Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Quand la R&D en cryptographie à l’Ecole Polytechnique relève les défis de la sécurité

janvier 2017 par Marc Jacob

Pour la nouvelle session des "jeudis de la recherche de l’X" organisée par l’école polytechnique a invité trois chercheurs en cryptographie à présenter leur travaux. Ils ont fait des exposés à la fois clairs et synthétiques sur trois exemples que la cryptographie peut remédier à des problèmes de sécurité. Ainsi, Benjamin Smith, chargé de recherche a traité de la sécurisation des objets communicants, Pierre-Yves Strub, maître de conférence à Polytechnique a abordé les problèmes d’anonymisation des données et Ulrich Fahrenberg, chercheur au laboratoire de l’X s’est penché sur les systèmes cyber physiques.

En préambule, de la nouvelle édition des "jeudis de la recherche de l’X", Jacques Biot président de l’école Polytechnique le monde est confronté à plusieurs défis, économique, climatique, sanitaire, technologique.... et sécuritaire qui est de plus en plus important. Pour sa part, Franck Pacard, directeur de l’enseignement et de la recherche de l’école Polytechnique a rappelé que le Ministre de La Défense Jean-Yves Le Drian a insisté sur l’importance de la Cybersécurité dans le système de défense français. Parmi les outils de protection, la cryptographie est un élément essentiel. Cette technologie qui existe depuis la nuit des temps est de plus en plus présente à l’ère du numérique. C’est pour cela qu’elle fait l’objet de recherches poussées au sein de l’école Polytechnique.

Benjamin Smith, chargé de recherche à l’école Polytechnique a débuté son exposé en rappelant que le 21 octobre 2016 une armée de millions d’objets constitué de web Cam, de Box, de réfrigérateurs... ont attaqué Dyn, l’un des services d’adresses les plus importants sur internet qui a impacté Amazon, Twitter, PayPal, CNN, le New York Times, Wall Street... durant cette attaque qui s’est déroulé en trois vague, les sites impactés sont devenus invisibles. Elle a pu se produire car tous ces objets avaient une sécurité faible. Ainsi, la solution est de protéger les communications à l’aide du chiffrement. L’intérêt du chiffrement est de permettre aussi la protection et l’authentification des communications et des identités. Pour rappel, le chiffrement consiste à chiffrer et déchiffrer une clé secrète et à partager cette clé secrète. Le défi est de partager la clé secrète lors de l’initialisation de la communication. Par contre la difficulté avec les objets communicants est que ce calcul nécessite trop de ressources. Pour y arriver les chercheurs ont tenté d’utiliser des courbes elliptiques comme pour les smartphones. Toutefois, cette technologie encore trop consommatrice de ressources pour les objets communicants. De ce fait les chercheurs ont tenté d’utiliser les surfaces de Kummer qui permettent de réduire le calcul. Ces recherches ont été couronnées de succès et ont permis de créer un logiciel qui est disponible en open Source. Ce logiciel de chiffrement est embarquables sur les microcontrôleurs des objets communicants.

Benjamin Smith estime que cette technologie devrait être intégrée dans les futurs objets communicants.

L’anonymisation en question

Jean-Pierre Strub, maître de conférences à l’école Polytechnique a présenté ses travaux sur la cryptologie assistée par ordinateur.

Chaque mois de nouvelles failles sont découvertes on peut se demander pourquoi ses failles. Il y a 4 raisons :

- Des erreurs humaines de programmation parfois par exemple envoi d’information en clair au lieu de chiffrer

- Des erreurs de protocoles

- Le traitement sur de donnée

- La sécurité des primitifs cryptographiques. En fait les protocoles utilisent des primitifs cryptographiques.

Parmi les erreurs de programmation on a le double envoi d’information a mis le programme utilisait de façon interchangeable sans vérifier la concordance. La 2ème erreur concerne les canaux cachés. Le pirate va injecter des erreurs protocolaires qui génèrent des temps de réponses de l’ordre de la milliseconde. Durant ce léger temps de latence, il peut obtenir des informations en clair.

Il a cité l’exemple de Netflix qui avait anonymisé les données de ces clients. Toutefois par croisement avec d’autres bases de données du cinéma et un traitement statistique, l’anomymisation des clients de Netflix a pu être levé.

Pourquoi une telle crise ? Les algorithmes sont courts et d’apparence simple qui est la preuve de sécurité subtile.

Ainsi, son axe de travail est de faire de la cryptographie assistée par ordinateur. Il utilise les mathématiques pour concevoir et réaliser des systèmes Informatiques. Son but est de donner des preuves sûres de la sécurité primitives cryptographique. Cette analyse permet de vérifier la qualité du chiffrement. Ainsi, il a créé un outil de chiffrement simple il y a 5 ans qui permet de donner des preuves de sécurité. De plus, ces preuves permettent de fournir une preuve indépendante des agences de sécurité. De ce fait, il estime que l’anonymisation des données n’est donc pas suffisante pour protéger les informations mises en ligne...

La vérification formelle pour assurer la fiabilité des systèmes embarqués

Ulrich Fahrenberg travaille pour sa part sur la vérification formelle pour assurer la fiabilité des systèmes embarqués. Il a débuté son exposé en citant l’exemple de l’atterrissage rate sur Mars de l’atterrisseur Schiaparelli. Lors de l’ouverture du parachute des données erronées ont été transmises à l’ordinateur de bord. Le capteur a ainsi mal interprété la position de Schiaparelli.

Il a de fait pris une mauvaise procédure d’atterrissage qui a fait s’écraser la fusée. Schiaparelli utilisait des systèmes cyber physiques qui sont identiques à ceux des centrales nucléaires, des avions... ces systèmes sont basés sur des techniques informatiques, de la théorie du contrôle et des mathématiques. De nombreux, systèmes industriels ou de la vie quotidienne se servent de ce modèle mathématique comme par exemple les thermostat. Pour lui pour éviter les problèmes il préconise d’utiliser de la vérification formelle qui permet de déduire toutes les propriétés sans simulation. Ce sujet de recherche est très étudié dans le monde. A Polytechnique on s’intéresse au système cyber physiques distribués qui permettent par exemple de faire rouler des véhicules en convoi.




Voir les articles précédents

    

Voir les articles suivants