Dans les arcanes de la sécurité

Qui n’a jamais utilisé un téléphone ou un ordinateur portable personnel pour se connecter au réseau du bureau ? Anodin pour le détenteur de l’objet communicant, ce geste peut devenir un vrai casse-tête pour les personnes responsables de la sécurité des cyberespaces. « Les défis à relever en termes de sécurité viennent moins des types de systèmes de communications - qui se ressemblent plus ou moins -, que des progrès réalisés par les attaquants et des contextes d’utilisation, explique Ludovic Mé, responsable de l’équipe Cidre(1) à Supélec Rennes. Et sur ce point, nous sommes bien servis par le comportement du grand public. » Mais l’équation n’est pas simple. Car assurer la sécurité passe par la combinaison d’une bonne protection (gestion du contrôle d’accès et de la confiance, mise en place des systèmes d’authentification, protection de la vie privée), de la détection des intrusions et de la réaction à ces éventuelles intrusions.

Cela dépend de l’utilisation

À part un téléphone fabriqué spécifiquement par Thales pour l’État et un modèle Android “endurci”, les appareils (ordinateurs ou téléphones) achetés dans le commerce ne sont pas très sécurisés. Les éléments de sécurité, plus ou moins contraignants, sont ajoutés dans un deuxième temps et dépendent de l’utilisation. Sur un ordinateur familial, le système de sécurité devra se débrouiller seul, alors que dans un réseau professionnel il sera géré par un administrateur. « Nous concevons des logiciels qui ont vocation à être ensuite installés sur les machines par les intégrateurs. Et depuis quelque temps, nous descendons de plus en plus au cœur de la machine, poursuit Ludovic Mé. Jusqu’au niveau des logiciels embarqués et du firmware(2). » L’équipe Cidre se concentre sur trois domaines en particulier : celui de la gestion de la confiance, qui consiste à établir, gérer, évaluer le risque de la communication entre deux machines ; la détection des intrusions ; la protection des données personnelles et de la vie privée.

« Nous avons, par exemple, conçu un mécanisme de routage anonyme qui permet non pas de chiffrer la communication, mais de cacher l’émetteur et le récepteur d’un échange dans le réseau ad hoc(3) », illustre le chercheur.

Finis les châteaux forts !

À quelques centaines de mètres de là, dans les locaux de Télécom Bretagne, Nora et Frédéric Cuppens conçoivent aussi des logiciels avec l’idée de faire le lien entre la protection et la détection des intrusions. « Cela peut paraître étrange, mais ces deux composantes ne se “parlent” pas directement, explique Frédéric Cuppens, responsable de l’équipe Sfiis(4). C’est l’action d’un administrateur de sécurité qui détecte l’intrusion et donne l’alerte pour engager la protection. Cela s’explique par le fait que, jusqu’aux années 2010, les systèmes étaient centralisés. Mais cette vision de châteaux forts avec une gestion humaine n’est plus réaliste dans le contexte de complexité où nous sommes. » Rien qu’une banque, c’est un réseau avec plus de mille firewalls ! Et n’importe quelle PME peut aujourd’hui disposer de serveurs externalisés, hébergés dans un système de cloud computing.

Trois niveaux de réaction

« Nous avons donc imaginé un système global, capable de surveiller et de réagir de façon adaptée. Il reste quelques points à travailler du côté de la détection car les solutions actuelles n’atteignent pas encore un niveau de fiabilité de 100 %, notamment à cause des fausses alarmes. » Côté réaction, plusieurs niveaux sont prévus : un niveau réflexe, un niveau tactique qui peut anticiper la prochaine attaque et un niveau stratégique, à déployer sur du plus long terme. Viennent ensuite les étapes automatisées de décision et de mise en œuvre de cette décision. Des mesures de gestion des risques sont aussi réalisées à chaque palier. Le fruit de ces recherches, débutées en 2006, devrait se concrétiser cette année par le début de la commercialisation du système. « Nous avons tous les éléments pour faire la boucle », conclut Nora Cuppens.

Les deux laboratoires rennais travaillent aussi bien avec des PME locales que des grands groupes, dans les domaines militaires ou civils, sur des réseaux informatiques ou téléphoniques. L’équipe Cidre traite en ce moment une dizaine de sujets dans le cadre d’appels à projets régionaux (Labex Comin Labs(5), Région Bretagne), nationaux (ANR(6)) ou européens et coencadre des thèses avec des industriels(7).

Tout comme Télécom Bretagne, qui vient même de créer deux laboratoires de recherche communs. Monté avec Cassidian (groupe Airbus), le premier est dédié à la cybersécurité et va répondre à des besoins de défense. Le second traite de la compression sécurisée des contenus multimédias en collaboration avec une PME rennaise Secure-IC et la société américaine Doremi. La sécurité est un thème universel.