Les problématiques de sécurité dans les réseaux ad hoc

30/08/2017
Publication REE REE 2006-6
OAI : oai:www.see.asso.fr:1301:2006-6:19707
DOI : You do not have permission to access embedded form.

Résumé

Les problématiques de sécurité dans les réseaux ad hoc

Métriques

11
4
2.17 Mo
 application/pdf
bitcache://eab58fb77b7b37fa85658f206096d1108ba8df78

Licence

Creative Commons Aucune (Tous droits réservés)
<resource  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                xmlns="http://datacite.org/schema/kernel-4"
                xsi:schemaLocation="http://datacite.org/schema/kernel-4 http://schema.datacite.org/meta/kernel-4/metadata.xsd">
        <identifier identifierType="DOI">10.23723/1301:2006-6/19707</identifier><creators><creator><creatorName>Christophe Bidan</creatorName></creator><creator><creatorName>Jérôme Lebegue</creatorName></creator><creator><creatorName>Bernard Jouga</creatorName></creator></creators><titles>
            <title>Les problématiques de sécurité dans les réseaux ad hoc</title></titles>
        <publisher>SEE</publisher>
        <publicationYear>2017</publicationYear>
        <resourceType resourceTypeGeneral="Text">Text</resourceType><dates>
	    <date dateType="Created">Wed 30 Aug 2017</date>
	    <date dateType="Updated">Wed 30 Aug 2017</date>
            <date dateType="Submitted">Sat 17 Feb 2018</date>
	</dates>
        <alternateIdentifiers>
	    <alternateIdentifier alternateIdentifierType="bitstream">eab58fb77b7b37fa85658f206096d1108ba8df78</alternateIdentifier>
	</alternateIdentifiers>
        <formats>
	    <format>application/pdf</format>
	</formats>
	<version>33479</version>
        <descriptions>
            <description descriptionType="Abstract"></description>
        </descriptions>
    </resource>
.

Dossier RISQUES ET SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES À COMPOSANTE LOGICIELLE (Iërepartie) Les problématiques 01 m'Or de sécurité dans les réseaux ad hoc Mots clés Sécurité, Réseauadhoc, Authentification, Réputation Jérôme LEBEGUE, Christophe BIDAN et Bernard JOUGA Supélec - Equipe SSIR La sécurité des réseaux est devenue en quelques années un aspect primordial dans leur déploiement. Cette omniprésence d'Internet (et des réseaux en général) rend la question de la sécurité cruciale. C'est pourquoi lorsque l'on s'intéresse au futur des réseaux sans filon ne peut éviter cette question. Cet article va donc faire l'inventaire des problèmes et des solutions que l'on peut y apporter pour les nouveaux réseaux sans fil que sont les réseaux ad hoc. 1. Introduction Les réseaux mobiles ad hoc ou MANET (Mobile AD hoc NETworks [1]) sont des réseaux sans fil, sans infra- structure existante et avec un contrôle réparti. La topolo- gie de ces réseaux évolue au fur et à mesure que les noeuds se déplacent et rejoignent ou quittent le réseau. Chaque noeud du réseau fait à la fois office de noeud ter- minal et de point de routage. Même si ce type de réseau peut fonctionner sur n'importe quelle technologie réseau sans fil, elle est actuellement principalement déployée sur des technologies WIFI, de par leur large disponibilité et le faible coût des équipements. Nous avons donc affaire à des réseaux pouvant fonc- tionner soit seuls de façon autonome, soit connectés avec un réseau fixe par le biais de passerelles. Du fait de l'ab- sence d'infrastructure, le déploiement d'un réseau ad hoc est extrêmement rapide et facile. Le simple fait de mettre différents noeuds à portée radio les uns des autres va entraîner l'apparition spontanée d'un réseau (d'où le nom de réseaux spontanés parfois donné aux réseaux ad hoc). Ces avantages permettent aux réseaux ad hoc de connaître un bel essor et, surtout, les rendent très adaptés à un certain nombre de situations où le déploiement d'une infrastructure serait trop long, trop coûteux ou tout sim- plement impossible. Les utilisations civiles les plus évidentes sont celles de déploiements lors de réunions, séminaires... mais éga- ESSENTIEL SYNOPSIS Ces dernièresannéesont vu le développement des solutions de réseauxsansfil. Aujourd'hui,celles-ciservent à étendre la portée des réseauxfilaires et ne sont pas utilisées à créer un réseau autonome.Pourtant,des technologiesrépondantà ce besoinexis- tent et sont actuellement en plein développement. Ces réseaux d'un nouveautype, appelésréseauxad hoc, présentent un intérêt à la fois civil et militaire compte tenu de leur mode de fonctionne- ment.Aprèsen avoirprésentéles principeset les contextesd'em- ploi possibles,nousallonsnousattacherplus particulièrementaux problèmesde sécurité de ces réseauxen les comparantavecles réseauxfilairesclassiques.Nousmettrons en avantce qui permet- trait d'en assurer une bonne sécurité tout en énonçant les contraintesqui rendent ce travaildifficile. Wireless networking is developing for several years ago. But nowadaysthis kind of nerwork is only useto extendthe reach of wired networks and not to achieve an autonomous one. Technologies to buildsuch networks are actuallyin development. Thisnew kindof networks, calledad hoc networks,are interesting for both their military and civilianapplications.After a short presen- tation of the principalsof ad hoc networks andthe possibleuses, we will emphasis the security problems by making comparisons between wireless and wired networks.We will show the way to achieve a good security while discussing the condtraints that makethis hard REE W 6/7 Jtiiii/jtiillet 2006 Les problématiques de sécurité dans es réseaux ad hoc lement lors de catastrophes par les services de secours (pour pouvoir assurer une communication simple, effi- cace et très vite déployée entre tous les acteurs). Au-delà des utilisations civiles, il y a évidemment des applications militaires, par exemple le déploiement de réseaux de sen- seurs ou l'utilisation sur le champ de bataille. Il est important de noter également que ce type de réseau est à la base du fonctionnement des mesh networks (réseaux maillés), qui sont en fait des réseaux ad hoc avec quel- ques points fixes fournissant bien souvent une connecti- vité vers l'extérieur (Internet). Des réseaux de ce type sont actuellement déployés bénévolement partout dans le monde. En France, les villes disposant d'associations Wireless voient parfois le déploiement de ce genre de réseau (plus d'informations sur Internet et sur le site de la fédération France Wireless en particulier). Compte tenu de leur fonctionnement particulier, les réseaux ad hoc emploient des protocoles de routage spé- cifiques, et un des gros problèmes de la majorité de ces protocoles de routage vient du fait qu'ils ont été conçus pour être utilisés dans un environnement où tous les noeuds coopèrent avec des relations de confiance. Même si la sécurité est aujourd'hui prise en compte, en modi- fiant des propositions existantes ou bien par de nouvelles solutions, la plupart des travaux restent du domaine pure- ment expérimental. La principale différence entre un réseau ad hoc et un réseau filaire se situe au niveau du rôle joué par les noeuds. Dans un réseau filaire, on a deux catégories d'entités : les terminaux et ceux en charge du routage. Dans un réseau ad hoc cette distinction n'existe pas, toutes les machines par- ticipent activement au routage. Dès lors tout un chacun dis- pose d'un rôle-clé dans le réseau et, si nous ne nous assu- rons pas qu'il est de confiance et réalise correctement sa tâche, le réseau peut devenir inopérant. Ce document se divise de la façon suivante. Nous com- mencerons par présenter rapidement les principes du rou- tage au sein d'un réseau ad hoc. Nous nous intéresserons ensuite à deux problèmes de sécurité (l'écoute et l'inter- ception) dans les deux contextes (filaire et ad hoc), afin de tirer les conclusions qui s'imposent concernant leur influence sur la sécurité. A partir de ces conclusions, nous présenterons deux méthodes pour lutter contre ces problè- mes et montrerons la nécessité de les employer conjointe- ment. Tous ces protocoles peuvent être classés en deux familles selon la méthode de mise à jour de la table de routage. Dans le cadre de la première famille dite des pro- tocoles proactifs, chaque terminal va maintenir, par échange régulier avec ses voisins, une table de routage à jour. On peut citer comme protocoles parmi les plus connus OLSR [2] (Optimized Link State Routing) et TBRPF (Topology Broadcast based on Reverse Path F orwarding). Par opposition, dans un réseau employant un proto- cole de routage réactif, chaque noeud va effectuer un rou- tage à la demande. Quand un noeud veut communiquer avec un autre, il envoie des requêtes de demande de route sur l'ensemble du réseau et attend une réponse du desti- nataire, réponse contenant le chemin à emprunter. On peut donner comme exemple les protocoles AODV (Ad hoc On Demand Distance Vector) et DSR (Direct Source Routing). Chacune de ces familles présente un défaut. L'emploi d'un protocole proactif entraîne un surcoût en bande pas- sante, dû à l'échange régulier de messages pour maintenir une table de routage à jour. Les protocoles réactifs en revanche induisent un temps de latence, dû à la nécessité de découvrir la route. 2. Le routage dans les réseaux ad hoc Compte tenu de leurs spécificités, les réseaux ad hoc ne peuvent reposer sur les mêmes protocoles de routage que les réseaux filaires. Pour cette raison, des protocoles de routage spécifiques ont donc été créés (reprenant et étendant parfois des protocoles des réseaux filaires). 3. Ecoute passive et détournement de trafic L'écoute passive d'un réseau est souvent une des pre- mières actions de l'attaquant pour essayer d'obtenir un maximum d'informations sur sa cible. En revanche, l'in- terception est l'attaque qui offre le plus de possibilités d'actions malicieuses. En effet, quand un attaquant inter- cepte le trafic entre deux autres machines, celui-ci peut faire tout ce qu'il veut. Il peut bloquer le trafic (trou noir), ou bien l'altérer pour en modifier la signification, voire même s'installer au milieu pour réaliser une attaque de type man in the middle. Nous allons donc étudier ces deux attaques dans le contexte filaire puis ad hoc, avant de tirer les conclusions de leur impact. 3.1. Dans un réseau filaire 3. 1. 1.Ecoute Les possibilités d'écoute sur un réseau filaire sont connues depuis longtemps. Pour pouvoir réaliser une écoute, la machine de l'attaquant devra se trouver sur le même réseau que la machine qu'il souhaite écouter, ou devra pouvoir se trouver à un moment sur le trajet des messages de celle-ci (rôle de routeur). Les écoutes sur les réseaux classiques (de type Ethernet) sont très faciles dans le cadre de réseaux reposant sur des hubs. Elles se compli- quent de nos jours avec l'utilisation courante de commu- tateurs (switchs) ou de routeurs, et demande alors une REE N 6/7 Juin/juillet 2006 Dossier RISQUES ET SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES A COMPOSANTE LOGICIELLE (iele partie) intervention de l'attaquant pour parvenir à voir le trafic. La principale défense d'un réseau filaire (et bien sou- vent la seule utilisée) repose sur l'obligation pour l'atta- quant d'être connecté au réseau pour pouvoir l'écouter. Cette sécurité est mise à mal par le déploiement de plus en plus fréquent d'accès sans fil (WIFI [3] par exemple). 3.1.2. Détoumement Si une interception est une attaque puissante, elle est loin d'être simple dans un réseau filaire. Il faut en effet que l'attaquant soit dans une position de routeur entre les machines communicantes. Cette position est a priori réservée à un ensemble de matériels connus, et qui sont souvent les plus protégés. Il en résulte que soit l'attaquant arrive à prendre la main sur une machine participant au routage, soit il doit parvenir à se faire lui-même considé- rer comme routeur. 3.2. Dans un réseau ad hoc 3.2. 1. Ecoute L'écoute d'un réseau ad hoc est très simple, l'ensem- ble du trafic passant dans l'air. Il suffit à l'attaquant de se mettre en écoute. Il reçoit ainsi l'ensemble des messages émis par les noeuds présents dans la zone de couverture de l'attaquant. Même si l'écoute est plus simple, elle pré- sente le désavantage de ne capturer que le trafic qui se trouve à portée radio et non son ensemble. Pour pouvoir écouter l'ensemble du réseau, le noeud malicieux va devoir intervenir sur le protocole de routage pour s'assurer que le trafic qu'il souhaite surveiller passe bien par lui. Il pourra aussi jouer sur la localisation et s'approcher des noeuds qu'il souhaite surveiller, pour en capturer le trafic sans aucune intervention. 3.2.2. Détournement La principale difficulté rencontrée dans les réseaux filaires (devenir routeur) disparaît dans les réseaux ad hoc où tous les noeuds peuvent jouer le rôle de routeur. En effet pour qu'un réseau ad hoc fonctionne, il faut que tous ses noeuds participent au routage. Il en résulte que, par construction, l'attaquant est en position de routeur. Il ne lui reste alors plus qu'à s'assurer que le trafic qu'il souhaite intercepter passe par lui. Pour cela, il va pouvoir employer différentes techniques qui vont dépendre de la famille du protocole, et qui vont nécessiter plus ou moins de moyens pour être mises en oeuvre. 3.3. Comparaison des deux situations Hormis la facilité d'écoute liée au medium employé pour la transmission des données dans les réseaux ad hoc, les problèmes d'écoute des deux types de déploiement sont à peu près équivalents. De plus, le problème de la confidentialité des échanges peut être résolu par les mêmes méthodes (la plus évidente et sûrement une des plus efficaces étant le chiffrement point à point). On peut en déduire que l'écoute n'est pas un problème plus criti- que dans les réseaux ad hoc que dans les réseaux filaires. Le cas des détournements de trafic est en revanche différent dans les deux situations. Comme dit précédem- ment, intercepter du trafic dans un réseau filaire est loin d'être trivial. A l'inverse, dans un réseau ad hoc, le noeud attaquant est déjà en bonne position pour réaliser cette attaque. C'est à cette différence que nous devons la plus grande vulnérabilité des réseaux ad hoc. Pour illustrer cette faiblesse, nous allons maintenant présenter différen- tes attaques d'interception. 4. Les méthodes d'interception dans un réseau ad hoc 4.1. Position géographique Cette méthode est la plus évidente. Il suffit en effet que l'attaquant soit sur la route entre les deux noeuds pour que le trafic le traverse. Les réseaux ad hoc étant consti- tués de terminaux mobiles, l'attaquant aura alors juste à se placer entre ses deux cibles pour pouvoir intercepter le trafic. La figure 1 montre comment un noeud malveillant peut détourner du trafic en se positionnant correctement (et en devenant donc plus attractif pour le routage). oeec,o o 1 > o 0 espa Noeudauaouant DêD,lel) efll Lie^ é ; ëCl Figzrre 1. Positionnement de l'attaquant. Etant donné le fonctionnement sans fil des réseaux ad hoc, il peut sembler difficile d'intercepter les communi- cations de deux noeuds à portée radio l'un de l'autre (ceux-ci s'entendant mutuellement, ils n'auront pas recours à un quelconque relais). Malgré tout, en falsifiant certains messages, nous allons montrer comment, dans OLSR, il est possible de casser un lien entre deux voisins. Pour comprendre l'attaque il nous faut décrire suc- cinctement le principe de fonctionnement d'OLSR. REE Nc 6/7 Juin/jiiillet 2006 Les problématiques de sécurité dans les réseaux ad hoc OLSR est un protocole proactif et maintient donc une table de routage à jour par l'envoi périodique de messa- ges (dits messages HELLO). Ces messages, envoyés par chaque noeud, contiennent la liste de l'ensemble des voi- sins de l'émetteur ainsi que l'état du lien qui les relie. Ces liens peuvent être asymétriques, symétriques ou perdus. Le routage ne se fera qu'au travers des liens symétriques. Le but de cette attaque est de faire passer un lien symétrique entre deux noeuds dans un état asymétrique, voire perdu. Cela entraîne du coup une coupure des com- munications entre ces deux noeuds et une perturbation de l'ensemble du trafic. La figure 2 illustre cette attaque. o >0 v *> %,j o Noeuddu réseau Lienétabli 0 Noeudattaquant Emission d'un paquet HELLOtalsifié Figzrre 2. Séparation des voisins. Avant l'attaque, les noeuds A et B ont établi un lien symétrique entre eux (partie gauche de la figure). 1. Le noeud A diffuse un message HELLO contenant l'adresse IP, dans la liste des liens symétriques. 2. A la réception de ce message, l'attaquant envoie un message modifié, semblant issu de A, avec l'adresse IPB dans la liste des liens perdus. B doit alors changer l'état du lien avec A en Heard (pour marquer qu'il reçoit bien les messages de A, mais que par contre celui-ci ne reçoit pas les siens). La symétrie est alors rompue, et B n'enverra plus de message directement à A. A reçoit également le message, mais comme rien n'est prévu dans OLSR, il va juste ne pas en tenir compte et le pro- blème ne sera pas résolu avant le prochain mes- sage HELLO de A (au bout de HELLO-INTER- VAL, 3 secondes par défaut). 3. B diffuse un message HELLO avec IP, dans la liste des liens asymétriques. 4. L'attaquant pourra alors aussi générer de faux messages à la réception des messages de B, décon- nectant alors complètement les deux noeuds (partie droite de la figure). Pour corriger le problème, il faut permettre à chaque noeud de reconnaître les messages qui semblent venir de lui-même mais qu'il n'a pas émis. Mais corriger la situa- tion n'est pas si simple. En effet, si l'on se contente de renvoyer un message HELLO correct pour rétablir la vérité, et si l'attaquant persiste dans l'envoi de faux mes- sages, le réseau va se retrouver dans un état complète- ment instable. 4.2. Rushing attack Cette attaque [4] facilite l'attaque par position géogra- phique. Elle va permettre à l'attaquant de pouvoir se contenter d'être approximativement sur la route. Elle ne fonctionne que sur les protocoles de routage réactifs, car elle vise à augmenter les chances pour l'attaquant d'être choisi comme élément de la route entre les deux noeuds souhaitant communiquer. Pour fonctionner, cette attaque s'appuie sur une carac- téristique des protocoles réactifs : un noeud ne transmet que le premier message de type Route Request reçu et ignore les autres (pour une même demande bien sûr). En effet, dans le cadre d'un fonctionnement normal du réseau, si jamais il reçoit deux fois la même Route Request, la deuxième est forcément moins bonne, car plus longue (sinon il l'aurait reçue en premier). L'attaquant va donc se " dépêcher " de transmettre tou- tes les Route Requests qu'il reçoit pour avoir le plus de chances d'être le premier et donc plus de chances que la route passe par lui. La figure 3 (les Route Request sont notées RREQ) illustre cette attaque. r F=_o jw a=_ ( : : > » Fzzn,irc, 0 Noeud du réseau 0 Noeud attaquant Figure 3. Illustration du principe de rushing attack. Pour cela, il peut profiter des temporisations avant l'envoi de messages que vont supporter ses voisins (et concurrents). Ces temporisations ont deux origines : REE No 6/7 Juin/juillet 2006 Dossier e 1 RISQUES ET SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES A COMPOSANTE LOGICIELLE (iele partie) . Le MAC (Medium Access Control) impose souvent un délai entre le moment où le paquet est délivré à l'interface pour envoi et le moment où il est effecti- vement envoyé. . Même si le MAC n'impose pas de délai, la majorité des protocoles réactifs le font pour éviter les risques de collision entre Route Request. Même si cette attaque ne garantit pas à l'attaquant d'être choisi comme routeur, elle augmente notablement les chances de l'être sans avoir à se situer parfaitement sur le chemin entre les deux noeuds communicants. 5. Les méthodes pour lutter contre le problème d'interception dans un réseau ad hoc Afin de lutter contre ces problèmes, deux méthodes sont à envisager : . un système d'authentification ; . un système de gestion de la réputation. Chacun de ces mécanismes protège contre une partie du problème, mais nous allons montrer la nécessité de les employer conjointement. 4.3. Attaque du trou de ver (Wormhole attack) Le terme Wormhole fait référence aux trous de ver en astronomie, qui sont des raccourcis entre deux points éloignés dans l'espace. Le principe est ici le même : l'at- taquant utilise un chemin hors du réseau (ou un chemin virtuel par l'emploi de tunneling) pour faire passer les messages [5]. Cette attaque requiert plusieurs attaquants (au moins deux). Chacun des deux attaquants va se placer non loin d'un des deux noeuds entre lesquels ils souhaitent intercepter le trafic. Ces deux attaquants disposent en plus de leur accès au réseau ad hoc, d'un lien direct physique (par exemple une liaison radio directionnelle) ou logique (par exemple un tunnel entre les deux). Ils vont employer cette liaison directe pour s'assurer d'être choisis comme route (on peut en effet imaginer qu'il s'agit du chemin le plus court, d'autant plus qu'il est possible pour les deux attaquants de ne se faire passer que pour un seul et même noeud). Ce chemin étant le plus court il sera emprunté par les messages entre les deux terminaux dont le trafic sera intercepté (figure 4). 7-,) e T,,, ..... C) ep4lo 0 > 0 0 O O O O o 0 ariac,a-i Leetsb ! Figavre4 : Schéma décrivant une attaque du trou de ver. La diversité, la simplicité et l'efficacité de ces métho- des d'interception du trafic circulant entre deux noeuds montrent à quel point il est nécessaire de trouver un moyen pour résoudre ou du moins lutter contre ce problème. 5.1. L'authentification Sous le terme authentification nous regroupons un ensemble de services qui permettent de connaître l'émet- teur d'un message, de savoir qu'il appartient légitimement au réseau et de valider l'intégrité du message (celui-ci n'a pas été modifié pendant l'acheminement). Cette authentifi- cation nous permettra d'assurer l'intégrité du message, ainsi que son authenticité par l'emploi de signatures (par exemple ajout d'un hash du message, chiffré avec la clé privée du noeud émetteur). On peut, par ailleurs, chiffrer pour assurer la confidentialité des données et ainsi résou- dre les problèmes d'écoute. Cette approche, très souvent employée dans les réseaux filaires, pose un gros problème dans les réseaux ad hoc : le manque d'infrastructure centrale. Dans un réseau filaire, le serveur d'authentification sera toujours joignable par tous les terminaux. Cette situation n'est pas assurée dans un réseau ad hoc. De plus, la notion même de serveur central va à l'encontre du tout distribué qui est la base des réseaux ad hoc. Certaines solutions ont été proposées pour résoudre ce problème, par exemple en uti- lisant la cryptographie à seuil, où chaque noeud authenti- fié du réseau va jouer le rôle d'une partie de l'autorité de certification [6]. Même si cette solution est attirante, elle soulève deux problèmes : w l'initialisation du réseau : un réseau ad hoc com- mence avec deux noeuds. Comment chacun s'au- thentifie à l'autre ? . le choix du seuil : un seuil trop faible permettra plus facilement à un attaquant d'entrer dans le réseau tan- dis qu'un seuil trop important demandera à un nou- vel arrivant de contacter beaucoup de noeuds, ce qui peut être impossible (pas assez de noeuds à portée radio). Une autre approche a donc été proposée pour résoudre REE W 6/7 Juin/juillet 2006 ces problèmes : le modèle du Resurrecting Duckling. Ce modèle se base sur le principe d'une relation maître- esclave entre deux noeuds, qui se feront dès lors mutuel- lement confiance. On dit que le maître appose son empreinte à l'esclave (d'où le nom, le caneton reconnais- sant comme mère le premier objet mobile qu'il voit). Ce modèle a déjà été étendu dans un cas proche, celui des Home Networks [7]. Cette approche par authentification apporte énormé- ment en termes de sécurité, même si sa mise en oeuvre n'est pas aisée. Il reste pourtant un problème : le cas des noeuds corrompus. En effet, un noeud correctement authentifié qui décide d'agir de manière délictueuse peut le faire en toute impunité. 5.2. La réputation On essaye depuis longtemps d'appliquer la notion de réputation et de confiance, naturelle pour l'être humain dans ses interactions sociales, aux interactions informati- ques. Il existe même des modèles définissant ces relations [8]. Dans notre réseau ad hoc, le but est de s'assurer que les noeuds participent effectivement à la gestion du réseau, qu'ils ne se contentent pas de l'exploiter, voire d'essayer de lui nuire. On peut distinguer deux comporte- ments qui peuvent nuire au réseau : l'égoïsme et la mal- veillance. Un noeud deviendra égoïste dans le but de préserver ses ressources (en bande passante, en énergie, etc.). Il pourra par exemple ne plus remplir son rôle de routeur ou se contenter de router les petits paquets (moins coûteux). Un noeud malveillant ira plus loin : il pourra par exemple s'employer à faire baisser la réputation de noeuds corrects, pour leur nuire et les voir exclus du réseau. La notion de noeud malveillant se rapproche plus de la notion d'atta- quant que l'on a présentée tout au long de l'article. Pour faire un parallèle avec les réseaux peer-to-peer, on peut dire que l'égoïste est celui qui se contente de téléchar- ger sans rien partager, le malveillant étant celui qui tente d'injecter dans le réseau des virus ou autres chevaux de Troie. Une méthode de protection utilise la surveillance des noeuds voisins, en adaptant le routage en conséquence. Elle repose sur l'emploi de deux composants distincts, un watchdog qui va surveiller les voisins et modifier la confiance que l'on a en eux selon leur comportement, et un pathrater qui va s'occuper de ne router le trafic qu'à travers les noeuds qui semblent dignes de confiance. Ces problèmes ont donné lieu à un ensemble de proto- coles de gestion de la confiance et de la réputation adaptés aux réseaux ad hoc (les principaux étant présentés dans [9]). Ces solutions sont généralement plus faciles à mettre en oeuvre que les solutions d'authentification, mais souf- frent de différents problèmes. Dans l'optique qui nous intéresse d'interception du trafic, il est facile d'imaginer qu'un attaquant va vouloir augmenter sa réputation auprès de sa cible (par exemple pour être assuré d'être le routeur dans le cas de l'utilisation d'un watchdoglpathra- ter). Une méthode pour améliorer artificiellement sa répu- tation est de router du trafic correctement (par exemple deux complices vont se mettre d'accord pour s'envoyer un grand nombre de messages mutuellement, montrant qu'ils accomplissent leur tâche correctement), ou bien de faire croire que l'on route du trafic en se créant par exem- ple plusieurs identités (notion d'attaque de la Sybille [10]), et en s'auto-routant les messages. 5.3. L'authentification ET la réputation Chaque méthode résout une partie du problème. L'authentification empêche n'importe qui de rejoindre le réseau tandis que la réputation éjecte du réseau les noeuds au comportement inapproprié. Mais le système d'authen- tification ne peut pas lutter contre les noeuds corrompus qui se comportent en attaquants, et le système de réputa- tion n'empêchera pas un groupe d'attaquants (ou un atta- quant seul simulant plusieurs noeuds comme décrit précé- demment) d'envahir le réseau. Au vu des lacunes respectives de chaque méthode, il apparaît donc indispensable d'avoir recours aux deux méthodes conjointement pour assurer une bonne sécurité de notre réseau. L'authentification constituera la première ligne de défense pour éviter que n'importe quel noeud puisse s'introduire dans le réseau, tandis que la gestion de la réputation permettra d'exclure les noeuds corrompus. A notre connaissance, il n'existe pas de travaux dans ce domaine. Cette absence peut s'expliquer par la com- plexité de trouver une solution employant ces deux méthodes conjointement. Le premier problème au niveau conceptuel vient du fait qu'il sera difficile d'équilibrer authentification et réputation. A cette difficulté, il faut ajouter les contraintes que nous avons déjà données concernant le fonctionnement d'un réseau ad hoc. Il sera par exemple difficile (voire impossible) de s'assu- rer que l'ensemble des noeuds a connaissance de l'exclu- sion d'un noeud. Pour finir de compliquer la tache, il convient de prendre également en compte les caractéristi- ques des équipements. En effet les noeuds seront majoritairement de petits équipements portatifs, aux ressources limitées. Cela a plusieurs conséquences qui influent sur les solutions à mettre en place : w puissance de calcul limitée : il est donc impossible de faire un emploi intensif de la cryptographie REE No 6/7 Juin/jLiillet 2006 RISQUES ET SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES A COMPOSANTE LOGICIELLE (ie'Opartie) (il serait bien sûr possible d'employer des circuits dédiés, mais cela demande un équipement spécifi- que, éloigné des considérations grand public) ; . ressources énergétiques limitées : il faut limiter l'emploi de calculs lourds, et également limiter les flux réseaux ; . bande passante limitée : les protocoles de routage (en particulier proactifs) entraînent déjà un surcoût de consommation de la bande passante, il ne faut pas que les solutions de sécurisation aggravent trop cette situation. Toutes ces contraintes ajoutent non seulement à la dif- ficulté de mise en place de solutions, mais entraînent éga- lement l'apparition d'attaques contre ces vulnérabilités (par exemple consommation de toute l'énergie disponible du noeud par l'envoi d'un flux soutenu d'informations qu'il doit traiter). Les solutions actuelles pour authentifier et celles pour gérer la réputation ne prennent pas en compte ces éléments. 6. Conclusion Cet article présente des attaques sur les réseaux ad hoc, qui permettent à un intrus de se retrouver en position d'in- tercepter des communications entre tenninaux. Le but était de montrer que, même si les réseaux filaires et ad hoc per- mettent de manière presque équivalente à l'attaquant d'écouter le trafic, l'interception est plus facile dans le cas ad hoc. A l'heure actuelle aucune des deux solutions propo- sées (authentification ou réputation) n'est pleinement satisfaisante, et une méthode combinant correctement les deux est inexistante. Il ne faut pas non plus en déduire que les réseaux ad hoc sont forcément non sécurisés. Simplement, pour assurer un niveau de sécurité correct, il convient de faire poser des hypothèses plus fortes que celles habituellement retenues dans cet environnement (par exemple concernant les solutions d'authentification ou la gestion des identités de chaque noeud). Malgré tout ce domaine de recherche est encore jeune et l'intérêt grandissant que lui porte la communauté scientifique amènera sans aucun doute des solutions aux différents problèmes soulevés dans cet article. [21 OLSR RFC 3626. http ://vvvv\N.iett.org/rfc/rfc3626.txt, [3] IEEE 802.11 (VVIFI). http//grouper.ieee.org/groups/802/ll/. [4] Y C. HU, A. PERRIG, et D B. JOHNSON. " Rushing Attacks and Defense in Vtlireless Ad Hoc Network Routing Protocols ", ln ACM Workshop on Wireless Security, 2003. [51 Y C. HU, A. PERRIG, et D B. JOHNSON. " Packet Leashes : A Defense Against Wormhole Attacks in Wireless Ad Hoc Networks' : Technical report, Rice University Department of Computer Science, 2002. [6] VV. CHEN. " Modeling (k, n) Threshold Scheme in Ad Hoc Netvvork','Course project. [7] N. PRIGENT, C. BIDAN, J-P ANDRAUX, et O. HEEN. " Secure Long Term Communitles in Ad Hoc Networks' : ln SASN (Security of Ad hoc and Sensor Networks), 2003. [8] S. D. RAMCHURN, C. SIERRA, L. GODO, et N. R. JENNINGS, "Devising a Trust Model for Multi-Agent Interactions Using Confidence and Reputation, " International Journal of AppliedArtificial Intelligence, 18 : 833-852, 2004. [91 J. HU. " Cooperation in mobile ad hoc networks' : Technical report, Florida State University - Computer Science Department, 2005. [101 J. R. DOUCEUR. The Sybil attack. ln IPTPS'Dl Revised Papers from the First International Workshop on Peer-to- Peer Systems, pages 251-260, London, UK, 2002. Springer- Verlag. Les auteurs Références [Il MANET : RFC 2501. http ://www.etf.org/rfc/rfc25Ol.txt. Jérôme Lebègue est doctorant au sein de l'équipe Sécurité des systèmes d'informations et réseauxsur le campus de Rennesde Supélec.Ses travauxportent sur lasécurité des réseauxad hoc et plus particulièrement sur la sécurité de leur emploi dans un contexte tactique. ChristopheBidan a obtenu le titre de docteur en informatique de l'Université de Rennes 1 en 1998sur le thème de la sécurité dans les systèmes d'information. Il a ensuite effectué un séjour post- doctoral à l'Imperial Collegede Londres,puis rejoint, début 1999, le groupe sécurité de Gemplus en tant qu'architecte de sécurité. Depuis août 2000, il occupe un poste d'enseignant-chercheurà Supélec,dans l'équipe de rechercheSSIR(Sécuritédes systèmes d'information et réseaux) Sesdomainesde recherchesont lasécu- rité dans les réseauxet la détection des intrusionsparamétréepar la politiquede sécurité. Il est membre du comité d'organisationde SST ! C (Symposiumsur la sécurité des technologies de l'informa- tion et des communications), et coresponsable du Mastère Spécialiséen Sécurité des systèmes d'information de Supélecet de)'ENST de Bretagne. Bernard Jouga est ingénieur Supélec. Enseignant-chercheurà Supélec depuis 1983, il a été entre 1998et 2005 responsabledu Mastère Spécialisé en Réseaux Informatiques et Télécom- munications. Il est maintenant délégué à la rechercheet aux rela- tions industriellespour le campusde Rennesde Supélec.Ilest l'au- teur de plusieurs communicationsdans le domainedes réseauxet de la sécurité des systèmes d'information. REE W 6/7 Juin/juillet2006