quelques propositions de solutions pour la sécurité des...

N d'ordre 2010-ISAL-0083 Anne 2010

Thse

prsente L'Institut National des Sciences Appliques de Lyon

pour l'obtentiondu Grade de Docteur

Ecole doctorale : Informatique et Mathmatiques de Lyon

prsente et soutenue publiquementle 10 Octobre 2010

par

Mr ZNAIDI Wassim

Quelques propositions de solutions pour la

scurit des rseaux de capteurs sans l

Soutenue devant le jury :

Claude Castelluccia Directeur de Recherche RapporteurEquipe PLANETE, INRIA Rhne-Alpes.

Rek Molva Professeur des Universits RapporteurEURECOM, Nice.

Riadh Robbana Professeur des Universits examinateurEcole Polytechnique de Tunisie.

Maryline Laurent Professeur des Universits examinateurTELECOM-Management SudParis.

Jean-Philippe Babau Professeur des Universits examinateurUniversit Bretagne Occidentale, Brest.

Marine Minier Matre de confrences directrice de thseINSA-Lyon.

Stphane Ubda Professeur des Universits directeur de thseINSA-Lyon.

Les travaux prsents dans ce mmoire ont t raliss au laboratoire CITI sous la direction du Pr. Stphane Ubda et du Dr. Marine Minier,

et nancs par une allocation de recherche rgionale dans le cadre du projet SEMBA

A mon pre A ma mreA ma soeur et mon frreA ma ance NainaA toute ma famille et mes amis

Remerciements

Je remercie Rek Molva, Professeur l'universit EURECOM, Claude Castelluccia, Directeurde Recherche de l'quipe PLANTE - INRIA Rhne-Alpes, d'avoir accept d'tre rapporteurs dema thse. Je remercie aussi Riadh Robbana, professeur l'ecole Polytechnique de Tunisie, MarylineLaurent, professeur l'universit TLCOM-Management SudParis, et Jean-Philippe Babau, pro-fesseur l'universit Bretagne Occidentale de Brest d'avoir accept d'valuer mon travail et pourleurs conseils aviss. Merci tous les cinq pour l'intrt que vous avez port ce travail, pour vosremarques qui m'ont permis de voir plus loin.

J'exprime mes sincres remerciements et toute ma gratitude ma directrice de thse, MarineMinier, qui m'a oert l'opportunit de raliser cette thse, qui a su me former et m'orienter avecrigueur et patience durant ces 3 annes, qui m'a encourag tout au long de ce travail. Sa disponibi-lit, ses qualits pdagogiques et humaines, ses comptences et sa bonne humeur permanente m'ontapport un encadrement dterminant dans toutes les phases de ce travail. Ce fut pour moi un grandhonneur d'tre l'un de ses chercheurs.

Je tiens galement remercie Jean-Philippe Babau et Stphane Ubda, ancien et nouveau directeurde thse pour avoir su me guider avec attention et une gentillesse constante pendant ces trois annes.Leurs qualits scientiques et humaines, leurs encouragements et leurs remarques ont largementcontribu l'aboutissement de cette thse. Qu'ils trouvent ici l'expression de ma profonde gratitude.

Ma gratitude va galement envers Cdric Louradoux, charg de recherche au CITI, pour toutel'aide qu'il m'a apporte, pour ses qualits humaines et ses connaissances partages. J'espre garderlongtemps en exemple son enthousiasme pour la recherche et l'enseignement. Je tiens remercierFabrice Valois, professeur l'universit de Lyon et Marco Fiori, matre de confrence l'INSA deLyon, pour les travaux de recherche fructueux que nous avons mens ensemble.

Mon travail au laboratoire CITI n'aurait pas t possible sans tous mes camarades thsards etingnieurs de recherche qui ont t prsents dans les moments de doute et la priode de rdaction dece manuscrit. C'est avec eux que j'ai eu le plus de discussions scientiques durant et en dehors desheures de bureau. Je souhaite donc remercier Amira, Anya, Fatiha, Ioan, Riadh, Anis, Bilel, Paul,Ochir, Fei, Hajer, Virgile, Ibrahim, Elyes, Cdric, Loc, Leila, Ahmed, Bedriddine et Lilia.

Je remercie ma famille, ma ance Naina et mes amis pour leur irremplaable et inconditionnelsoutien. Je remercie plus particulirement mes cousins Choukri, Hichem, Jalel, Mehdi et Hakim. Ilsont galement une part importante dans la ralisation de cette thse. Je vous remercie par avance,lecteurs, de ne pas vous intresser qu'au chapitre des remerciements. Enn, je remercie ma ancNaina pour tout son soutien, sa patiente et tout le reste.

Rsum

Cette thse a pour objectif d'tudier des solutions susceptibles d'assurer la scurit dans les rseaux decapteurs sans l. Aprs avoir prsent l'tat de l'art du domaine, cette thse s'articule autour de troisgrandes parties.

La premire partie propose des solutions algorithmiques pour la scurit des rseaux de capteurs. Deuxmcanismes ddis permettant de dtecter deux attaques particulires de ces rseaux sont proposs. Il s'agitd'une premire solution permettant de dtecter l'attaque wormhole. La deuxime solution permet de dtecterl'attaque de rplication de nuds en se basant sur une approche hirarchique.

La deuxime partie se concentre sur des solutions fondes sur l'utilisation de la cryptographie symtrique.Ainsi, un premier protocole de gestion cls et de contrle d'accs est propos. Son but est de partager une clcommune entre chaque paire de nuds prsents dans le rseau. Dans un deuxime temps, nous nous sommesintresss la scurisation de l'agrgation des donnes. Plus prcisment, nous proposons deux mcanismesfonds sur sur les fonctions de hachage universelles permettant d'agrger des preuves d'intgrit des donnestransmises an de permettre au puits de vrier l'intgrit des donnes agrges.

Dans une troisime partie, alors que la diversit des solutions de scurit permet de dnir des politiquesde scurit capable d'assurer des proprits bien dnies, nous prsentons une dmarche de modlisation for-melle permettant de simuler et d'valuer l'impact des politiques de scurit sur la consommation nergtiqued'un rseau. Le but est ici d'valuer l'impact en terme d'nergie du passage d'une politique une autre, cequi nous permettra ensuite de mieux grer par exemple la dure de vie d'un rseau de capteurs.

Mots cls : Rseaux de capteurs sans l, Scurit, Algorithmes distribus, Wormhole, Replication, Agr-gation de MAC, Cryptographie symtrique, Fonctions de Hachage Universelles, Modlisation formelle, On-tologie d'attaques.

Abstract

This PhD aims at studying particular solutions to guarantee some security issues in Wireless SensorNetworks (WSNs). After a litterature overview, this work is divided in three main parts.

The rs part proposes algorithmic solutions for security in wireless sensor networks. Two dedicated me-chanisms are presented in order to detect two particular attacks in WSNs. The rst solution is designed forwormhole attack detection. The second solution allows detecting replicated nodes attack using a hierarchicalapproach.

The second part is dedicated to solutions based on symmetric key cryptography. First, a rst protocol ofkey management and access control in the network is proposed. The aim of this protocol is to share a commonkey between each pair of neighbor nodes. In a second step, we are interested in securing the aggregation ofdata. More precisely, we propose two mechanisms based on universal hash functions for aggregating integrityproofs to enable the sink to verify the integrity of aggregated data.

In a third part, while the variety of security solutions allows dening security policies with well-denedproperties, we present a formal modeling approach for simulating and evaluating security policies on theenergy consumption of a WSN. The goal here is to evaluate the impact in terms of energy of the movingfrom one policy to another, which will then enable us to better manage the lifetime of sensor networks forexample.

Keywords :Wireless Sensor Networks (WSNs), Security, Distributed algorithms, Wormhole, Replication,Aggregated MAC, Symmetric key cryptography, Universal Hash Functions (UHFs), Formal modeling.

Table des matires

1. Introduction 3

I. Prsentation des rseaux de capteurs et des problmatiques de scurit 9

2. Scurit dans les rseaux de capteurs : prsentation et tat de l'art 112.1. Rseau de capteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

2.1.1. Prsentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122.1.2. Contraintes dans un rseau de capteurs . . . . . . . . . . . . . . . . . . . . . 122.1.3. Modles d'attaquant et vulnrabilits dans un rseau de capteurs . . . . . . . 142.1.4. Exigences en scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162.1.5. Applications et scnarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

2.2. Primitives cryptographiques utilises dans les rseaux de capteurs . . . . . . . . . . . 172.2.1. Cryptographie Symtrique ou Asymtrique ? . . . . . . . . . . . . . . . . . . 172.2.2. Fonction de hachage et Code d'authentication de message . . . . . . . . . . 202.2.3. Fonctions de hachage universelles . . . . . . . . . . . . . . . . . . . . . . . . . 222.2.4. Chanes de hachage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

2.3. Protocoles de scurit dans les rseaux de capteurs . . . . . . . . . . . . . . . . . . . 232.3.1. Mcanismes de gestion de cls . . . . . . . . . . . . . . . . . . . . . . . . . . . 232.3.2. Exemples de protocoles de routage scuriss . . . . . . . . . . . . . . . . . . . 242.3.3. Mcanisme d'agrgation scurise . . . . . . . . . . . . . . . . . . . . . . . . . 262.3.4. Mcanisme de synchronisation scurise . . . . . . . . . . . . . . . . . . . . . 282.3.5. Mcanisme de localisation scurise . . . . . . . . . . . . . . . . . . . . . . . . 28

2.4. Ontologie et classication des attaques . . . . . . . . . . . . . . . . . . . . . . . . . . 292.4.1. Prsentation de l'ontologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292.4.2. Attaques par couches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

2.5. Conclusion du chapitre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

II. Solutions bases sur des approches algorithmiques 43

3. Dcouverte de voisinage scurise dans les rseaux de capteurs 453.1. Mcanisme de dcouverte de voisinage et attaque trou de ver . . . . . . . . . . . . . 45

3.1.1. Problmatique du mcanisme de dcouverte de voisinage . . . . . . . . . . . . 453.1.2. Attaque wormhole et son eet sur le fonctionnement du rseau . . . . . . . . 45

3.2. Etat de l'art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483.3. Proposition d'un algorithme de dtection de l'attaque wormhole . . . . . . . . . . . . 50

3.3.1. Modle du rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513.3.2. Coecient de clustering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523.3.3. Coecient de clustering des artes . . . . . . . . . . . . . . . . . . . . . . . . 52

vii

Table des matires

3.3.4. Caractrisation de l'attaque wormhole l'aide du coecient de clustering desartes modi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

3.4. Implmentation de notre algorithme . . . . . . . . . . . . . . . . . . . . . . . . . . . 563.4.1. Prsentation de QLoP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563.4.2. Description de notre algorithme intgr QLoP . . . . . . . . . . . . . . . . . 57

3.5. Analyses et performances . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583.5.1. Cas d'utilisation d'un mcanisme de dcouverte standard . . . . . . . . . . . 583.5.2. Cas d'intgration avec le protocole QLoP . . . . . . . . . . . . . . . . . . . . 603.5.3. Comparaison de notre proposition avec le protocole propos dans [151] . . . . 63


4. Dtection de l'attaque de rplication de nuds dans un rseau de capteurs 684.1. Prsentation de l'attaque de rplication des nuds . . . . . . . . . . . . . . . . . . . 69

4.1.1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694.1.2. Prsentation de l'attaque de rplication des nuds . . . . . . . . . . . . . . . 704.1.3. Etat de l'art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

4.2. Modles et hypothses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 724.2.1. Filtre de Bloom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 724.2.2. Modle de l'attaquant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744.2.3. Modle de rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744.2.4. LNCA : Local Negotiated Clustering Algorithm . . . . . . . . . . . . . . . . . 754.2.5. Hypothses sur la scurit existante dans le rseau . . . . . . . . . . . . . . . 76

4.3. Notre proposition pour la dtection de l'attaque de rplication de nuds . . . . . . . 774.3.1. Phase de prdistribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 784.3.2. Phase d'lection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 784.3.3. Phase de dtection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

4.4. Simulations et performances . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 804.4.1. Ordre des paramtres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814.4.2. Paramtres de simulations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814.4.3. Rsultats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83


III. Solutions bases sur des approches cryptographiques 89

5. Proposition d'un protocole de gestion de cls et de contrle d'accs dans un rseau decapteurs 915.1. Prsentation et problmatiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 915.2. Etat de l'art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

5.2.1. Les protocoles dterministes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 925.2.2. Les protocoles probabilistes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 935.2.3. Les protocoles gographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . 945.2.4. Les protocoles t-secure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

5.3. Prliminaires et modles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 955.3.1. Prliminaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 955.3.2. Modle du rseau et de l'attaquant . . . . . . . . . . . . . . . . . . . . . . . . 96

5.4. Gnration d'une paire de cls et d'une cl de groupes . . . . . . . . . . . . . . . . . 975.4.1. Phase de prdistribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

viii

Table des matires

5.4.2. tablissement de la cl secrte et gestion du contrle d'accs . . . . . . . . . . 985.4.3. Ajout de nouveaux nuds . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1005.4.4. Mise jour des cls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1015.4.5. Etablissement de cl de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . 101

5.5. Analyse de scurit de notre protocole . . . . . . . . . . . . . . . . . . . . . . . . . . 1025.5.1. Scurit du mcanisme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1025.5.2. Rsilience contre la capture . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1035.5.3. Mcanisme de mise jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

5.6. Etude des performances . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1035.6.1. Etude thorique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1045.6.2. Etude comparative de notre proposition . . . . . . . . . . . . . . . . . . . . . 105


6. Schmas d'agrgation des Codes d'Authentication de Messages (MAC) 1116.1. Problmes de scurit lis au mcanisme d'agrgation . . . . . . . . . . . . . . . . . . 1116.2. Prliminaire et tat de l'art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

6.2.1. Reprsentation formelle des schmas d'agregation pour les rseau de capteurs 1136.2.2. MAC bas sur les foncions de hachages universelles . . . . . . . . . . . . . . . 115

6.3. Etude d'un schma AMAC bas sur l'opration XOR . . . . . . . . . . . . . . . . . . 1176.3.1. Modle de rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1176.3.2. Authenticate-Xor-MAC-Forward (AXMF) . . . . . . . . . . . . . . . . . . . . 1186.3.3. Authenticate-Xor-Forward mode (AXF) . . . . . . . . . . . . . . . . . . . . . 1196.3.4. Xor-Authenticate-Forward mode (XAF) . . . . . . . . . . . . . . . . . . . . . 1196.3.5. Xor-Forward mode (XF) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1216.3.6. Analyse et comparaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

6.4. Proposition d'un schma d'agrgation sur le corps Fp . . . . . . . . . . . . . . . . . . 1246.4.1. Extension des constructions de Krawczyk Fp . . . . . . . . . . . . . . . . . 1256.4.2. Application un rseau de capteurs . . . . . . . . . . . . . . . . . . . . . . . 126

6.5. Analyse de scurit dans le modle AMAC propos . . . . . . . . . . . . . . . . . . . 1296.6. Analyse des performances . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

6.6.1. LEACH: Low-Energy Adaptative Clustering Hierarchy . . . . . . . . . . . . . 1306.6.2. Paramtres de Simulations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1306.6.3. Rsultats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

6.7. Conclusion pour ce chapitre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

IV. Analyse formelle des politiques de scurit dans les rseaux de capteurs 135

7. Analyse formelle des politiques de scurit dans le cadre des rseaux de capteurs 1377.1. Prsentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

7.1.1. Politiques de scurit dans le cadre de rseau de capteurs . . . . . . . . . . . 1387.1.2. Choix des automates temporiss . . . . . . . . . . . . . . . . . . . . . . . . . 139

7.2. Prsentation du formalisme utilis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1397.2.1. Modle des automates temporiss . . . . . . . . . . . . . . . . . . . . . . . . . 139

7.3. Proposition de modlisation formelle d'un rseau de capteurs . . . . . . . . . . . . . 1417.3.1. Signication de la notion du temps . . . . . . . . . . . . . . . . . . . . . . . . 1427.3.2. Modlisation de la topologie du rseau . . . . . . . . . . . . . . . . . . . . . . 1427.3.3. Modlisation des communications radio . . . . . . . . . . . . . . . . . . . . . 142

ix

Table des matires

7.3.4. Modlisation de l'environnement . . . . . . . . . . . . . . . . . . . . . . . . . 1427.3.5. Choix et modlisation formelle de la couche de routage . . . . . . . . . . . . . 1437.3.6. Abstraction de la couche MAC . . . . . . . . . . . . . . . . . . . . . . . . . . 1457.3.7. Modlisation de l'nergie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1457.3.8. Modlisation des politique de scurit . . . . . . . . . . . . . . . . . . . . . . 1467.3.9. Critre d'arrt ou critre de dure de vie du rseau . . . . . . . . . . . . . . . 147

7.4. Problmes de simulation rencontrs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1477.5. Conclusion du chapitre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

8. Conclusion et Perspectives 1518.1. Contributions de la thse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1518.2. Perspectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

Bibliographie 157

x

Table des figures

2.1. Rseau de capteurs - exemple d'une application de dtection de feu de fort. . . . . . 122.2. Architecture d'un nud capteur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.3. Classication d'un attaquant dans un rseau de capteurs sans l. . . . . . . . . . . . 152.4. Chirement symtrique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182.5. Chirement asymtrique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192.6. Une chaine de hachage de taille 3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232.7. Taxonomie des protocoles de gestion de cls. . . . . . . . . . . . . . . . . . . . . . . . 242.8. Mcanisme d'agrgation pour un rseau de capteurs. . . . . . . . . . . . . . . . . . . 272.9. L'ontologie propose. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312.10. L'ontologie vue comme une taxonomie. . . . . . . . . . . . . . . . . . . . . . . . . . . 322.11. Quelques attaques dans un rseau de capteurs. . . . . . . . . . . . . . . . . . . . . . 363.1. Exemple d'une attaque trou de ver . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463.2. Eets de l'attaque wormhole sur la dcouverte de voisinage. . . . . . . . . . . . . . . 473.3. Le rseau de capteurs vu comme un graphe. . . . . . . . . . . . . . . . . . . . . . . . 513.4. Exemple pour le calcul du coecient de clustering pour le nud b . . . . . . . . . . . 523.5. Calcul du coecient de clustering des artes d'ordre 3 . . . . . . . . . . . . . . . . . 533.6. Example de calcul de coecient de clustering des artes d'ordre 4. . . . . . . . . . . 543.7. Dtection d'une attaque wormhole - Exemple de dtection d'un faux positif . . . . . 553.8. Probabilit de dtection de l'attaque wormhole, de dconnexion du graphe, de faux

positifs et faux positifs excluant les bords . . . . . . . . . . . . . . . . . . . . . . . . 593.9. Impact du seuil Tam sur la probabilit de dtection de faux positifs . . . . . . . . . . 603.10. Voisinage d'un nud avec dirents modles de connectivit . . . . . . . . . . . . . . 613.11. Probabilit de dtection de l'attaque wormhole, dtection de faux positifs et dtection

de faux positifs excluant les bords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613.12. Etude de l'attaque wormhole avec QLoP . . . . . . . . . . . . . . . . . . . . . . . . . 623.13. Modle de propagation rel : Probabilit de dtection de wormhole, taux de faux

positifs et taux de faux positifs excluant les bords . . . . . . . . . . . . . . . . . . . . 623.14. Probabilit de dtection de l'attaque wormhole et taux de faux positifs du protocole

dni dans [151] dans un environnement rel. . . . . . . . . . . . . . . . . . . . . . . 643.15. Probabilit de dtection de plusieurs attaques wormhole et taux de faux positifs avec

l'approche [151] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653.16. Exemple d'attaques wormhole coopratives, comme dni dans [151]. . . . . . . . . . 654.1. Exemple d'attaque de rplication de nud . . . . . . . . . . . . . . . . . . . . . . . . 704.2. Filtre de Bloom 10 bits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 734.3. Filtre de Bloom. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 734.4. Les compteurs dans les ltres de Bloom. . . . . . . . . . . . . . . . . . . . . . . . . . 744.5. Exemple de topologie hirarchique o les nuds sont rpartis en clusters. . . . . . . 754.6. Mcanisme de LNCA pour w = 2 (extrait de [171]). . . . . . . . . . . . . . . . . . . . 774.7. Calcul d'un ltre de Bloom par un clusterhead. . . . . . . . . . . . . . . . . . . . . . 794.8. Probabilit de dtection de l'attaque de rplication de nuds. . . . . . . . . . . . . . 824.9. Surcot en communication de notre approche. . . . . . . . . . . . . . . . . . . . . . . 82

xi

Table des gures

4.10. Gain en nergie de notre protocole par rapport aux protocoles RM et LSM . . . . . . 834.11. Probabilit de dtection de plusieurs attaques de rplication compar avec LSM . . . 844.12. Overhead de notre approche pour direntes valeurs de w de LNCA . . . . . . . . . 855.1. Protocole d'tablissement de cls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1005.2. Protocole d'tablissement de cl de groupe . . . . . . . . . . . . . . . . . . . . . . . . 1025.3. Surcot en nombre de messages lors de la construction d'une cl entre deux nuds. . 1055.4. Analyse de l'nergie et du dlai . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1066.1. Exemple de mcanisme de codage rseau . . . . . . . . . . . . . . . . . . . . . . . . . 1126.2. Exemple d'un nud relais dans le cas de network coding. . . . . . . . . . . . . . . . 1186.3. Authenticate-Xor-MAC-Forward. . . . . . . . . . . . . . . . . . . . . . . . . . 1196.4. Authenticate-Xor-Forward. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1206.5. Xor-Authenticate-Forward. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1206.6. Cot en nergie des dirents modes d'opration. . . . . . . . . . . . . . . . . . . . . 1236.7. Consommation d'nergie du rseau en prsence/absence d'une attaque. . . . . . . . . 1246.8. Consommation d'nergie probabiliste en fonction de la probabilit p de l'attaque. . . 1246.9. Cas d'tude trois nuds : i; j et k. . . . . . . . . . . . . . . . . . . . . . . . . . . . 1256.10. Consommation d'nergie moyenne pour chaque schma d'agrgation. . . . . . . . . . 1316.11. Gains en nergie consomme entre le scnario 4 avec les trois autres scnarios. . . . . 1327.1. Exemple d'automate temporis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1407.2. Automate de l'environnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1437.3. Description des direntes tapes du protocole "Directed Diusion". . . . . . . . . . 1447.4. Automate d'un nud utilisant le protocole "directed diusion" . . . . . . . . . . . . 1447.5. Automate de changement de modes des politiques de scurit . . . . . . . . . . . . . 146

xii

Liste des tableaux

2.1. Caractristique matriel d'architecture des capteur les plus utiliss . . . . . . . . . . 142.2. Rsum de l'ontologie appliqu aux attaques. . . . . . . . . . . . . . . . . . . . . . . 394.1. Notations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 784.2. Exemple de dirents paramtres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815.1. Notations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 976.1. Caractristiques des dirents MACs pour des textes clairs de 20 octets. . . . . . . . 1226.2. Evaluation des MACs sur un TI MSP430 8MHZ. . . . . . . . . . . . . . . . . . . . 122

xiii

Premier Chapitre

Introduction

Contexte

L'volution rcente de la socit s'appuie sur des techniques de plus en plus tournes vers lacommunication, l'image et la mobilit. Le tlphone portable et Internet sont les vecteurs principauxde cette rvolution technologique. ct de ces techniques plutt lies aux loisirs se dveloppentgalement des dispositifs pour amliorer notre connaissance du monde extrieur. Les informationsrecueillies dans la nature par exemple vont tre rcupres pour tre intgres au processus dedcision. Le besoin d'change rapide d'informations et le dveloppement des communications ontabouti la cration d'Internet qui rend accessible au monde entier une grande quantit de donneset de services. Internet suscite une passion croissante, tant dans le domaine de la recherche, del'ducation que celui des aaires.

Toute cette volution ne pourrait se raliser sans une volution dans le domaine de la commu-nication principalement sans l et l'informatique mobile gagne de plus en plus de popularit. Lesnombreuses avances techniques et technologiques dans les domaines de la micro-lectronique, dela micro-mcanique, et des technologies de communication sans l ont permis ainsi de crer de pe-tits objets communicants quips de capteurs un cot raisonnable. Ces nouveaux objets appelsnuds ou capteurs sont quips d'une unit de mesure (le ou les capteurs), d'une unit de calcul,de mmoire et d'une radio pour communiquer. Enn, pour l'alimentation, ces nuds possdent unepile ou un systme de rcupration d'nergie dans l'environnement. Cette technologie rend possiblele dploiement de rseaux de capteurs sans l. Les rseaux de capteurs ont de nombreuses perspec-tives d'applications dans des domaines trs varis : applications militaires, domotique, surveillanceindustrielle ou de phnomnes naturels, relevs de compteurs. Le faible cot de construction et lafacilit de dploiement de tels rseaux ont contribu leur popularit croissante.

L'largissement du domaine d'application des rseaux de capteurs ncessite plus de scurit pourassurer l'intgrit, l'authenticit et la condentialit des donnes qui circulent dans le rseau. Eneet, les rseaux de capteurs sont confronts de nombreux problmes lis leurs caractristiquesqui rendent les solutions de scurit dveloppes pour les rseaux laires ou sans l avec infrastruc-ture inapplicable dans le contexte des rseaux de capteurs. Parmi les vulnrabilits qui touchent lesrseaux de capteurs, on trouve l'absence d'infrastructure, une topologie souvent alatoire, la vuln-rabilit des nuds eux-mmes et du canal radio ainsi que les ressources limites. Par consquent, denombreux thmes de recherches ont surgi au cours des dernires annes pour proposer des solutionsde scurit permettant de remdier ces vulnrabilits et assurer les services de scurit dans lesrseaux de capteurs.

Problmatique et motivations

Les rseaux de capteurs sont vulnrables dirents types d'attaques qui peuvent tre lancesde faon relativement simple. En particulier, la nature des communications sans l facilite l'couteclandestine permettant ainsi une analyse facile du trac rseau. Le manque d'une infrastructure xeet l'hypothse d'un environnement ouvert sans aucune surveillance humaine permettent des attaquesddies comme l'usurpation d'identits ou bien la compromission des nuds. Un attaquant ayantcompromis un ou plusieurs nuds peut ainsi accder tous les secrets enregistrs dans le nud(les donnes enregistres, la table de voisinage, les donnes cryptographiques comme les valeurs descls, etc.), et ainsi se comporter comme un nud lgitime, sans pour autant se faire dtecter. Deplus, un attaquant qui connat bien la disposition des nuds dans le rseau, les mcanismes descouches physiques et MAC peut empcher tout instant l'accs au canal de communication desnuds qui lui sont proches. A cause de toutes ces vulnrabilits qui caractrisent la communicationsans l, les nuds malicieux peuvent alors modier, usurper, injecter des donnes et gnrer de fauxmessages, et, de faon gnrale, ils peuvent ne pas respecter les protocoles utiliss. L'impact d'untel comportement malicieux peut tre grave, mme mortel, en raison de la nature collaborative desnuds dans un rseau de capteurs sans infrastructure xe.

Les nuds collaborent entre eux an d'acheminer les messages vers une destination bien prcise.Le fonctionnement de la majorit des protocoles (surtout ceux de routage, localisation, etc.) sebase sur le fait que chaque nud ait une connaissance locale de son voisinage. De ce fait, chaquenud doit connatre le prochain saut vers une destination prcise an d'acheminer les paquets. Enl'absence de ces informations, le fonctionnement du rseau est compromis. Ces informations sontobtenues en gnral la suite des mcanismes dits de dcouverte de voisinage. Dans ce contexte,un attaquant peut dtriorer le comportement souhait du rseau en crant de fausses listes devoisinage, et ceci, sans pour autant tre dtect. Une des attaques les plus connues qui cible ce genrede mcanisme est l'attaque trou de ver connu sous le nom d'attaque wormhole. L'attaque wormholepeut tre implmente soit l'aide de nuds malicieux externes au rseau, soit en utilisant desnuds internes. Cette dernire approche peut tre labor par exemple suite l'injection de nudsdupliqus construits partir d'un nud lgitime compromis. En eet, tant donne la nature ouvertede l'environnement de dploiement du rseau, un attaquant peut facilement capturer des nuds,extraire ses donnes et construire des clones identiques an de les insrer un peu partout dans lerseau. Cette attaque est appel attaque par rplication. L'inexistence d'une entit centrale rend ladtection d'une telle attaque trs dicile, car un rseau hautement dense ne peut pas tre facilementsurveill. tant donn que des erreurs bnignes, telles que la dtrioration des transmissions, larupture de l'acheminement des paquets, ou encore la suppression de paquets, se produisent souventdans les rseaux de capteurs, il est encore plus ardu de dtecter les erreurs relles des attaques.

Pour remdier ces vulnrabilits, plusieurs algorithmes de scurit ont t proposs pour dtecterces dirents types d'attaques. Cependant, la plupart de ces mcanismes ne sont pas adapts auxrseaux de capteurs contraints en ressources. En eet, soit ils adoptent une approche centralise,soit ils ncessitent l'utilisation de composants et de mcanismes spciaux trs coteux pour unrseau de capteurs, comme l'utilisation de GPS, de mcanismes de synchronisation coteux ou bienl'utilisation d'antennes de transmissions spciales. Aprs avoir tudi ces direntes approches et enavoir analys les faiblesses, nous avons propos dans cette thse un mcanisme de scurisation de ladcouverte de voisinage par dtection de l'attaque wormhole, ainsi qu'un mcanisme de dtectionde la prsence de nuds rpliqus.

4

D'un autre ct, assurer des proprits de scurit classiques comme l'intgrit ou la conden-tialit ncessite l'utilisation de mcanismes cryptographiques. tant donn que la cryptographieasymtrique est assez gourmande en nergie, la recherche en scurit dans les rseaux de capteurss'est alors dirige vers la cryptographie symtrique. Cette technique repose sur le partage d'une clcommune entre deux entits voulant communiquer. La plupart des mcanismes de gestion de clsjusqu'alors propos dans la littrature sont vulnrables l'attaque par compromission des nudset donc inecaces dans le cadre d'un rseau de capteurs. Il a donc fallu dvelopp des solutionsddies au cadre des rseaux de capteurs reposant sur des mcanismes particuliers. Certains deces mcanismes utilisent cependant des composants matriels spciaux comme l'utilisation de GPSet restent donc relativement coteux. Dans ce contexte, nous avons dvelopp un mcanisme degestion de cls et de contrle d'accs permettant de construire une cl partage entre deux nudsvoisins. Dans ce mcanisme, an de rsister aux attaques physiques, nous nous sommes concentrssur la mise jour des cls partages an d'augmenter la rsilience de notre approche contre ce genred'attaques.

tant donn la grande taille des rseaux de capteurs, la quantit d'informations collectes ausein de ces rseaux est en gnral trs importante. Etant donn que les ressources en nergie desnuds sont limites, la consommation nergtique lie aux calculs faits sur chacun des nuds etl'envoi des donnes doit tre limite an d'augmenter la dure de vie du rseau. Parmi les techniquesles plus utilises pour limiter le nombre de messages envoyer pour chacun des nuds, on trouveles mcanismes d'agrgation. Il s'agit ici de faire agrger par les nuds pres les donnes reuesdes nuds ls et ainsi de suite, jusqu' l'arrive la station de base qui peut ainsi calculer dessommes ou des moyennes. L'agrgation des donnes permet donc de rduire de faon signicative laquantit de donnes redondantes changes dans le rseau. L'agrgation de donnes est relativementtriviale, mais devient problmatique lorsque l'on veut y rajouter de la scurit. Plusieurs travauxont t proposs dans la littrature concernant l'agrgation des donnes chires, permettant ainsid'assurer la proprit de condentialit. Ceci assure que les informations transmises sur le rseaune peuvent jamais tre lues par des nuds non autoriss. Par contre, ces travaux ne permettent pasd'assurer l'intgrit des informations. En eet, un attaquant peut facilement intercepter et modierle contenu des messages sans avoir besoin de les dchirer. Nous avons propos dans cette thse unmcanisme d'agrgation de donnes assurant l'intgrit et l'authenticit des informations transmisesdans le rseau. De plus, nous avons propos un ensemble de cas d'tude montrant l'ecacit de notreproposition sur la consommation d'nergie en comparant notre approche aux anciennes solutionspour la protection de l'intgrit des donnes.

Cadre de la thse

Ce document prsente les travaux de thse eectus dans le cadre d'une allocation rgionaleRhne-Alpes du projet SEMBA (systmes embarqus comptitifs) sous la thmatique 3 "infrastruc-tures logicielles et communicantes pour l'embarqu" (protocoles, OS, middleware, capteurs, scurit,rseaux sur puce, etc). Cette thse a t ralise au sein du laboratoire CITI de l'INSA de Lyon dansl'quipe INRIA SWING et sous la direction du Professeur Stphane Ubda et du Docteur MarineMinier.

5

Contributions et plan de document

En plus de ce premier chapitre d'introduction, cette thse est forme de 6 chapitres proposantdes solutions de scurit aux direntes problmatiques mentionnes ci-dessus.

Le deuxime chapitre. Le chapitre 2 prsente les rseaux de capteurs sans l de faon plus prciseque cette introduction. Il contient galement les principaux outils cryptographiques utiliss tradi-tionnellement dans les rseaux de capteurs et ceux utiliss durant cette thse. Ce chapitre contientgalement notre proposition d'ontologie d'attaques pour la classication automatique des vulnra-bilits dans un rseau de capteurs et dcrit les attaques les plus connues dans un rseau de capteursen les classant selon l'ontologie propose. Cette ontologie t ralis avec l'aide de Fatia ben Ali,ancienne doctorante du CITI et spcialiste dans l'tudes des systmes de dtection d'intrusion, ande mieux comprendre le fonctionnement et le comportement des ontologies.

Le troisime chapitre. Le chapitre 3 est ddi notre proposition d'un algorithme de dtectionde l'attaque wormhole. La section 3.3 dcrit le fonctionnement de notre approche de dtection. Lessections 3.4 et 3.5 dcrivent respectivement l'intgration de cet algorithme au sein du protocole QLoP(protocole de dcouverte de voisinage) ainsi que les direntes simulations permettant d'analyser lesperformances de notre algorithme an de valider notre approche. En plus, une tude comparativea t eectue an de mettre en vidence les performances obtenues l'aide de notre approche dedtection.

Le quatrime chapitre. Le chapitre 4 introduit le mcanisme de dtection de l'attaque de rplica-tion des nuds. Il dtaille les dirents outils utiliss pour implmenter cette approche, puis montrel'ecacit de cet algorithme en le comparant aux solutions proposes par Parno et al.

Le cinquime chapitre. Le chapitre 5 est ddi nos contributions dans la gestion de cls et decontrle d'accs dans un rseau de capteurs. La section 5.3 dcrit la version modie du polynmede Blundo ncessaire notre proposition. Dans la section 5.4, nous montrons comment construireune cl partage et valider l'accs d'un nud au rseau, comment construire une cl de groupe etcomment eectuer une mise jour des polynmes permettant de mettre jour les cls. A l'aide desces mcanismes, notre protocole permet de garantir un niveau de scurit trs lev contrairementau prcdentes propositions de la littrature.

Le sixime chapitre. Le chapitre 6 est ddi nos travaux sur l'agrgation des MAC dans lesrseaux de capteurs. La section 6.3 prsente un exemple d'agrgation utilisant l'oprateur XORdans le cadre du mcanisme de codage rseau, et montre son ecacit contre les attaques dites parpollution. La section 6.4 dcrit comment ce mme mcanisme peut tre utilis pour eectuer del'agrgation scurise de donnes en utilisant des fonctions de type somme ou moyenne.

Le septime chapitre. Le chapitre 7 dcrit la modlisation et l'analyse de l'impact des politiquesde scurit sur un rseau de capteurs en IF. Nous avons propos un modle trs abstrait bas sur lesautomates temporiss permettant de modliser des politiques de scurit tout en tenant en comptela consommation nergtique des nuds. La section 7.3 explique comment nous avons modlis defaon assez abstraite un rseau de capteurs l'aide de primitives de communication asynchrone.

Conclusion. Le chapitre 8 conclut cette thse et prsente les perspectives de recherche ce travail.

6

Premire partie .

Prsentation des rseaux de capteurs

et des problmatiques de scurit

9

Deuxime Chapitre

Scurit dans les rseaux decapteurs : prsentation et tat de

l'art

Dans ce chapitre, nous prsentons le contexte de cette thse : les rseaux de capteurs, leurscaractristiques et les problmes de scurit (section 2.1) qui leur sont propres. Nous dnissons dansla section 2.2 les outils cryptographiques utiliss tout au long de cette thse et qui sont spciquesaux rseaux de capteurs sans l. Ensuite, nous prsentons une nouvelle ontologie d'attaques pourles rseaux de capteurs (section 2.4.1) ; nous expliquons galement comment nous pouvons exploitercette ontologie sur quelques attaques connues dans le cadre d'un rseau de capteurs.

2.1 Rseau de capteurs

2.1. Rseau de capteurs

2.1.1. Prsentation

Les avances croissantes des technologies de miniaturisation et le dveloppement des communi-cations sans l ont pouss la cration et au dveloppement des rseaux de capteurs (appel enanglais Wireless Sensor Networks et abrg WSNs, acronyme qui sera souvent utilis dans la suitede ce manuscrit). Le principal but d'un rseau de capteurs est de servir comme une interface dumonde physique rel, en fournissant des donnes collectes comme la temprature, la luminosit,les radiations, les mouvements, etc. vers un rseau informatique. Un rseau de capteurs (illustrdans la gure 2.1) est gnralement form d'entits homognes appeles capteurs dont le but estde collaborer an de collecter et remonter certaines donnes physiques de l'environnement ambiantvers un ou plusieurs points de collecte appels puits (i.e. "sink" en anglais). Malgr l'existenced'une multitude d'applications des rseaux de capteurs (militaire, mdicale, domotique, etc. plusd'exemples seront donn dans la section 2.1.5) et l'existence d'une foultitude de capteurs sur lemarch, ces derniers possdent en gnral une architecture matrielle identique, compose de (voirgure 2.2) : une unit de capture : elle est charge de numriser une grandeur physique rcolte sur l'envi-ronnement ;

une unit de traitement : elle est dote d'un processeur et d'une mmoire ; une batterie ; une unit de transmission sans l.

alerte

Station de base

Feu

internet

Figure 2.1.: Rseau de capteurs - exemple d'une application de dtection de feu de fort.

Les rseaux de capteurs dirent aussi des rseaux ad hoc. D'une part, les nuds capteurs sonttotalement autonomes, capables d'auto-organisation et ne ncessite aucune ou peu d'interventionhumaine. D'autre part, les capteurs sont beaucoup plus contraints en terme de taille, dure de viede la batterie, capacit de traitement et de stockage qu'un PDA ou un PC. A titre d'exemple, latable 2.1 rcapitule les caractristiques de quelques exemples des capteurs les plus connus.

2.1.2. Contraintes dans un rseau de capteurs

Les rseaux de capteurs possdent des caractristiques et des contraintes uniques compares auxrseaux traditionnels rendant l'excution des mesures de scurit existantes irralistes. En d'autrestermes, ces contraintes sont le rsultat des limitations concernant la mmoire du capteur, sa rservenergtique, sa capacit de traitement ainsi que l'utilisation d'une communication sans l. Ces

12


Figure 2.2.: Architecture d'un nud capteur.

contraintes, qui rendent la conception des protocoles et des mcanismes de scurit plus complexe,sont classes en 2 catgories : contraintes du nud et contraintes rseau.

1. contraintes matrielles : ces contraintes sont lies aux capacits matrielles et physiques d'unnud capteur, ce qui reprsente un handicap pour les besoins en scurit qui ncessite engnral des ressources additionnelles. Le tableau 2.1 rsume les caractristiques de quelquescapteurs connus. mmoire limite : titre d'exemple, le WSN430 possde 10 Ko de RAM, 1Mo de ash. Cequi signie que n'importe quelle solution de scurit conue pour des rseaux de capteursdevrait tre trs compacte en terme de taille du code.

nergie limite : l'nergie est un autre facteur important considrer en concevant desmesures de scurit. tant donn l'environnement hostile de dploiement des capteurs, ilest trs important de limiter la consommation d'nergie et de prolonger la dure de vie despiles. Cependant, ajouter des mesures de scurit a ncessairement un impact signicatifsur la consommation d'nergie : par exemple, excuter les fonctions de chirement et dedchirement, changer des cls, etc. Notons cependant que le plus coteux en nergie restela transmission et la rception de messages sur l'interface radio si le choix des oprationscryptographiques eectuer dans le capteur a t raisonnablement pens.

capacit de calcul limite : un capteur actuel est peine plus puissant qu'une petite calcu-latrice graphique produite dans les annes 90 et possde une capacit de calcul trs rduite,fonctionnant dans la majorit des cas avec des registres 8 ou 16 bits.

radio limite et faible dbit : la majorit des nuds capteurs possdent une porte radiode quelques dizaines de mtres variable selon l'environnement et la frquence radio utilise( titre d'exemple, la frquence radio en transmission du WSN430 est de 915 MHZ). Enplus, le dbit actuel dans les rseaux de capteurs ne dpasse pas les quelques centaines dekilo-octets par seconde. C'est en raison de la porte radio limite que l'on aura besoin d'unroutage multisaut pour acheminer les donnes dans le rseau (i.e. un capteur pour acheminerde l'information jusqu'au puits va passer cette information un voisin qui va lui-mme larelayer et ainsi de suite jusqu' atteindre le puits).

13


Table 2.1.: Caractristique matriel d'architecture des capteur les plus utilissCapteurs MicaZ Telos Imote2 WSN430

Processeur Atmel AT-Mega 128L

TI MSP430 IntelPXA271XScale

TI MSP430

Vitessedu processeur

16 MHz 8 MHz 13 - 416MHz

8 Mhz

RAM 4 Ko 2 Ko / 10 Ko 256 Ko 10 KoEspaceprogramme

128 Ko 60 Ko / 48 Ko 32 Mo 48 Ko

Flash 512 Ko 256 Ko 32 Mo 1 MoCommunicationsrie

UART DIO,SPI,I2C, UART

UART,GPIO DS2411

Batterie 2xAA 2/3A 3x AAA PoLiFlexVoltage 2.7 V 1.8 - 3.6 V 3.2 - 4.5 V 2.2 VRadio TI CC2420

802.15.4TI CC2420802.15.4

TI CC2420 TI CC1100

Frquence (MHz) 2400-2483 2400-2483 2400-2483 315/433/868/915Dbit de donnes(Kb/s)

250 250 500 250

2. Contraintes rseau : communication incertaine : les communications sans l sont en gnral incertaines car despaquets peuvent tre perdus ou endommags cause de la transmission radio. Ce manquede abilit dans la communication constitue un problme additionnel pour les nuds.

collisions et latence : les rseaux sont composs de centaines voire de milliers de capteurs.Cette forte densit a pour eet d'augmenter la probabilit de collision et le temps de latencedes paquets. Contrairement au rseau traditionnel, un paquet peut tre renvoyer suite uneperte de donnes. Dans le cas d'un rseau de capteurs, le manque en nergie limitera le renvoides paquets dans ces conditions.

2.1.3. Modles d'attaquant et vulnrabilits dans un rseau de capteurs

Modles d'attaquant

Les mcanismes de dfense dans un rseau de capteurs ne doivent pas juste tenir en comptede la nature de l'attaque, mais doivent galement tenir compte de la nature de l'attaquant et deses caractristiques. Dans la section 2.4.2, nous prsentons une ontologie d'attaques ainsi que desexemples d'attaques possibles dans un rseau de capteurs. Dirents types de modles d'attaquantsavec direntes motivations peuvent mener une mme attaque, ce qui rend la modlisation d'unattaquant essentielle dans l'tude de la scurit des rseaux de capteurs. La modlisation d'unattaquant dpend du type de l'attaque excuter, de sa situation par rapport au rseau et dunombre d'adversaires utiliss. Dans un rseau de capteurs, un attaquant peut tre classi selonplusieurs critres. La gure 2.3 illustre une proposition de classication des attaquants.

Ainsi, un attaquant peut tre classi selon son intention :

14


"attaquant passif" : ici l'attaquant essaye de collecter des donnes sur le rseau sans aecterson fonctionnement. Par exemple, une coute passive des messages sur le canal sans l.

"attaquant actif" : ici l'attaquant essaye de dtruire le fonctionnement du rseau d'une manirepartielle ou bien totale. Plusieurs attaques, qui seront dtailles dans la section 2.4.1, peuventtre excutes pour atteindre cet objectif.

.

Un attaquant peut tre galement classi selon sa position par rapport au rseau : "attaquant externe" : ici l'attaquant est considr comme un "tranger" par rapport au rseau,il s'agit d'un utilisateur non autoris qui s'introduit depuis l'extrieur du primtre de scuritdu rseau.

"attaquant interne" : ici l'attaquant se manifeste comme une entit lgitime du rseau autorise accder aux ressources fournies par le systme. L'attaquant est ainsi authenti et reconnupar l'ensemble des lments du rseau.

Un attaquant peut tre galement classi selon sa capacit : "attaquant fort" : ici l'attaquant est quip d'extra-ressources par rapport l'ensemble desnuds prsents dans le rseau. Par exemple, un attaquant utilise un PC portable avec unmdium radio sophistiqu.

"attaquant ordinaire" : ici l'attaquant possde les mmes caractristiques que les autres nuds.De ce fait, il n'a aucun avantage par rapport aux nuds lgitimes.

Finalement, un attaquant peut tre mobile ou xe dans le rseau. Notons que la prsence d'unattaquant mobile dans le rseau est plus dicile dtecter que celle d'un attaquant xe, d'o ladirence entre ces deux types d'attaquants.

Figure 2.3.: Classication d'un attaquant dans un rseau de capteurs sans l.

Vulnrabilits

Les contraintes mentionnes dans 2.1.2 engendrent beaucoup de vulnrabilits pour un rseau decapteurs. La caractristique la plus vidente d'un tel rseau est que la communication se passe surun canal sans l (qui est habituellement un canal radio). Un tel canal soure d'un certain nombrede vulnrabilits si on considre la prsence d'un attaquant : le canal peut subir des coutes clandestines : en plaant une antenne radio un endroit appro-pri, un attaquant peut intercepter l'information que la victime transmet ou reoit. L'couteclandestine est employe souvent pour eectuer des attaques passives 1.

les donnes peuvent tremodies : un attaquant peut essayer de modier le contenu du messagechang entre les nuds. C'est le cas des attaques actives. Nous verrons dans la section 2.4.1plusieurs cas d'attaques actives, par exemple l'attaque Sinkhole.

1. une attaque passive (resp. active) est une attaque eectue par un attaquant passif (resp. actif)

15


l'absence de lien physique ou laire facilite l'usurpation d'identits. Un attaquant peut facile-ment se faire passer pour un nud lgitime.

le canal peut tre bloqu (on dit aussi en anglais jammed), an de raliser notamment uneattaque de type dni de service (i.e. DoS) : par la transmission en mme temps que la victimetransmet ou reoit des donnes.

les informations enregistres dans le nud peuvent tre extraites par un attaquant actif quidans ce cas compromet un nud. Il existe des composants dits "tamper-resistant" (c'est dire qui ne peuvent tre compromis par un attaquant externe) mais ces dispositifs restantsrelativement chers, ils ne sont en gnral pas prsents dans les rseaux de capteurs.

2.1.4. Exigences en scurit

Bass sur les vulnrabilits que nous venons de dcrire, nous sommes maintenant en mesure dediscuter les besoins en scurit satisfaire dans un rseau de capteurs sans l. le besoin le plus vident est l'authentication : par exemple, un nud doit savoir et vrier la l-gitimit du nud qui essaye d'tablir une connexion avec lui. Par consquent, l'authenticationest un mcanisme fondamental pour assurer le contrle d'accs dans le rseau.

Le contrle d'accs est la capacit des nuds du rseau (ou bien d'une unit centrale commela station de base) accorder l'accs appropri aux ressources (connectivit, donnes,...) enfonction d'informations sres.

nous avons mentionn que le canal radio est particulirement vulnrable l'coute clandes-tine. Par consquent, la condentialit des informations changes est galement une conditionimportante.

comme le canal radio est galement fortement vulnrable aux attaques actives, l'intgrit desdonnes doit tre convenablement protge. Le nud doit s'assurer que le message n'a pas tmodi en cours de route.

une autre condition que nous avons dj mentionne, est la protection de la vie prive (en anglaisprivacy). Le rseau ne devrait pas indiquer l'endroit des nuds dans le rseau, ni l'identit desautres nuds avec lesquels ils communiquent. Par exemple dans une application de scuritdomotique, les nuds cachs ne doivent pas rvler les positions de leurs voisins de potentielsvoleurs.

la non-rpudiation (garantie par la signature numrique) assure la source d'un paquet. Ainsiun nud ne peut pas nier l'envoi d'un paquet dans le pass.

2.1.5. Applications et scnarios

La dicult de mise en uvre des applications de collecte de donnes partir d'applicationslaires statiques a aid au dveloppement des rseaux de capteurs qui sont tout fait maniables etfaciles installer. Les rseaux de capteurs ont t principalement conus pour des tches de collecteet d'analyse en temps rel de donnes gnralement physiques (temprature, humidit...) rcoltesdans l'environnement courant. Pour cette raison ils sont bien adapts une multitude d'applicationsde contrle environnemental et de surveillance. Les applications populaires incluent le contrle dequalit dans l'agriculture [12], la dtection des feux de forts, l'espionnage militaire, la robotiquedistribue, le contrle de qualit industriel, l'observation d'infrastructures critiques, les btimentsintelligents, la surveillance de tracs, etc. Certaines applications des rseaux de capteurs ncessitentun minimum de scurit vu qu'elles peuvent tre dployes dans des environnements hostiles. Unexemple vident est les applications militaires o l'on prvoit le dploiement des capteurs en zonede guerre. Il a galement t dni un ensemble de scnarios utilisant les rseaux de capteurs :

16

2.2 Primitives cryptographiques utilises dans les rseaux de capteurs

surveillance : la surveillance et savoir la surveillance d'un primtre, d'une maison ou d'un lieupublic (terrain de foot), est l'une des applications les plus dveloppes. Dans de tels scnarios, lesrseaux de capteurs peuvent tre facilement dploys de manire permanente ou sur demande(par exemple, lors d'vnements haut risque) dans un dlai trs bref, faible cot, avecpeu ou pas d'infrastructure de communications, et peuvent galement tre enlevs et rutilissn'importe o ailleurs trs rapidement. Un des exemple est le primtre de scurit bas sur desWSNs eectu le 5 fvrier 2006 lors des "Super Bowl XL championship" Dtroit 2. Dans cesconditions, la scurit contre l'injection ou la modication des donnes ainsi que l'anonymatdoivent tre assurs pour contrer toute attaque possible et protger la destruction du rseau. Ilest clair que dans l'exemple mentionn prcdemment, les supporters dtects par ces systmesessayerons de dtruire tout le systme et de s'enfuir si ils se trouvent dans une zone interdite.Ainsi, cet exemple d'applications prouve la ncessit de dvelopper des protocoles de scuritddis.

applications mdicales : avec la miniaturisation des capteurs, il est aujourd'hui possible de lesintgrer sur ou l'intrieur d'un corps humain. Les capteurs peuvent, par exemple, mesurer latemprature, la pression sanguine, la glycmie ou le rythme cardiaque d'un individu. Dans cesconditions, les contraintes de scurit et de abilit sont trs fortes pour protger la vie privedes patients et tre capable de grer rapidement les risques mdicaux.

rseau vhiculaire : une des applications des rseaux de capteurs est les rseaux vhiculairesqui ont pour but de diminuer le nombre d'accidents de la route. Ceci se fait par la collecte dedonnes par exemple information mto, trac routier, positions des autres vhicules, etc. Laprotection de la vie prive des conducteurs est une donne trs importante prendre en compte.La vracit des donnes transmises est essentielle pour viter des accidents. Ces rseaux peuventtre aussi utiliss pour le contrle des excs de vitesse 3 donc la condentialit des donnes estgalement indispensable.

On peut s'apercevoir que les contraintes ne sont pas de mme nature selon les applications.Les applications de surveillance agricole ncessitent moins de contraintes temporelles que celles desapplications de surveillance d'un primtre qui exige une intervention immdiate. Cette dirence vaengendrer ainsi une dirence au niveau des mcanismes de scurit dploys dans chaque cas. Ainsi,chaque type d'applications va ncessiter dirents types de mcanismes de scurit : agrgationscurise, diusion scurise, etc. Dans notre cas d'tude, on s'est intress plutt des application desurveillance environnementale. Nous proposons d'ailleurs dans la partie III un exemple de mcanismede scurit ddi ce type d'applications.

2.2. Primitives cryptographiques utilises dans les rseaux de

capteurs

2.2.1. Cryptographie Symtrique ou Asymtrique ?

On distingue deux grandes formes de cryptographie permettant de garantir chacune un certainnombre de proprits : la cryptographie symtrique ; la cryptographie asymtrique. Toutes deuxfonctionnent sur le principe de Kerckhos : pour tre sr, l'algorithme doit pouvoir tre divulguet sa scurit ne doit reposer que sur le secret de la cl partage. En outre, il faut aussi que la clsoit susamment longue pour qu'une attaque exhaustive (essai systmatique de toutes les cls) soitbeaucoup trop longue pour tre mene bien. Cela s'appelle la scurit calculatoire.

2. http://www.networkworld.com/news/2006/020206-superbowl-security.html3. http://heberge.lcpc.fr/lavia/GB/indexGB.html

17

http://www.networkworld.com/news/2006/020206-superbowl-security.htmlhttp://heberge.lcpc.fr/lavia/GB/indexGB.html


Texte enclair

Texte enclair

Texte chiffr

Gnrateur de clsymtrique

Canal scuris(authentification et confidentialit)

Canal non scuris

Chiffrement Dchiffrement

Expditeur Rcepteur

Figure 2.4.: Chirement symtrique.

Cryptographie symtrique

La cryptographie symtrique galement dite cl secrte, est la plus ancienne forme de crypto-graphie. Elle ncessite pour fonctionner que les deux parties en prsence est au pralable changesune cl commune connue seulement d'eux.

La cryptographie symtrique permet de garantir la condentialit (via l'utilisation d'algorithmesde chirement), l'intgrit (via l'utilisation de fonctions de hcshage, voir section 2.2.2) et la signaturebipartie via l'utilisation de code d'authentication de messages (voir section 2.2.2). La gure 2.4prsente deux utilisateurs, Alice et Bob, qui souhaitent communiquer de faon condentielle. Pourcela, ils doivent se mettre d'accord sur la cl partage ainsi que sur l'algorithme de chirement employer.

Il existe deux types d'algorithmes de chirement symtrique : Les algorithmes de chirement par blocs : les algorithmes de chirement par blocs sont parmiles algorithmes les plus utiliss dans les systmes cryptographiques. Ils assurent la condentia-lit, mais ils peuvent aussi tre utiliss dans la construction d'autres primitives ou mcanismescomme les chirements ot, les MAC ou les fonctions de hachage. Les algorithmes de chire-ment par bloc (en anglais block cipher) se caractrisent par un dcoupage des donnes en blocsde taille gnralement xe (souvent une puissance de deux comprise entre 64 et 512 bits). Lesblocs sont ensuite chirs les uns aprs les autres selon dirents modes (on peut citer parmiles modes les plus utiliss ECB (Electronic Code Book), OFB (Output Feedback) ou CBC (Ci-pher Block Chaining) [154]). Les deux exemples les plus connus sont le DES (Data EncryptionStandard) [120] et l'AES (Advanced Encryption Standard) nouveau standard depuis 2001 [138].

Les algorithmes de chirement par ot : Les algorithmes de chirement par ot convertissentle texte en clair en texte chir bit par bit (ou petit bloc par petit bloc) en combinant par uneopration bijective (souvent un ou exclusif) le ux de bits du texte en clair avec un ux debits alatoire. Du cot du dchirement, les bits du texte chir sont combins par l'inverse del'opration bijective (souvent le ou exclusif) avec le mme ux alatoire de bits pour retrouverles bits du texte en clair. Pour gnrer le ux de bits alatoire, on utilise un gnrateur pseudo-alatoire initialis avec la cl partage de chirement et une valeur public d'initialisation appelIV qui doit tre dirente pour chacun des messages chirer. Les algorithmes de chirementpar ot sont souvent utiliss en tlcommunications (GSM, Wi,...) car ils ne propagent pas leserreurs de transmission contrairement au chirement par blocs, ils sont rapides et ont souventdes implmentations trs compactes. Des exemples de chirements ot sont les nalistes du

18


Expditeur Rcepteur

Chiffrement dchiffrementTexte enclair

Texte enclair

Textechiffr

Cl publique du rcepteur

Cl prive du rcepteur

Gnrateur de cls Asymtrique

Canal scuris(authentification)

Canal scuris(authentification et confidentialit)

Canal non scuris

Figure 2.5.: Chirement asymtrique.

projet ECRYPT 4, RC4 ou SNOW v2 [58]. Il existe galement un mode particulier appelecompteur (CTR) qui permet d'utiliser un algorithme de chirement par blocs comme un al-gorithme de chirement ot. L'exemple le plus classique utilis par exemple dans WPA estl'AES en mode compteur : AES-CTR.

Cryptographie asymtrique

La cryptographie asymtrique, galement appele cryptographie cl publique, repose sur l'utili-sation de deux cls direntes pour chirer/dchirer, signer/vrier. Ces deux valeurs de cls sontcertes direntes mais relies entre elles : une cl publique (qui est diuse) et une cl prive (gardesecrte), l'une permettant de chirer/signer un message et l'autre de le dchirer/vrier. Ainsi,l'expditeur peut utiliser la cl publique du destinataire pour chirer un message que seul le des-tinataire (en possession de la cl prive) peut dchirer, garantissant la condentialit du contenu.Inversement, l'expditeur peut utiliser sa propre cl prive pour signer un message et le destinatairepeut vrier la signature du message l'aide de la cl publique correspondante ; Ce dernier mca-nisme permet de faire de la signature numrique pour authentier l'auteur d'un message. La gure2.5 illustre le mcanisme d'un chirement fond sur de la cryptographie asymtrique.

La cryptographie asymtrique permet donc d'une part de ne pas pr-changer une cl entre deuxpersonnes souhaitant communiques entre elles, de garantir la condentialit des donnes en chirantet dchirant des messages et de signer des messages vriables par tout le monde an de garantir lanon-rpudiation d'une donne. La construction de primitives de cryptographie asymtrique reposegnralement sur des problmes mathmatiques rputs diciles, c'est dire simple calculer sion possde tous les lments du problme mais dicile si une valeur est maintenue cache. Le plusclbre des problmes diciles utilis en cryptographie asymtrique est la factorisation de grandsnombres entiers qui est la base du cryptosystme RSA.

Nous donnons ici quelques exemples d'algorithmes de chirement cl publique : RSA (Rivest Shamir Adleman) : le principe de RSA est bas sur la dicult de dcomposer ungrand nombre en ses lments premiers. Les tailles de cls de RSA recommandes aujourd'huipour rpondre aux exigences de scurit sont de minimum 1024 bits (taille la fois de la clpublique et de la cl secrte). Notons galement qu'il est possible de construire un algorithmede signature fond sur le mme problme.

ECC (Elliptic Curve Cryptography) : ECC se base sur la dicult d'inverser le logarithme

4. http://www.ecrypt.eu.org/stream/

19

http://www.ecrypt.eu.org/stream/


discret sur une courbe elliptique. Comme pour RSA, la cryptographie fonde sur les courbeselliptiques permet de construire des algorithmes de chirements et des schmas de signature.Un des avantages majeurs de l'utilisation de cette forme de cryptographie est la faible tailledes cls utilises. En eet utiliser une cl de 160 bits dans un algorithme fond sur ECC estquivalente une cl RSA de taille 1024 bits. Donc ce genre d'algorithmes asymtriques attirel'attention des concepteurs de systmes contraints et est galement intressant dans le cadredes rseaux de capteurs sans l. Un exemple d'un tel systme est TinyECC [105]. De coup,ECC exige une puissance de calcul infrieur celle de RSA.

Symtrique vs Asymtrique

Chacune de ces deux formes de cryptographie possde ses propres avantages et inconvnients.Pour le cas des rseaux de capteurs, qui sont des rseaux contraints, la cryptographie symtriqueest souvent privilgie par rapport la cryptographie cl publique pour les deux raisons suivantes :

la vitesse de traitement des donnes est plus importante dans le cas d'un chirement sym-trique, ce qui conduit une consommation nergtique et un temps de calcul beaucoup moinsimportant.

la taille des cls et des paquets chirer ou signer est nettement infrieur pour un mme niveaude scurit dans le cas de la cryptographie symtrique.

Ces deux justications sont cruciales pour un environnement comme un rseau de capteurs. C'estpour cette raison que la majorit de solutions de scurit pour les WSNs se base sur la cryptographiesymtrique. Nanmoins la cryptographie asymtrique prsente quelques avantages qui sont :

Seule la cl secrte a besoin d'tre conserve de manire secrte, ce qui n'est pas le cas dans lecadre de la cryptographie symtrique on chaque couple de nuds doit partager une cl. Dansce dernier cas, les schmas de partage de cls sont donc plus compliqus mettre en uvre.

La cryptographie cl publique permet la gestion de certicats et donc permet de prouver lesidentits des personnes en prsence contrairement la cryptographie cl secrte.

La cryptographie cl publique assure la non-rpudiation grce aux schmas de signature tandisque la cryptographie symtrique ne peut assurer qu'une non-rpudiation bipartie lorsque desMACs sont utiliss avec une cl partage.

2.2.2. Fonction de hachage et Code d'authentication de message

Fonction de hachage

Une fonction de hachage cryptographique consiste en gnral l'application d'une fonction decompression sens unique sur un bloc de donnes de taille quelconque pour gnrer une sortie detaille xe n bits. La valeur n reprsente le degr de scurit de la fonction de hachage. La fonctionde hachage doit tre en gnral facile calculer et connue publiquement mais trs dicile inverser.Les fonctions de hachage sont gnralement utilises comme premire tape pour vrier l'intgritd'un message ou bien pour gnrer des signatures numriques. En eet, imaginez que vous sou-haitiez envoyer un chier par mail, mais que ce chier est de taille importante. Vous souhaitez deplus rassurer le destinataire sur la provenance de ce chier (vous) et sur son contenu. Plutt quede chirer votre chier directement avec votre cl prive, vous allez hacher votre chier et chirerle condens obtenu avec votre cl prive. Vous enverrez ensuite votre chier original ainsi que lecondens sign (la signature) votre destinataire. Celui-ci va, lors de la rception, vrier l'exacti-tude de la signature en vriant la signature du hach et la validit des donnes.

20


Une fonction de hachage cryptographique doit rpondre aux trois critres suivants :

Sens unique ou primage rsistant : quand la valeur hache H = h(M) pour un messageM est donne, il est dicile de retrouver le message M ;

Rsistante aux collisions (ou 2nd primage rsistant) : partir d'un message M , de sonhach H = h(M) et du code de la fonction de hachage, il est dicile de trouver un messageM tel que h(M ) = h(M) ;

Forte rsistance aux collisions : il est dicile de trouver deux messages distincts M et M

tel que h(M) = h(M ).

Des exemples de fonctions de hachage sont la famille MD comme MD2, MD4 et MD5 qui sontaujourd'hui toutes attaqus, la famille SHA comme SHA0, SHA1 et d'autres fonctions de hachagecomme HAVAL et Whirlpool 5. Prenons par exemple le cas de SHA-1, il gnre une sortie de taille160 bits avec une probabilit de collisions trs faible de l'ordre de 1/280. Par contre SHA-1 a tattaque avec succs et il a t montr qu'une collision peut tre gnrer en utilisant seulement 263

oprations l'aide d'une approche de type brute force [166]. Dans ce contexte, le NIST (NationalInstitute of Standards and Technology) a lanc un appel d'ore en Octobre 2008 pour choisir unnouveau standard qui sera appel SHA3 pour les fonctions de hachage cryptographiques. La com-ptition SHA3 se droule sur 5 ans au total et n 2012, une proposition manant de la communautcryptographique sera choisi comme standard aprs une phase nale ne laissant que 5 candidats.Aujourd'hui, nous sommes dans la phase 2 du concours SHA-3 avec 14 candidats en lice 6.

Codes d'authentication de message ou MACs

Un code d'authentication de message ou MAC peut tre vu comme une signature bipartie encryptographie symtrique : il s'agit de garantir d'une part l'intgrit d'un message M envoy etd'autre part de vrier l'identit de l'metteur pour la personne possdant la cl symtrique partage.En eet, un MAC consiste utiliser une fonction de hachage cryptographique combine unecl secrte connue seulement par les deux entits changeant le message. Un MAC est donc unalgorithme qui prend en entre un message M , une cl K et qui produit un condens ou ce qu'onappelle un tag : tag = MACK(M). L'algorithme de vrication pour le receveur consiste vrier sipour le message M reu on a bien tag? = MACK(M ). Ainsi, si la relation est vrie, le receveura bien la preuve que le message n'a pas t modi au cours de la transmission et que l'metteurdu message est bien celui qui connat galement K.

La scurit d'un MAC dpend essentiellement de la scurit de la fonction de hachage utilis etdu fait que la cl partage ne soit pas compromise. Un exemple de MAC le plus utilis est le HMAC[139]. HMAC peut utiliser n'importe quel fonction de hachage, comme MD5 ou SHA-1 ; le nom del'algorithme rsultant est HMAC-MD5 ou HMAC-SHA-1. La fonction HMAC est dnie commesuit :

HMACk(M) = h(k opad)||h((k ipad)||M))

o : "||" dsigne une concatnation et "" un ou exclusif ipad et opad, chacune de la taille d'un bloc, sont dnies par : ipad = 0x363636...3636 etopad = 0x5c5c5c...5c5c. Donc, par exemple, si la taille de bloc de la fonction de hachage est

5. http://www.larc.usp.br/~pbarreto/WhirlpoolPage.html6. http://csrc.nist.gov/groups/ST/hash/sha-3/Round2/submissions_rnd2.html

21

http://www.larc.usp.br/~pbarreto/WhirlpoolPage.htmlhttp://csrc.nist.gov/groups/ST/hash/sha-3/Round2/submissions_rnd2.html


512, ipad et opad sont 64 rptitions des octets, respectivement, 0x36 et 0x5c.La construction et l'analyse des HMACs ont t publies pour la premire fois en 1996 par

Mihir Bellare, Ran Canetti, et Hugo Krawczyk [14]. FIPS PUB 198 [139] gnralise et standardisel'utilisation des HMACs. HMAC-SHA-1 et HMAC-MD5 sont utiliss par exemple dans les protocolesIPsec et TLS. On peut galement construire un MAC en utilisant un chirement par blocs commecela a t dni par exemple pour le mode particulier CBC-MAC [137].

2.2.3. Fonctions de hachage universelles

Une fonction de hachage universelle (aussi appele fonction de hachage avec cl) est un ensemblede fonctions paramtr par une valeur k K qu'on appelle cl et qui doit vrier que la probabilitde collision soit faible pour une distribution alatoire des valeurs de cls. Cette notion a t introduitepar Carter et Wegman dans [30]. Les fonctions de hachage universelles prsentent quelques propritsqui sont dcrites dans les deux dnitions qui suivent. Introduisons tout d'abord une (`, n)-familleH de fonctions dnie de 2` dans 2n (avec ` > n) et un ensemble de cls K susamment grand.

Dnition 1. Une fonction de hachage universelle f paramtre par la valeur k K est dite -presque universelle si sa probabilit de collision pour une distribution alatoire de la valeur k surl'ensemble K (i.e. Prk(fk(m) = fk(m)),k R K) est infrieure .

Dnition 2. Une fonction de hachage universelle f est dite -linaire si m et m, fk(mm) =fk(m) fk(m). On dit galement que f est -presque XOR universelle (-AXU) si la proba-bilit direntielle pour une distribution uniforme de la valeur k sur K est borne par , i.e.(m,m, a), P rk(fk(m) fk(m) = a) .

Dans [90], Krawczyk a montr que de telles fonctions de hachage permettent de construire unschma de MAC scuris de la manire suivante : considrons deux parties changeant une clsecrte k, pour changer un message M de taille ` bits, l'expditeur envoie M ainsi que le tagtag = fk(M) r. Cette empreinte est construite par la combinaison entre la valeur hache dumessage M l'aide d'une fonction de hachage universelle fk et une "suite" alatoire r gnrepar exemple l'aide d'un algorithme de chirement ot. La valeur de r doit tre renouvele chaque nouvel envoi. A la rception, il sut de recalculer le MAC correspondant au message Mgrce la cl k et de vrier la consistance de la valeur tag reu pour accepter ou non le messageM . Krawczyk a propos aussi dans le mme article des exemples de construction de fonctions dehachage universelles qui seront dtailles dans la partie III chapitre 6.

2.2.4. Chanes de hachage

Une chane de hachage est gnre par applications successives d'une fonction de hachage h surune entre M . Une chane de hachage est dnie comme suit :

{xi = h(xi+1) i {0, , n 1}xn = M, ou M est une valeur initiale

Le principe est le suivant : connaissant la valeur de xi, on peut "descendre" la chane de ha-chs, c'est dire calculer xi1, , x0 mais on ne peut pas remonter la chane, savoir calculer

22

2.3 Protocoles de scurit dans les rseaux de capteurs

xi+1, , xn car la fonction de hachage utilise est sens unique. La gure 2.6 illustre un exemplede chane de hachage de taille 3.

Figure 2.6.: Une chaine de hachage de taille 3.

L'utilisation des lments d'une chane de hachage pour assurer l'authentication est d'abordintroduite par Lamport dans [98]. Lamport propose l'utilisation rpte d'une fonction de hachage,pour gnrer une chane de valeurs permettant plusieurs authentications d'un utilisateur. Dansles schmas de chanes de hachage, une fonction de hachage h(.) est applique N fois une valeuralatoire xn, an d'obtenir la valeur nale x0. Chaque valeur de hachage de la chane peut garantirune seule authentication de l'utilisateur. L'utilisateur envoie la valeur x1 pour la premire authen-tication, x2 pour la deuxime authentication et ainsi de suite. Le rcepteur applique une seulefois la fonction de hachage pour vrier la valeur de hachage reue. Puisque la fonction de hachageest sens unique, seul l'utilisateur qui a cr la chane de hachage peut gnrer la valeur de hachagequi prcde la valeur envoye. L'utilisateur peut ne pas sauvegarder toutes les valeurs de la chanede hachage, il sauvegarde seulement la premire valeur xn (la racine) an de pouvoir reconstruiretoute la chane de hachage. Cette proprit est idale pour les dispositifs qui sont caractriss parune capacit limite de stockage tels que des nuds mobiles ou des capteurs.

2.3. Protocoles de scurit dans les rseaux de capteurs

Nous prsentons dans cette section quelques exemples de mcanismes de scurit ddis auxrseaux de capteurs. Il existe dans la littrature beaucoup de solutions ddies des problmes quiont t tudis durant cette thse. Pour ces tats de l'art particuliers, nous renvoyons le lecteur chaque dbut de chapitre en fonction de la problmatique vis. Nous souhaitons cependant iciintroduire deux des principaux mcanismes qui sont utiliss pour scuriser les rseaux de capteurs savoir : les mcanismes de gestion de cls et les protocoles de scurit permettant de scuriser leroutage.

2.3.1. Mcanismes de gestion de cls

La scurisation des oprations au sein d'un rseau de capteurs ncessite la protection des messageschangs entre les nuds. Intuitivement, chaque message doit tre prouv intgre et doit tre identiet ventuellement chir. Ces trois proprits cryptographiques doivent galement tre vries parles autres types de messages comme les paquets de contrle. Comme nous l'avons dj expliqudans la section 2.2.1, l'utilisation de la cryptographie symtrique est prfrable. Ainsi un nouveauproblme merge dans ce cas et concerne la gestion des cls partages dans le rseau d'une partentre deux nuds voisins et entre chacun des nuds et la station de base.

Une solution commune pour ce problme consiste utiliser une mthode de pr-distributiondans laquelle les cls sont charges dans les nuds avant le dploiement. La gure 2.7 illustre unetaxonomie des solutions de gestion de cls base sur la prdistribution. Dans cette taxonomie, lesprotocoles sont classs dans plusieurs catgories selon la technique utilise pour la construction descls partages ainsi que la topologie du rseau utilise. On peut distinguer 4 catgories :

23


Figure 2.7.: Taxonomie des protocoles de gestion de cls.

les protocoles dterministes (qui utilisent une cl matre pour driver les cls entre paires decapteurs) ;

les protocoles probabilistes (qui supposent que deux nuds voisins vont partager une cl avecune certaine probabilit) ;

les protocoles gographiques (qui utilisent des informations de positions gographiques pourconstruire les cls partages) ;

les protocoles t-secure (qui rsistent la compromission de t nuds dans le rseau).Ces quatre catgories seront tudies avec plus de dtails dans la partie III chapitre 5.

2.3.2. Exemples de protocoles de routage scuriss

La scurit des protocoles de routage dans les rseaux de capteurs n'a pas t tudie durant cettethse. Nanmoins, une des hypothses souvent utilise dans la suite de ces travaux est que le rseaude capteurs considr dispose d'un protocole de routage scuris. Plusieurs propositions ont tfaites pour scuriser dirents algorithmes de routage, essentiellement les algorithmes de routage la demande dans les rseaux ad-hoc ou les rseaux de capteurs. On peut citer SRP (Secure RoutingProtocol) dcrit dans [126] qui permet de garantir une acquisition correcte de l'information detopologie logique ; ARIADNE [79] qui est une proposition de scurisation du protocole de routageDSR et qui sera dtaill dans la suite ; ARAN [146] qui utilise un serveur de certicats ; SEAD [77]qui permet de scuriser le protocole de routage DSDV (Destination Sequenced Distance Vector) enutilisant de l'authentication ; SPINS [131] compos de deux protocoles -TESLA et SNEP. Nousavons choisi dans la suite de cette section de dtailler le protocole ARIADNE qui serait donc uncandidat potentiel intgrer dans toutes nos propositions.

Le protocole ARIADNE

Le protocole ARIADNE [79] est une proposition de scurisation du protocole "Routage SourceDynamique" (ou en anglais Dynamic Source Routing (DSR)) [124], qui est bas sur l'utilisation dela technique "routage source". Dans cette technique : la source des donnes dtermine la squencecomplte des nuds travers lesquels les paquets de donnes seront envoys.

Le protocole DSR [124] est un protocole de routage pour rseaux mobiles et ad hoc standardispar l'IETF 7 et qui peut tre utilis dans les rseaux de capteurs [175]. DSR est un protocole ractif,c'est--dire que le processus de dcouverte des routes d'un nud source une destination est mis enuvre uniquement au moment o la source en fait la demande. Il se distingue en cela des protocoles

7. The Internet Engineering Task Force http://www.ietf.org/

24

http://www.ietf.org/


de routage pro-actif qui vont maintenir des informations de routage mme en l'absence de trac. Leprotocole DSR est compos de deux mcanismes :

le mcanisme de dcouverte de routes : un nud source S va inonder le rseau avec unpaquet de requte de route RREQ. Chaque paquet contient un champ "route", initialementvide. A chaque retransmission, un nud ajoute son identit dans le champ. Quand le nuddestination D reoit ce paquet RREQ (et ces multiples copies), il renvoie un paquet de rponseRREP (par le chemin le plus court) contenant le champ de la route parcourue par le paquetRREQ. Les nuds intermdiaires, qui relaient ces messages RREQ et RREP , mettent jourleur table de routage vers le nud D ou S.

le mcanisme de maintenance de routes : grce ce mcanisme un nud source estcapable de dtecter si une route vers un nud destination D n'est plus valide en raison de lacassure d'un lien. Quand ce mcanisme indique qu'une route n'est plus valide, le nud sourceutilise une autre route vers D s'il en possde une autre ou il lance une dcouverte de route.Chaque nud retransmetteur utilisant une route doit se faire conrmer la rception du paquetde donnes par le nud suivant. S'il ne reoit pas de conrmation, il met un message d'erreurde route RERR vers le nud source.

An d'viter que des nuds malveillants soient prsents au moment mme de la diusion desrequtes de dcouverte de chemins (et pas seulement au retour des rponses), il faut pouvoir au-thentier les adresses des nuds intermdiaires accumuls dans ces requtes. Hu et al. proposentdonc le protocole ractif ARIADNE [79] qui requiert de chaque nud intermdiaire qu'il signe lenouveau paquet avant de le propager. Ainsi lorsque cette signature n'est pas vrie dans la requteou dans la rponse correspondante, cette dernire est dtruite.

Bien entendu, comme nous l'avons dj explique ci-dessus, l'utilisation du chirement cl pu-blique est trs coteux et la signature par MAC requiert l'tablissement prliminaire de cls dechirement symtriques uniques entre toute paire de nuds dans le rseau. Les auteurs proposentalors l'utilisation du mcanisme TESLA [129], un procd qui permet l'authentication de la sourced'un message dius condition que les nuds aient une synchronisation minimale de leurs hor-loges. Le fonctionnement du protocole permet la destination (resp. la source) de vrier si desrequtes (resp. des rponses) ont t fausses par un nud intermdiaire et de les dtruire le caschant.

Les ruptures de liens sont signales par le nud en amont qui renvoie une notication vers lasource en utilisant le prxe du chemin inclus dans le paquet qui a provoqu l'erreur. Tous lesnuds qui traitent ce message (et fortiori la source) authentient son metteur an de prendreles mesures qui s'imposent pour invalider le chemin. Dans ce cas, un message de type RERR estenvoy au nud destination an d'eacer le chemin du "route cache".

Le protocole TESLA [129] permet d'authentier les messages avec un MAC dpendant d'une clsecrte qui n'est divulgue par l'metteur du message qu'aprs un dlai d'attente . La valeur estcalcule de manire ce qu'on soit sr que le destinataire a reu le message avant la divulgation dela cl, cette condition garantie l'intgrit du message. Le temps ne doit pas tre trop importantpour limiter les latences dans le rseau, en eet un destinataire doit attendre la divulgation de lacl secrte avant de pouvoir eectivement traiter un message. La cl secrte utilise pour le MACest issue d'une chane de cls. Un lment de la chane ki est calcul de la manire suivante :

ki = h(ki+1)

o h est une fonction de hachage sens unique. L'lment initial kn est choisi par l'metteur.

25


Celui-ci va utiliser ces cls par ordre croissant c'est dire en commenant par k1. En rception, ledestinataire pourra vrier la relation suivante :

ki1 = h(ki)

o ki est la dernire cl reue et ki1 correspond la cl prcdente. Cette condition assure quela cl ki fasse bien partie de la chane de cls de l'metteur, ce qui assure, en plus de l'intgrit,la proprit d'authentication du paquet. Il est noter que ce processus doit tre initialis parl'authentication du premier paquet mis l'aide d'une signature numrique.

On peut donc rsumer le fonctionnement gnral d'ARIADNE de la manire suivante :

1. La source S calcule, grce un MAC et la cl secrte KS,D partage entre lui-mme etla destination D, une signature des donnes de routage envoyer hS = MACKS,D(requte).La requte contient entre autre la dure ti correspondant la date suppose d'arrive ladestination.

2. Chaque intermdiaire X calcule le hach de son adresse concatne cette quantit hX =H(IDX , hY ), ainsi que sa propre signature MX = MACKX,ti (requte||route parcourue) enutilisant comme cl KX,ti , l'lment relatif l'instant ti dans la chane fournit par TESLA.

3. La destination vrie si la relation suivante de la requte est vrie :

hY = H(IDY , H(IDX , ...MACKS,D(requte...))...).

Elle labore alors une rponse, la signe avec MD = MACKS,D(rponse||route complte) etl'envoie la source par le chemin contenu dans le message.

4. Chaque intermdiaire ajoute au message la cl KX,ti qu'il a prcdemment utilis.

5. La source vrie que chaque cl KX,ti est valide, si oui que la signature de la destination MDest valide, puis si chaque signature MX est valide.

ARIADNE garantit qu'une information de routage modie par un nud malveillant est rejete.Un nud ne peut en particulier pas dtourner un trac vers lui s'il n'est pas sur le chemin optimal,ni crer de fausses routes. Par ailleurs une scurisation des messages d'erreur est galement eectue.

2.3.3. Mcanisme d'agrgation scurise

Le but d'un rseau de capteurs sans l est de collecter et de transmettre des donnes physiquescaptes par les nuds vers un ou plusieurs points de collecte (qui pourrait tre la station de base),et ce, de faon autonome. Comme dj explique dans 2.1.2, les nuds capteurs composants le rseaupossdent gnralement de faibles capacits de calcul, de mmoire et d'nergie, l'accs au mdiumradio tant souvent l'lment le plus coteux. Dans ce qui suit, nous considrons des applicationso les nuds envoient les donnes vers la station de base en utilisant une approche multisaut.Dans ce type de modle, l'opration la plus coteuse est celle d'envoi des paquets d'informations.Ainsi, diminuer le nombre de bits transmis an d'augmenter la dure de vie du rseau est un dpermanent pour ce type de rseau. Une approche rpandue consiste agrger les paquets lors deleurs acheminements vers la station de base. L'agrgation des donnes permet de rduire de faonsignicative la quantit de donnes changes dans le rseau (il sut par exemple pour chaque nudparent de faire les moyennes des valeurs reues des nuds ls). Un exemple trs simple est illustredans la gure 2.8, o le nud k agrge les donnes reues de ces ls avec sa propre valeur avant de

26


lui-mme l'envoyer vers un prochain nud et ainsi de suite jusqu' la station de base. Si l'agrgationreste un puissant outil pour conomiser de l'nergie, elle doit tre utilise avec prcaution. Comme lescapteurs peuvent tre dploys dans un environnement hostile, l'insertion d'attaquants est facile etpeut inuencer les rsultats des fonctions d'agrgations [161]. Dans ce contexte, la scurit reprsenteun problme critique. Ainsi, la condentialit, l'intgrit et l'origine des donnes agrges doiventtre prserves et vries. Donc le problme qui se pose ici est comment arriver agrger lesfonctions cryptographiques an de s'assurer de la validit des donnes transmises la station debase.

Station de base

K

Figure 2.8.: Mcanisme d'agrgation pour un rseau de capteurs.

Si l'on souhaite garder la condentialit des donnes an que seule la station de base ait connais-sance des valeurs remontes par chaque nud, il s'agit alors d'utiliser des mcanismes de cryptogra-phie ddis pour atteindre un certain niveau de scurit dans le rseau. Plusieurs techniques ont tproposes an de s'assurer de la validit des donnes agrges : [136] et [43] proposent l'utilisationd'arbres de Merkle (i.e. arbre de hachage) o les valeurs transmises reprsentent les feuilles de cetarbre dont le sommet principal reprsente la station de base qui sera capable de vrier toutes lesvaleurs agrges, [176] et [75] sont fonds sur l'utilisation de MAC et de -TESLA dans un arbrereprsentant le rseau et [34] propose un mcanisme d'agrgation des donnes chires fond sur lesproprits d'homomorphismes additifs des algorithmes de chirements ot. Ainsi, la condentia-lit de bout en bout des donnes dan

quelques propositions de solutions pour la sécurité des...

Documents