a le plus faible délai qui varie entre 0,0003 sec et 0,0004 sec. OLSR est un protocole de routage proactif, ce qui signifie que les liaisons du réseau sont toujours prêtes à chaque fois lorsque la couche d'application à un trafic à transmettre. Les mises à jour périodiques de routage gardent les chemins disponibles pour l utilisation et l'absence d'un temps de latence élevé induite par les processus de découverte des routes dans le protocole OLSR explique son délai relativement faible. Avec un nombre plus grand de nœuds mobiles, les performances de ce protocole sont en concurrence avec celles du protocole AODV avec un délai de 0,0005 sec. Pour les petits réseaux avec cinq nœuds, on observe que TORA à un délai de 0,0013 sec et surpasse DSR qui possède un délai de 0,0033 sec dans les deux cas de mobilité. D'autre part, TORA est en concurrence avec AODV dans le cas de basse vitesse où ils possèdent presque le même délai estimé par 0,0013 sec mais le protocole TORA surpasse AODV dans le cas de vitesse élevée en offrant un délai de 0,0070 sec. Lorsque le nombre de nœuds à grandi, on remarque que TORA souffre d'une dégradation significative de son délai. Une des raisons de cette dégradation est son processus de découverte des routes. Le protocole AODV a également un très faible délai estimé par 0,0013 sec dans le cas de 5 nœuds et de 0,0005 sec dans le cas de 20 nœuds, et il arrive le second après le protocole OLSR. Ceci est observé dans tous les scénarios envisagés, sauf dans le cas de la diminution du nombre de nœuds et avec une vitesse élevée où il surpasse TORA. Cependant, nous observons que la performance du protocole AODV s'améliore avec l'augmentation du nombre de nœuds. DSR montre un délai uniforme dans le cas des deux vitesses de mobilité avec 5 et 20 nœuds où il vaut 0,0033 sec et augmente dans le cas de 40 nœuds pour atteindre 0.01 sec. Le protocole DSR utilise des voies mises en cache et souvent, il envoie le trafic sur les routes obsolètes, ce qui peut causer des retransmissions et engendrer des délais excessifs. Ainsi, dans des réseaux avec un grand nombre de route, l'augmentation du nombre de liaisons mises en cache aggrave le délai. 86

87 Le protocole GRP expose un délai plus cohérent que les autres protocoles variant entre 0,0004 et 0,0005 dans tous les scénarios. Pour conclure, nous avons observé que le protocole OLSR expose un délai très faible dans tous les scénarios. Tandis que pour le protocole TORA on remarque qu il a un délai élevé dans le réseau à fort trafic, et que la mobilité n'a pas affecté son délai. Concernant le protocole AODV, on constate une amélioration de délai quand la taille du réseau augmente alors que la vitesse n'affecte pas son délai, et enfin le protocole DSR adopte une approche cohérente de délai et subit plus de délai lorsque le réseau s'agrandit mais la vitesse de mobilité n a pas de profonds effets sur ses performances. Les trois protocoles réactifs présentaient des retards élevés à des charges plus élevées en raison de l'augmentation des demandes de découverte de route, contrairement au routage géographique, qui expose un délai important seulement dans le cas d un réseau moins chargé. Figure 35: Evaluation du délai de 5 nœuds avec une mobilité de 10 m/s. 87

88 Figure 36: Evaluation du délai de 5 nœuds avec une mobilité de 28 m/s. Figure 37 : Evaluation du délai de 20 nœuds avec une mobilité de 10 m/s. 88

89 Figure 38: Evaluation du délai de 20 nœuds avec une mobilité de 28 m/s. Figure 39: Evaluation du délai de 40 nœuds avec une mobilité de 10 m/s. 89

90 Figure 40: Evaluation du délai de 40 nœuds avec une mobilité de 28 m/s. IV.3 Le débit D après les figures 40, 41, 42, 43, 44, 45 nous observons que le protocole OLSR possède un débit très important ou il dépasse bits/sec. Dans le réseau avec cinq nœuds, DSR à un débit de bits/sec et surpasse TORA qui a un débit de bits/sec et AODV qui a un débit de bits/sec à une vitesse de mobilité de 10 m/s ou de 28 m/s. On conclut que le protocole DSR est plus performant que TORA et AODV dans le cas de petits réseaux quelque soit la vitesse de mobilité. Par contre TORA est le plus adapté lorsque le réseau grandit. Le protocole AODV a un débit plus faible environ bits/s lorsque les nœuds sont en mouvement à une vitesse faible dans le réseau et avec un petit nombre de nœuds, alors qu'il a un débit plus élevé environ bits/sec dans le cas d une vitesse de mobilité plus élevée et dans les réseaux de plus grandes tailles. Le débit du protocole TORA augmente dans le cas d une forte mobilité pour atteindre bits/sec. Pour le protocole GRP on remarque que le débit diminue pendant le début de la simulation puis reste presque stable mais pour un réseau de 5 nœuds avec une mobilité faible (10 m/s) ou forte (28 m/s) le débit varie selon une forme plus proche de celle d une fonction 90

91 sinusoïdale autour de bits/sec, est reste important dans toutes les phases de la simulation. D après notre simulation on constate que le routage géographique à un meilleur débit comparé à DSR, AODV et TORA. Figure 41 : Evaluation du débit de 5 nœuds avec une mobilité de 10 m/s. Figure 42: Evaluation du débit de 5 nœuds avec une mobilité de 28 m/s. 91

92 Figure 43: Evaluation du débit de 20 nœuds avec une mobilité de 10 m/s. Figure 44: Evaluation du débit de 20 nœuds avec une mobilité de 28 m/s. 92

93 Figure 45: Evaluation du débit de 40 nœuds avec une mobilité de 10 m/s. Figure 46: Evaluation du débit de 40 nœuds avec une mobilité de 28 m/s. V. Conclusion du chapitre Dans ce chapitre nous avons présenté une étude comparative des cinq protocoles AODV, DSR, TORA, OLSR et GRP en ce qui concerne le débit, le trafic de routage et le délai, Le tableau ci-dessous résume les différentes caractéristiques remarquées dans notre simulation. 93

94 Le protocole utilisé Conclusions OLSR DSR OLSR surpasse AODV, DSR TORA dans les débits et le délai de bout en bout. OLSR a la plus mauvaise performance dans le trafic de routage généré. Il est donc bien adapté pour les réseaux à haut débit. Le trafic de routage élevé montre qu OLSR est non adapté pour les réseaux à faible débit. DSR est le meilleur candidat dans les réseaux de faible débit. Cependant, il a un grand trafic de routage dans le cas de longs chemins (réseaux de grande taille). Il insère dans le paquet les adresses IP de tous les nœuds de la route qu'il utilise. AODV AODV convient pour les réseaux de basse et moyenne charge avec des vitesses de mobilité faibles. TORA TORA convient pour les réseaux de petite taille. Il perd ses performances en cas d extension rapide. GRP GRP réduit considérablement la signalisation (les paquets de contrôle), notamment dans les réseaux larges et dynamiques. Convient plus aux réseaux de grande taille. Table 4: Comparaison des protocoles de routages Nous avons constaté à partir notre simulation que le routage géographique est le mieux adapté pour les réseaux véhiculaires hautement dynamiques à cause de son faible délai et sa faible quantité de trafic de routage. Néanmoins, la problématique réside toujours dans le choix des techniques de sécurité qui n augmente pas les délais de routage dans les réseaux VANETs. Dans le chapitre suivant nous allons présenter nos différentes contributions pour sécuriser le routage dans les VANETs. 94

95 Chapitre 5 Contribution à la sécurisation des VANETs I. Introduction L objectif de ce chapitre est de présenter les différentes contributions visant à résoudre les problèmes relatifs à la sécurité du processus de routage dans les réseaux VANETs soulevés dans les chapitres précédents. D abord, on va présenter notre solution pour sécuriser le protocole de routage géographique GPSR, puis nous allons décrire l utilisation d une combinaison des deux algorithmes de datamining Random Forest et Naïve Bayes dans notre architecture d'ids. Finalement, nous proposons une définition formelle d une intrusion par la mise en œuvre d une ontologie de détection d intrusions dans les réseaux ad hoc véhiculaire. II. Sécurisation du protocole GPSR Le protocole GPSR [42,43] ne spécifie aucune mesure de sécurité. Il est pourtant, la principale cible pour des attaques [50,58,62,63,66,67] qui visent l acheminement des alertes de sécurité routière dans réseau VANET afin de perturber la circulation routière ou causer des accidents. Avant de présenter notre solution de sécurité, nous présentons ici un résumé des failles et des besoins de sécurité du protocole GPSR. Puisque GPSR ne dispose d aucun mécanisme de sécurité, des nœuds malicieux peuvent mener des attaques afin de perturber le fonctionnement du protocole GPSR, par des moyens tels que : un nœud malveillant peut bloquer tous les paquets d une victime, en réalisant ainsi un blackhole, ou juste sélectionner les paquets à bloquer en réalisant un Greyhole. Un attaquant peut générer de faux messages d alerte pour les diffuser. Un attaquant peut facilement modifier le contenu des paquets et les rediffuser Suite à ces attaques les besoins en sécurité dans GPSR sont énumérés comme suit : Vérifier que l émetteur des paquets de routage est bien celui qu il prétend être. 95

96 Vérifier que les paquets de routage arrivés, n avaient pas été altérés durant le transfert. D après ce que nous avons vu, la sécurité demandée pour les paquets de routage, est considérée principalement comme génération et vérification des digests ou signatures numériques sans consommer beaucoup de temps. C est pourquoi nous proposons une signature numérique générée en deux étapes : II.1 Détection de voisinage et échange de clés Dans les réseaux ad hoc véhiculaires beaconing est l un des modes de communication conçu pour annoncer la présence de véhicules dans le voisinage. Cette détection du voisinage se fait par l envoi périodique et l écoute d un paquet beacon qui contient les emplacements géographiques des voisins. Si un nœud ne reçoit pas un paquet beacon à partir d'un nœud voisin après une certaine période de temps, il suppose que le voisin est parti et il est supprimé de la table des voisins valides. Le diagramme de séquence illustré dans la figure 47 présente les étapes de l'algorithme beacon : Figure 47: Diagramme de séquence beaconing Notre première contribution [102] dans ce travail consiste à proposer une approche qui permet d établir des clés secrètes Diffie-Hellman entre deux véhicules voisins (à un saut) au 96

97 moment d échange des messages beacons permettant de construire les tables de voisins directes du protocole GPSR. Nous proposons d utiliser deux paquets beacon au lieu d un seul afin d avoir des tables de voisins qui contiennent des clés secrètes qui seront utilisé comme clé de chiffrement symétrique afin de réduire le délai généré par l échange de clés comme dans le cas du Tesla [7]. Pour prendre en considération la procédure d échange de clés nous proposons d utiliser : un premier paquet envoyé en broadcast par un nœud C puis un acquittement est renvoyé par D. Cet échange est illustré par la figure 48 : Figure 48: Détection de voisinage et échange de clés II.2 Génération de la signature numérique La signature numérique symétrique [103,104] sera le mécanisme permettant de garantir l'intégrité des paquets GPSR échangés entre les voisins directes deux à deux et de les authentifier. En effet la mobilité des nœuds impose que le temps de routage de paquet de la source à la destination soit minimal, c est pourquoi on propose d utiliser l algorithme de chiffrement AES qu on la note CA. Lorsqu on souhaite signer un paquet P, on utilise le processus suivant : 1-On applique la fonction de hachage MD5 aux données du paquet GPSR, que nous avons choisi car elle donne un condensé réduit à 128 bits, notons HS(P) le résultat de cette 97

98 opération. Ce condensé sera ajouté comme champs authentification au paquet GPSR et permet de s'assurer de son l intégrité, et qu'il est bien entier et sans erreur. 2- On chiffre ce condensé CA (HS(P)), le résultat de cette opération constitue la signature S(P) du paquet. Lorsque le voisin direct reçoit le paquet, il vérifie son authenticité avec la procédure suivante : 1-Le condensé HD(M) du paquet à la destination est généré de la même manière au moyen de la fonction de hachage MD5. 2-Parallèlement, la signature S(P) est déchiffrée au moyen de la clé secrète déjà établie lors de la découverte de voisinage. Le condensé censé avoir été généré par le voisin est ainsi retrouvé par le destinataire CA(S(P)). 3-Le condensé HD(P) est comparé avec celui déchiffré depuis la signature. En cas d'égalité, le paquet P est authentifié Si les deux sont différents, soit le paquet a été altéré, soit il n'a pas été rédigé par le voisin. Ce processus est présenté par les figures 49 et 50 : 98

99 Figure 49: Processus de création de la signature numérique Figure 50: Processus de vérification de la signature numérique Dans cette proposition de sécurité du protocole de routage GPSR, nous avons commencé par trouver une solution de signature qui protège le trafic de routage contre les attaques qui visent l authentification et l intégrité du contenu. Notre choix de l algorithme AES a été validé par notre implémentation sous java des deux algorithmes AES et Blowfish et la comparaison de leur temps d exécution. Nos différents tests sont effectués sur une machine avec un processeur Intel pentium(r) 2.13GHz à 2Go de RAM. Le tableau suivant montre le temps d'exécution en fonction de la taille du message. 99

100 AES Taille du de message en octet en octet Temps chiffrement en nanosecondes Temps Déchiffrement en nanosecondes Blowfish Taille du message en octet Temps chiffrement en nanosecondes Temps Déchiffrement en nanosecondes Table 5 : Comparaison des temps d exécution de l AES et blowfish III. Proposition du système de détection d intrusion comportementale Les solutions cryptographiques sont hautement spécialisées pour une attaque précise et n offrent pas la possibilité de détecter de nouvelles attaques, ni même de défendre le réseau contre des nœuds internes compromis. C est pourquoi nous proposons d utiliser un système de détection d intrusion comportementale afin de surveiller le réseau VANET. Cette approche de détection comportementale repose sur l hypothèse qu une attaque provoque une utilisation anormale des ressources ou manifeste un comportement étrange de la part d un nœud. Pour détecter ces intrusions le système doit être habile à distinguer entre un comportement normal et un comportement inhabituel, pour cela avant de passer à l étape de la détection, le système établi d abord un profil normal auquel il compare les nouvelles utilisations du réseau. Ce profil normal est construit par classification des activités réseau, en un ensemble de classes de telle sorte que les objets d une même classe soient plus similaires entre eux qu avec les objets des autres classes. La classification est principalement employée dans la détection des modèles dans le trafic réseau. Portnoy et al. [81] utilisent la classification hiérarchique pour séparer les profils normaux et anormaux du trafic de la base de données KDD

101 Les données de la base KDD 99 sont des lignes de connexions TCP/IP dump où chaque ligne est une connexion caractérisée par 41 attributs tel que la durée de la connexion, le type du protocole, etc. En tenant compte des valeurs de ses attributs, chaque connexion dans KDD 99 est considérée comme étant une connexion normale ou bien une attaque. Cette base de données, disponible au site de l UCI1 [100]. La base KDD 99 recense 38 attaques possibles régroupées en 4 catégories : Déni de Service Les attaques de types Remote to user (R2L) : les attaquants essaient d exploiter la vulnérabilité du système afin de contrôler la machine a distance. Les attaques de types User to Root attacks (U2R) : l attaquant essaie d avoir des droits d accès à partir d un poste afin d accéder au système. Reconnaissance-Probing : ces attaques ne sont pas destructrices mais permettent d acquérir des informations parfois cruciales pour mener une attaque de plus grand envergure plus tard. Dos Probing R2L U2R Apache2 Land Mailbomb Neptune Pod Processtable Smurf Ipsweep Mscan Nmap Portsweep Saint Satan Ftp_write Guess_passwd Imap Multihop Named Phf Dict Buffer_overflow Httptunnel LoadModule Xterm Perl Ps Rootkit Teardrop Udpstrorm Snmpguess Spy Sqlattack Warezclient Warezmaster Xclock Xsnoop Guest Table 6: Liste des attaques de la base KDD

102 Récemment, Benferhat et al. [82] ont comparé les deux algorithmes NaïveBayes et C4.5 en utilisant la base de donnée KDD 99 et ils concluent que NaïveBayes utilisant la méthode du noyau pour le traitement des attributs numériques est meilleur dans la détection de certaines catégories d attaques faibles de la base de données KDD 99, à savoir les attaques Remote to User et Probing. Dans notre thèse on propose d utiliser un système de détection d intrusion coopérative [107] ou chaque nœud est chargé de détecter les intrusions au niveau local de manière indépendante et en collaboration avec les nœuds voisins qui supervisent le réseau formé. Si une intrusion est détectée dans les données locales, l agent IDS va informer les IDS voisins afin de bloquer l intrusion d une manière globale comme illustré dans la figure 51. Figure 51: Système de détection d intrusion pour les VANETs Notre système [105 ] de détection d intrusion va utiliser une combinaison des deux algorithmes de datamining Random Forest and Naïve Bayes afin de construire des profils normaux durant la phase d apprentissage, ensuite il recueille les nouveaux paquets et les classe en attaques ou en paquets normaux. Afin de valider notre choix des deux algorithmes nous avons testé et comparé cinq algorithmes sur des données de la base de données KDD 99 à l aide du logiciel Tanagra [108]. À savoir : ID3 C4.5 Rnd Tree 102

103 Les réseaux de neurones Multilayer perceptron Naive Bayes continuous Tout d'abord, les données brutes de KDD 99 ont été transformées en tables reconnues par Tanagra. Deuxièmement, ces tables converties ont été présentées séparément pour chacun des algorithmes pour réaliser l apprentissage et le processus de classification. III.1. L algorithme ID3 L algorithme ID3 [83] a été développé à l origine par Ross Quinlan dont le but de construire des arbres de décision. L algorithme ID3 construit l arbre de décision récursivement. A chaque étape, il calcule parmi les attributs restant pour la branche en cours, celui qui maximisera le gain d information. C est-à-dire l attribut qui permettra le plus facilement de classer les données à ce niveau de cette branche de l arbre. Pour les paramètres ID3, nous avons utilisé dans notre étude [105] une profondeur max de feuilles: 10 et un seuil de fractionnement: 0,03. Le tableau 7, présente le taux de reconnaissance obtenu par l'algorithme ID3. 103

104 Prediction Values Value Recall Precision normal buffer_overflow. 0 1 loadmodule. 0 1 perl. 0 1 neptune smurf. 1 0 guess_passwd. 0 1 pod. 0 1 teardrop portsweep ipsweep land. 0 1 ftp_write. 0 1 back. 1 0 imap. 0 1 satan. 0 1 phf. 0 1 nmap multihop. 0 1 Table 7: Taux de prédiction obtenu par l'algorithme ID3 L'arbre de décision produit est composé de 79 nœuds et 73 feuilles. Il est clair qu ID3 ne peut pas détecter un grand nombre d'intrusions. III.2. L algorithme C4.5 L algorithme C4.5 [84] est une amélioration de l algorithme ID3, il prend en compte les attributs numériques ainsi que les valeurs manquantes. Pour les paramètres C4.5, nous utilisons le paramètre Confidence-level for pessimistic=0.25. Le tableau 8 donne les résultats expérimentaux obtenus pour l algorithme C

105 Prediction Values Value Recall 1-Precision normal buffer_overflow loadmodule. 0 1 perl. 0 1 neptune. 1 0 smurf. 1 0 guess_passwd pod. 1 0 teardrop. 1 0 portsweep. 1 0 ipsweep land. 0 1 ftp_write. 0 1 back. 1 0 imap. 0 1 satan. 0 1 phf. 0 1 nmap multihop Table 8: Taux de prédiction obtenu par l'algorithme C 4.5 L'arbre de décision produit est composé de 201 nœuds et 159 feuilles. L algorithme C4.5 présente un bon taux de classification, mais le problème persiste avec les intrusions (loadmodule, perl, land., ftp_write., imap., satan. & phf.). III.3. L algorithme Random Forest Les forêts d'arbres décisionnels ( Random forest ) ont été proposées en 2001 par Leo Breiman [85]. Elles font partie des techniques d'apprentissage automatique. Cet algorithme combine les concepts de sous-espaces aléatoires et de bagging [109]. L'algorithme des forêts d'arbres décisionnels effectue un apprentissage sur de multiples arbres de décision entraînés sur des sous-ensembles de données légèrement différents. 105

106 Dans notre étude expérimentale nous avons remarqué que Random Forest présente le meilleur taux de reconnaissance des attaques en comparaison avec ID3 et C4.5 et qu elle a un temps de calcul de 1872ms. Néanmoins nous pouvons constater que l attaque loadmodule n a pas été détecter et que le taux de reconnaissance est 60% pour l attaque multihop et de 75% pour l attaque ftp_write. Le tableau 9 donne les résultats expérimentaux obtenus pour les algorithmes Random forest. Prediction Values Value Recall 1-Precision normal buffer_overflow loadmodule. 0 1 perl. 1 0 neptune smurf guess_passwd. 1 0 pod. 1 0 teardrop. 1 0 portsweep. 1 0 ipsweep land. 1 0 ftp_write back. 1 0 imap. 1 0 Satan. 1 0 phf. 1 0 nmap multihop Table 9: Taux de prédiction obtenu par l'algorithme Random Forest 106

107 III.4. Les réseaux de neurones Multilayer perceptron Parmi les différentes architectures des réseaux de neurones artificiels nous avons adopté pour cette étude les Perceptrons Multi-couches (MLP, Multi Layer Perceptron) [86]. Les MLP sont les plus utilisés dans les approches à apprentissage supervisé, c'est-à-dire quand une association entre deux types de données, représentant respectivement l'entrée et la sortie du réseau, doit être apprise. Dans un MLP les neurones artificiels sont organisés en couches. Les neurones appartenant à une même couche ne sont pas connectés entre eux. Chaque neurone reçoit ses entrées de la couche précédente et transmet le résultat de son traitement à la couche suivante. Les deux couches extrêmes correspondent à la couche qui reçoit les données (couche d'entrée), et la couche qui fournit le résultat des traitements effectués (couche de sortie). Les couches intermédiaires sont appelées couches cachées, leur nombre est variable. La connectivité entre les couches successives est totale et chaque connexion est pondérée par un poids. Dans notre étude expérimentale, nous avons utilisé un MLP avec une seule couche cachée composée de dix neurones. Le MLP n'a pas pu détecter 12 genres d'intrusion. Le tableau 10 montre les résultats obtenus. 107

108 Prediction Values Value Recall 1-Precision normal buffer_overflow. 0 1 loadmodule. 0 1 perl. 0 1 neptune smurf guess_passwd. 0 1 pod. 0 1 teardrop portsweep. 0 1 ipsweep land. 0 1 ftp_write. 0 1 back imap. 0 1 satan. 0 1 phf. 0 1 nmap multihop. 0 1 Table 10: Taux de prédiction obtenu par l'algorithme neurones Multilayer perceptron III.5. L algorithme NaïveBayes La classification naïve bayésienne est un type de classification Bayésienne probabiliste simple basé sur le théorème de Bayes avec une forte indépendance des hypothèses. En termes simples, un classificateur bayésien naïf suppose que l'existence d'une caractéristique pour une classe, est indépendante de l'existence d'autres caractéristiques. L'avantage du classificateur 108

109 bayésien naïf est qu'il requiert relativement peu de données d'entraînement pour estimer les paramètres nécessaires à la classification. Dans notre étude expérimentale, nous avons utilisé les paramètres suivants pour l apprentissage : Lambda for laplacian=0 et Homoscedasticity assumption=1. Le tableau 11 montre les résultats obtenus. Prediction Values Value Recall Precision normal buffer_overflow loadmodule. 1 0 perl neptune smurf guess_passwd pod teardrop portsweep ipsweep land ftp_write back imap satan phf nmap multihop Table 11: Taux de prédiction obtenu par NaïveBayes L'algorithme NaïveBayes présente un très bon taux de reconnaissance en détectant la majorité des intrusions, mais il y a toujours un problème avec les intrusions buffer_overflow., Portsweep. et ftp_writ. 109

110 III.6. La méthode proposée Dans notre thèse nous avons proposé la combinaison de deux algorithmes Random Forest et Naïve Bayes comme illustré dans la figure 51. Figure 52: Combinaison de Random Forest et Naïve Bayes dans la détection d intrusion Le système que nous avons proposé à permettre une détection de nombreuses intrusions qui sont échappées de la majorité des classificateurs, aussi il a permis la détection de nouvelles intrusions non présentes dans les phases d apprentissage comme (perl. et Loadmodule.), et finalement, il a permis l'amélioration des taux prédictions pour l'ensemble des données présenté. Le tableau 12 montre les résultats obtenus. 110

111 Type of intrusion Prediction Values (Bayes Naive) Random Forest Proposed System normal buffer_overflow loadmodule perl neptune smurf guess_passwd pod teardrop portsweep ipsweep land ftp_write back imap satan phf nmap multihop Table 12: Taux de prédiction obtenu par le système proposé. Dans cette section nous avons présenté notre système de détection d intrusion selon l approche comportementale, l idée consiste à modéliser le comportement normal des utilisateurs à l aide d une méthode hybride de classification qui combine Random Forest et Naïve Bayes. Dans la partie suivante nous allons décrire une définition formelle d une intrusion par la mise en œuvre d une ontologie de détection intrusions dans les réseaux ad hoc véhiculaires. 111

112 IV. Ontologie pour la détection d intrusion dans les VANETs Lorsque nous pensons à déployer un IDS le problème principal souvent rencontré est la caractérisation d'une intrusion. L'utilisation d'une ressource sémantique comme une ontologie pourrait être un moyen efficace d'enrichir les données sur les intrusions afin de répondre plus spécifiquement aux questions complexes concernant la définition, la nature et les caractéristiques de l'intrusion et de recueillir de nouvelles informations sur de nouvelles intrusions à partir des autres IDS voisins ou des connaissances issues de l Internet sous la forme d'un ensemble de déclarations XML, RDF ou OWL. Dans cette section, nous présentons notre modélisation d une ontologie pour la sécurité des VANETs [106] qui est spécifiée à l'aide du langage OWL [92]. IV.1 Les techniques de détection d intrusion basée sur des ontologies Le terme ontologie est utilisé dans le domaine du web sémantique et fait référence à un ensemble structuré de concepts dans un domaine particulier de connaissance. Une ontologie est composée de deux entités. La première vise la terminologie, qui définit la nature des éléments qui composent le domaine de l'ontologie en question, comme la définition d'une classe dans la programmation orientée objet. La deuxième partie de l'ontologie explicite les relations entre les instances des classes qui définissent la terminologie. Ainsi, au sein d'une ontologie, les concepts sont définis les uns par rapport à l'autre, ce qui permet le raisonnement et la manipulation de la connaissance. Dans les dernières années, plusieurs articles [87,88,90,91] ont été proposées sur les techniques de détection d'intrusion basées sur une ontologie comme celui proposé par Filman et Linden [ 87]. Dans cet article, les auteurs proposent une ontologie OntoSec ontology for security pour représenter les exigences de sécurité d'une architecture logicielle basée sur les agents appelé SafeBots. Denker et al. [88] ont proposé aussi une ontologie de sécurité pour DAML + OIL [89 ] afin de sécuriser les services Web et l'intégrité des données de ressources Web. Dans [90 ] Simmonds et al. ont proposé une ontologie des attaque dans un réseau filaire en mettant l'accent sur les menaces et les vulnérabilité des profils. J. Undercoffer et al. [91] ont présenté une ontologie centrée sur la cible de l attaque. En appliquant les ontologies au problème de la détection d'intrusion, on peut exprimer [101] les relations entre les données collectées et les utiliser afin de déduire que des données particulières représentent une attaque d'un type particulier. En outre, la spécification d'une 112

113 représentation ontologique dissocie le modèle des données définissant une intrusion de la logique du système de détection d'intrusion. Cette dissociation va permettre à des IDS non homogènes de partager des données sans accord préalable à la sémantique des données, en partageant, une instance de l'ontologie entre IDS sous la forme d'un ensemble de déclarations XML, RDF ou OWL. IV.2 Création de l ontologie Pour utiliser les termes d'une ontologie, il est nécessaire de spécifier de quel vocabulaire viennent ces termes. C'est pourquoi, comme dans n'importe quel autre document XML, une ontologie commence par une déclaration d'espace de noms contenus dans une rdf tag "rdf: RDF". Dans notre cas nous voulons écrire une l'ontologie pour la détection d'intrusion dans les VANETs. Voici la déclaration d'espace de notre ontologie : <rdf:rdf xmlns= xmlns:protege=" xmlns:owl= xmlns:rdfs=" xmlns:xsd=" Les quatre dernières déclarations introduisent le vocabulaire OWL et les objets définis dans l'espace de noms RDF, le schéma RDF et les types de données de schéma XML. Nous pouvons écrire, après la déclaration d'espaces de noms, un en-tête décrivant le contenu de l'ontologie courante. C'est le tag "owl: Ontology» qui est utilisé pour indiquer cette information: <owl:ontology rdf:about=""> <rdfs:comment> ontology describing VANETs</rdfs:comment> <rdfs:label> ontology about VANETs</rdfs:label>... Ensuite nous pouvons déclarer des classes comme suit : <owl:class rdf:about="#actor"/> <owl:class rdf:about="#consequences"/> <owl:class rdf:about="#attaks"/> <owl:class rdf:about="#vulnirabilites"/> Il existe dans chaque ontologie OWL une superclasse nommée «thing» de laquelle héritent les classes qu on définit. Dans notre cas chaque intrusion dans les VANETs peut être décrite 113

114 selon un schéma spécifique de quatre classes distinctes qui constituent le plus haut niveau d'abstraction comme illustré dans la figure 53. Figure 53: L'ontologie de haut niveau (généré par Protégé 3.4.8) La première classe attaque, inclut tous les concepts liés à l'intrusion. Plusieurs sous-classes sont décrites et montrent une séparation claire entre les types d'attaques. La figure 54 illustre l'ontologie des attaques. Figure 54: L'ontologie des attaques 114

115 La classe «vulnérabilité» de l'ontologie de haut niveau décrit les vulnérabilités des VANETs telles que: le support sans fil partagé, la topologie très dynamique du réseau, l'absence de service de sécurité centralisée et les relations coopératives des nœuds. La figure 55 illustre l'ontologie des vulnérabilités. Figure 55: L'ontologie des vulnérabilités Les conséquences de l'intrusion dans un réseau ad hoc véhicules peuvent être: la dégradation des performances du réseau, le vol d'informations personnelles, l'isolation des nœuds, Des accidents de la route et la congestion routière. La figure 56 illustre l'ontologie des conséquences Figure 56: L'ontologie des conséquences 115

116 V. Conclusion du chapitre Dans ce chapitre, nous avons présenté une méthode de sécurisation du protocole de routage géographique à l aide des deux extensions suivantes : (iii) Etablir des clés secrètes de Diffie-Hellman entre deux véhicules voisins (à un saut) au moment d échange des messages beacon. L idée consiste à avoir des tables de voisins qui contiennent des clés secrètes qui seront utilisées comme des clés de chiffrement/déchiffrement. (iv) Ajouter au paquet GPSR une signature numérique basée sur la cryptographie symétrique générée à l aide de l algorithme AES et la fonction de hachage MD5 ce qui minimise le temps de calcul de la signature numérique. Cette solution proposée est spécialement conçue pour éviter les attaques d usurpation d identité et de modification de paquets.cependant pour contrer d autres d attaques telles que les attaques de déni de service nous avons préposé la construction d un système de détection d intrusion comportementale qui utilise une méthode hybride basée sur les deux algorithmes Random Forest et Naïve Bayes. Nous avons présenté aussi une ontologie pour la détection d intrusion qui peut être utilisée afin d'enrichir les données sur les intrusions et permettre à des IDS non homogènes de partager des données, en partageant une instance de l'ontologie entre IDS sous la forme d'un ensemble de déclarations XML, RDF ou OWL. 116

117 Chapitre 6 Conclusion générale et perspectives Les réseaux VANETs qui avaient initialement pour objectif d apporter des solutions de sécurité et de gestion de trafic routier, permettent actuellement le développement de nouveaux services aux usagers de la route : localisation des stations d essence, emplacements de parking libre, le chat inter véhicule, informations climatiques, informations culturelles, etc. Le réseau VANET est un ensemble de nœuds communiquant entre eux par ondes radio. Ils sont caractérisés par une topologie dynamique au gré d ajout (portée radio) ou de départ (le signal radio ne peut être capté) d un véhicule du réseau. Les VANETS sont globalement des réseaux ad hoc, c'est-à-dire des réseaux sans infrastructure de gestion et de contrôle de la communication. Dans cette thèse nous avons traité le problème de la sécurité des communications entre les nœuds. Plus exactement, nos travaux permettent de sécuriser les protocoles de routage de ces réseaux. Car en effet, cette fonctionnalité (le routage) est fondamentale pour le bon fonctionnement de tout réseau et de surcroît d un réseau VANET. Toute attaque sur la fonction de routage peut conduire à des situations catastrophiques (accidents, congestion, etc) dans le cas d un VANET réel. Pour atteindre cet objectif nous avons commencé par une étude exhaustive des protocoles de routages des réseaux ad hoc qui spécifient la manière avec laquelle les entités communiquent pour échanger les données. Ensuite, nous avons simulé ces protocoles en utilisant OPNET (OPtimized Network Engineering Tool), afin d examiner l impact de la mobilité et la densité du réseau (nombre de nœuds) sur les performances du routage selon les critères de trafic de routage, débit et délai. De cette étude, nous avons constaté que le protocole GPRS (Greedy Perimeter Stateless Routing) présente un faible délai et se contente d un faible débit pour échanger des informations de routage, car le trafic généré par ces informations est faible. Cela nous a permis de déduire que le routage géographique GPRS est le mieux adapté pour les réseaux VANETs hautement dynamiques. 117

118 Après avoir validé le choix du protocole de routage géographique GPSR grâce à cette simulation, nous avons étudié les différentes attaques qui visent à modifier les fonctionnalités de routage de ce protocole. Ces attaques sont principalement : (1) l attaque backhole qui permet à un nœud de supprimer des messages passant par lui, (2) l usurpation d identité, (3) la création des boucles de routage par forgement des fausses positions géographiques, (4) l attaque wormhole qui permet de créer un tunnel entre deux nœuds pour contrôler le trafic réseau passant par eux, (5) l égoïsme des nœuds qui refusent de coopérer avec les autres dans le réseau VANET pour assurer le bon fonctionnement du routage ad hoc, afin d'économiser la bande passante et les ressources de calcul. Rappelons que ces attaques peuvent dans le cas d un VANET réel causer des accidents ou provoquer une congestion du trafic routier. Nous avons ensuite étudié les aspects sécurité mises en œuvre dans les protocoles de routage sécurisés. Cette sécurité est assurée par des primitives cryptographiques pour les réseaux ad hoc mobile. Certaines de ces primitives sont néanmoins vulnérables à des attaques telles que : (1) L usurpation d identité, (2) La création des boucles de routage, (3) L attaque Route cache poisoning qui consiste à injecter de fausses informations dans le cache de routage des nœuds honnêtes. On en déduit que ces primitives de sécurité actuelles ne sont pas adaptées aux cas des réseaux VANETs. En résumé, après une simulation des performances des protocoles de routage, nous avons déduit que le protocole GPSR est le mieux adapté aux réseaux VANETs, ensuite les mécanismes de sécurité mis en place dans les protocoles de routage montrent des faiblesses. Grâce cette partie d étude nous avons orienté nos travaux de recherches vers la sécurisation du protocole de routage GPSR. Et afin d éviter les attaques d usurpation d identité et de modification de paquets nous avons proposé d ajouter deux extensions au protocole GPSR : (1) établir des clés secrètes de Diffie-Hellman entre deux véhicules voisins (à un saut) au moment d échange des messages beacon (messages utilisés par les nœuds pour annoncer leurs positions géographiques), l idée consiste à définir des tables de voisins qui contiennent des clés secrètes qui seront utilisées comme des clés de chiffrement et déchiffrement afin de sécuriser les informations de routage ; (2) Ajouter au paquet GPSR, une signature numérique basée sur la cryptographie symétrique générée à l aide de l algorithme AES et la fonction de hachage MD5 ce qui minimise le temps de calcul de la signature numérique. Cependant, cette solution cryptographique de signature numérique ne permet pas d empêcher toute les attaques qui visent le protocole GPSR, comme l attaque wormhole car cette attaque ne requiert aucune modification des paquets de routage. 118

119 Par ailleurs, notre solution suppose que les nœuds de réseaux coopèrent et qu ils ne sont pas malveillants c'est-à-dire qu ils ne sont pas égoïstes et ils n ont pas pour but le dysfonctionnement du réseau. Pour lutter contre ce type de nœud, nous avons proposé d utiliser un système de détection d intrusion comportementale comme deuxième ligne de défense après la signature numérique. Cette dernière proposition va utiliser une combinaison des deux algorithmes Random Forest et Naïve Bayes pour construire les profils normaux des activités réseaux dans les VANETs. Ces deux algorithmes permettent de classer les données réseau dans la phase d apprentissage en un ensemble de classes de telle sorte que les objets d une même classe soient plus similaires entre eux qu avec les objets des autres classes (classe normale et classes d attaques). Après avoir construit un profil normal, l IDS recueille les nouvelles connexions TCP/IP et doit déterminer s ils sont des attaques ou des connexions normales, en déterminant à quelle classe appartiennent parmi les classes établies dans la phase d apprentissage. L hybridation de ces deux algorithmes a minimisé le temps de reconnaissance des attaques réseau, et il a augmenté le taux et de détection de ces attaques en comparaison avec les autres algorithmes de classification étudiés à savoir : les arbres de décision (ID3 et C4.5, Random Forest), les réseaux de neurones multicouche et Naïve Bayes. Nous avons aussi présenté une ontologie qui modélise les différents éléments qui caractérisent une intrusion dans un VANET à savoir : les vulnérabilités exploitées, les attaques et les conséquences d attaque sur le VANET. Nous proposons d utiliser une ressource sémantique telle que l ontologie parce qu elle permet d enrichir le domaine de connaissances sur les intrusions en vue de répondre plus précisément à des questions complexes sur la définition, la nature, la caractéristique de l intrusion, et surtout de recueillir de nouvelles informations sur de nouvelles intrusions à partir des autres IDS voisins ou des connaissances issues de l Internet sous la forme d'un ensemble de déclarations XML, RDF ou OWL. En perspective, nous pensons qu'il est intéressant : 119

120 -D'établir plus de simulations (par exemple implémenter l ensemble des extensions cryptographiques proposés sous le simulateur Network Simulator NS-2) afin de mesurer l impact de ces extensions sur le protocole GPSR, d étudier d autre types d attaques comme l injection des codes malveillant afin de compromettre les nœuds. - De construire une plate-forme web pour la définition sémantique des tentatives d intrusion par des experts dans le domaine, l'idée est de fournir une base d intrusion, définit par une ontologie, afin de standardiser le format de signature d attaque échangé entre les différents système de détection d intrusion utilisé dans un environnement ouvert comme les VANETs. - Etudier l auto-organisation d IPv6, comme support de routage géographique, qui fournit un protocole de découverte des voisins, et permet à un équipement de devenir complètement «plug-and-play». Il suffit que la machine rejoigne le réseau pour qu elle acquière automatiquement une adresse IPv6. 120

121 Annexe A I. Présentation de la base KDD 99 L évaluation des systèmes de détection d intrusions est une problématique d actualité très active. Le nombre important d intervenants impliqués dans cette discipline (laboratoires de recherche, institutions gouvernementales et non gouvernementales, universités, développeurs du monde commercial, etc.) et la sensibilité du sujet, rendent indispensable la standardisation d une méthodologie d évaluation. D une part, pour rendre compte des performances des systèmes commercialisés et déployables, d autre part, pour offrir des moyens aux chercheurs travaillant sur ce problème afin d élaborer et d évaluer de nouvelles approches. C est dans cette optique que l agence américaine DARPA a initié un programme d une série d évaluations annuelles dont la finalité est l élaboration d une méthodologie d évaluation standard. Après avoir engagé pour cela les laboratoires Lincoln du MIT2, la première campagne d évaluation dans ce programme, DARPA 98, eut lieu en 1998 et permit de construire un premier corpus d évaluation. Avec des objectifs limités et un nombre modeste de participants, cette campagne a suscité un grand intérêt de la part des différentes communautés de détection d intrusions. Une autre base de données, synthétisée de DARPA 98 et utilisée pour les besoins de la compétition mondiale KDD 99, est actuellement largement utilisée aussi bien pour le développement que l évaluation des systèmes de détection d intrusions, notamment où les approches sont basées sur des techniques de fouille de données. Les données de la base KDD 99 sont orientées détection d intrusions, elles représentent des lignes de TCP/IP dump où chaque ligne est une connexion caractérisée par 41 attributs tel que la durée de la connexion, le type du protocole, etc. En tenant compte des valeurs de ses attributs, chaque connexion dans KDD 99 est considérée comme étant une connexion normale ou bien une attaque. Cette base de données, disponible au site de l UCI1 [100], 121

122 Attributs basiques A1 durée de la connexion (nb de secondes) A2 type du protocole, ex. tcp, udp, etc. A3 service réseau (destination) ex. http, telnet A4 statut de la connexion (normal ou erreur) A5 nb de données (en octets) de la source vers la destination A6 nb de données (en octets) de la destination vers la source A7 1 si la connexion est de/vers le même hôte/port; 0 autrement A8 nb de fraguements "erronnés" A9 nb de paquets urgents Attributs relatifs au contenu A10 nb d'indicateurs "hot" A11 nb d'essais login ratés A12 1 si succés du login ; 0 autrement A13 nb de conditions de "compromis" A14 1 si la racine shell est obtenu; 0 autrement A15 1 si la commande on a la commande "racine su" ; 0 autrement A16 nb d'accés à la "racine" A17 nb de créations d'opérations de _chiers A18 nb de shell prompts A19 nb d'opérations sur les _chiers de contrôle d'accès A20 nb de commandes outbound dans une session ftp A21 1 si le login appartient à la liste "hot" ; 0 autrement A22 1 si le login est login "invité" ; 0 autrement Attributs basés sur le temps utilisant des fenêtres de temps de deux secondes A23 nb de connex. pour le même hôte A24 nb de connex. pour le même service A25 % de connex. pour le même hôte ayant l'erreur "SYN" A26 % de connex. pour le même service ayant l'erreur "SYN" A27 % de connex. pour le même hôte ayant l'erreur "REJ" A28 % de connex. pour le même service ayant l'erreur "REJ" A29 % de connex. pour le même hôte utilisant le même service A30 % de connex. pour le même hôte utilisant di_érents services A31 % de connex. pour le même service utilisant di_érents hosts Attributs basés sur le temps utilisant des fenêtres de temps de 100 connex. A32 nb de connex. pour le même hôte A33 nb de connex. pour le même hôte utilisant le même service A34 % de connex. pour le même hôte utilisant le même service A35 % de connex. pour le même hôte utilisant di_érents services A36 % de connex. pour le même hôte ayant le port src A37 % de connex. pour le même hôte et le même service utilisant di_érents hosts A38 % de connex. pour le même hôte ayant l'erreur "SYN" A39 % de connex. pour le même hôte et le même service ayant l'erreur "SYN" A40 % de connex. pour le même hôte ayant l'erreur "REJ" A41 % de connex. pour le même hôte et le même service ayant l'erreur "REJ" Table 13:Liste des attributs des connexions de la base KDD

123 Annexe B Réseaux de neurones artificiels (RNA) I. Structure d interconnexion des RNAs Un réseau de neurone se compose de multiples neurones interconnectés, les structures qui peuvent être utilisées sont très variées. La structure la plus utilisée est la structure de réseau à couches. On distingue quatre types de connexion : Réseau multicouche : C est un réseau à trois couches, couche d entrée, couche cachée et une couche de sortie où, chaque neurone d'une couche est connecté à tous les neurones de la couche suivante et celle-ci seulement : Couche d entrée Couche cachée Couche de sortie Figure 57: Réseau multicouche. Réseau à connexions locales : Il s'agit d'une structure multicouche, mais chaque neurone entretien des relations avec un nombre réduit et localisé de neurones de la couche avale. Les connexions sont donc moins nombreuses que dans le cas d'un réseau multicouche classique. 123

124 Figure 58: Réseau à connexion locale. Réseau à connexion récurrente : Les connexions récurrentes ramènent l'information en arrière par rapport au sens de la propagation défini dans un réseau multicouche. Ces connexions sont le plus souvent locales. Figure 59: Réseau à connexions récurrentes. Réseau à connexion complète : C est la structure d'interconnexion la plus générale dont chaque neurone est connecté à tous les neurones du réseau (et à lui-même). Figure 60: Réseau à connexion complète. 124