Activités du Groupe SR Sécurité Réseaux

Transcription

1 Activités du Groupe SR Sécurité Réseaux Permanents J. Leneutre, H. Labiod, A. Sehrouchni, P. Urien, R. Khatoun, H. Aissaoui Thèmes: Sécurité, Confiance, et Résilence du Numérique Sécurité des réseaux sans fil Sécurisation des communications véhiculaires Résilience des infrastructures critiques Infrastructure de confiance (cloud, identité, services mobiles, services sans contact ) Sécurité des données et des échanges

2 Résilence des Infrastructures Critiques Objectifs Définition d une approche quantitative pour la sécurité basée sur la théorie des jeux non coopérative(j. Leneutre) Dimensionner et paramétrer des ressources de surveillance et de protection à mettre en place en fonction d un budget Identifier la (des) meilleure(s) réponse(s) à un incident de sécurité Etude des interactions des processus d ingénieries de sécurité et de sûreté de fonctionnement (T. Robert) Fournir un cadre unificateur pour les exigences de sécurité et sûreté Concevoir de façon modulaire les fonctions de sécurité et les mécanismes de tolérance aux fautes sécurité Application à la protection réseaux de distribution d'électricité «intelligents» Laboratoire Commun avec EDF, SEIDO

3 Résilience des Infrastructures Critiques Quelques résultats Sécurité des AMIs (Advanced Metering Infrastructures) How to optimally configure encryption rates between equipment to harden security and thwart attacks? Publication soumise à JSAC Etude des interdépendances entre infrastructures critiques How to evaluate the diffusion of security risk between ICT and the power grid? Publication soumise à IEEE Symposium on Reliable Distributed Systems (SRDS 2014)

4 Infrastructure de Confiance Thématique Définir des protocoles et plateformes intégrant des Secure Elements afin de créer des entités logicielles sures dans un système massivement distribué. Les Secure Elements sont l héritage de 40 ans de R&D, principalement développée en France (microcontrôleurs sécurisés, cartes à puce, TEE ) Les applications visées sont le contrôle d accès dans l Internet (lutte contre la cybercriminalité), la sécurité pour Internet of Things (IoT), la sécurité des services mobiles (et du NFC en particulier), l intégration du paiement au réseau, l identité des machines virtuelles

5 Research Topics Trustworthy Computing based on Secure Element Grid Of Secure Elements (GoSE) Mobile Security based on Secure Elements Secure Element TLS Stack Security for Cloud Computing Identity for Virtual Machines based on remote Secure Element, Virtual Secure Elements Access Control For VPN, Wi-Fi, WEB, Contactless Digital Identity Identity (Openid) framework working with token and SIM for fix and mobile terminals Internet of Things Electronic locks controlled by secure (NFC ) framework Electronic Payment Prepaid Systems Mobile Payment Systems NFC P2P Security TLS framework for P2P (LLCPS) Cloud of Secure Elements (CoSE) The WEB of Secure Elements project

6 Quelques Projets SecFuNet ( ), Project FP7 (Europe+Brésil), Security for the Future Network. Identité des machines virtuelles, des utilsateurs et Cloud of Secure Elements Université Paris 6, Twinteq, EtherTrust, Telecom ParisTech, Ecole Normale Supérieure, Implementa, Technische Universität München, Infineon, Fundação da Faculdade de Ciências da Universidade de Lisboa, Universidade Federal de Pernambuco, Universidade Federal do Rio de Janeiro, Universidade Estadual do Ceará, Universidade Federal do Amazonas, Universidade Federal de Santa Catarina, Universidade Federal do Rio Grande do Sul. Secure Elements et TEE CRE avec Orange (Terminé en 2014) Cloud of Secure Elements CRE avec Orange sur le Cloud of Secure Elements (CoSE), démarrage Avril 2014

7 CoSE NFC KIOSK urn:nfc:sn:tls:service SERVICE TLS LLCP NFC P2P HSM SERVICES ISO7816 RACS TLS TCP IP GRID OF SECURE ELEMENTS LLCPS RACS Payments in the Cloud LEGACY ISO7816 HCE REMOTE ADMINISTRATION ENTITY (GLOBAL PLATORM) PAYMENT ACCESS CONTROL SECURE ELEMENTS LLCP Secure, LLCPS, draft-urien-tls-llcp-00, IETF draft, 2012 Remote APDU Call Secure (RACS), draft-urien-core-racs-00, IETF Draft, August 2013 Cloud of Secure elements (CoSE), draft-urien-cfrg-cose-00., February 2014

8 CoSE for Virtual Machines: HSM of SE The FP7 SecFuNet Project-D3.2 (2013) Identity Management System Development

9 Sécurité des réseaux véhiculaires Thèmes Sécurisation des communications véhiculaires Authentification Privacy IED VeDeCoM Stage PSA-TPT Solution d authentification pour une application pour smartphone en interaction avec un véhicule automobile Solution d authentification pour projet et application PSA IRT-System X Projet ELA, Tâche sécurité numérique (avec Renault, PSA, CEA) Projet ISE, montage en cours d un nouveau projet avec Renault et PSA ISE: ITS Security organisé en 4 tâches Si projet accepté, Leader tâche 1: TPT, Houda Participants: Ahmed, Pascal et Houda

10 Projets & Thèses Projets : projet pré-déploiement national très important financé par la commission Européene, Leader Tâche Sécurité: TPT, Houda Participants: Ahmed, Pascal et Houda Thèse Cifre, avec Renault, soutenance juillet 2014 Architecture de sécurité de bout-en-bout pour les systèmes coopératifs V2X Privacy (téléchargement de pseudonymes) Implémentation et intégration plateforme FP7 PRESERVE Publications (2014) 1 brevet soumis, mécanisme de téléchargement de pseudonymes 1 draft IETF, Extension TLS pour supporter des certificats ITS IEEE IV 2014, ESCAR 2014, plusieurs posters/démos

11 Projet de pré-déploiement, réponse call DG-Move Phase pilote des systèmes coopératifs sur un corridor Paris- Strasbourg (autoroute A4) Expérimentation des services sur plusieurs régions (Bretagne, IDF, Aquitaine-Bordeaux et Isère). Préparation de déploiement des ITS coopératifs (flotte de 2000 véhicules équipés maintenus jusque fin du pilote + 2ans, installation de 100 UBRs permanentes). Une tâche transversale inclut différentes activités partagées dont la sécurité et la validation. Coopérations entre SCOOP@F et le projet de déploiement autrichien page 11

12 Activités réseau FUI LCI4D ( ) Routage coopératif multichemin Coopération VANET Modèle de coopération basé sur la théorie de jeux évolutive (EGT), postdoc F&R + stage master Article accepté à ICC 2014, article soumis à IEEE Trans. On mobile computing Coopération VANET-cellulaire (LTE Advanced) Sélection de la passerelle (V2I, I2V), avec contraintes QoS Offload (Max-flow formulation, constraints) Thèse en co-tutelle, TPT-Sup Com, soutenance 02/05/2014 Publications : 2 journaux (IEEE trans. on vehicular technology, Wireless Personal Communications Journal) + 2 articles IEEE

13 Autres Participation au montage d un GT Digicosme sur le thème des réseaux sans fil Organisation de la journee REVE réseaux véhiculaires, GDR ASR, AS REVE Lieu TPT, Juin 2014 page 13

14 Sécurité des Données et des Echanges Analyse, définition et conception d architectures de virtualisation de réseaux Cloisonnement des données et des services à base d approches OpenFlow et SDN (Software Defined Network). Montage et participation au projet OnDemand Network (FEDER5) Définition de modèle et mécanismes de sécurité pour le Cloud Définition et conception de coffre fort numérique dans le Cloud intégré à Hadoop. Définition de protocoles d accès et d authentification spécifique à un environnement Cloud. Montage et participation du projet gsafe (Investissement d Avenir) et du projet Gintao (FUI16). Le projet GINTAO porte sur des objets Internet associés à un système d Information basé sur le Cloud, notre participation consiste à la définition et conception d un protocole d authentification et de traçabilité des objets Internet.

15 Sécurité des Données et des Echanges Définition et conception de solutions de sécurité pour les réseaux du future: ICN (Information Centric Networking) L approche ICN (Clean Slate) est la plus émergente des solutions pour les réseaux du futurs. L analyse des solutions orientés ICNs, a permis de définir des critères de comparaison. Ce travail a permis de définir et de spécifier des services de sécurité qui ont été intégré à la solution ICN la plus émergente NDN (Name Data Networking). Pour cette contribution on a adopté l approche IBE (Identity Based Encryption)

16 Sécurité des Données et des Echanges Définition et conception d un formalisme pour la description et classification des attaques sur les applications Web dans le cadre du projet HAKA (projet du pôle Systematic: Investissement d avenir, sécurité et résilience) Grande diversité d attaques dues aux sémantiques très variés des applications Web Définition d une architecture de détection et de filtrage des attaques sur les applications Web Conception et réalisation de classification des attaques et conception ou redirection vers des solutions de défense spécifiques adaptées à chacune de ces classes. Un premier modèle Bayésien de classification a été développé et testé. D autres modèles de classification sont en perspectives.

17 Sécurité des Données et des Echanges Dans le cadre des réseaux véhiculaires en coopération avec Renault: Analyse de risque de la machine Android embarquée dans les véhicules Renault Analyse et adaptation du protocole TLS aux réseaux véhiculaires (proposition d une RFC au dernier Workshop de l IETF Février 2014). Participation au projet IRT-System X et SCOOP@F dans la définition et conception d une infrastructure globale de confiance associant des protocoles d authentification adaptée aux contextes des réseaux véhiculaires. Le projet IGDCI-KMIP (FUI17) porte sur le déploiement des infrastructures de confiance et la définition de protocoles d authentification basé TLS (Transport Layer Secure) adapté à des contextes spécifiques.