Soutenance de thèse : Samuel PÉLISSIER

« Privacy-preserving communications for the IoT »

Doctorante : Samuel PÉLISSIER

Laboratoire INSA : CITI
École doctorale : ED512 : Infomaths (Informatique et Mathématiques de Lyon)

Les dernières décennies ont été témoins de l'émergence et de la prolifération d'objets connectés, communément appelés Internet des Objets (IdO). Le développement rapide de nombreuses technologies et leur connexion en réseau s'accompagne de la génération d'un important volume de données, soulevant des préoccupations en matière de vie privée, en particulier dans des domaines sensibles tels que la santé ou les maisons connectées.

Dans cette thèse, nous exploitons les techniques d'apprentissage automatique (machine learning) pour explorer les problèmes liés à la vie privée des objets connectés via leurs protocoles réseau. Tout d'abord, nous étudions les attaques possibles contre LoRaWAN, un protocole longue distance et à faible coût d'énergie. Nous explorons la relation entre deux identifiants du protocole et montrons que leur séparation théorique peut être contrecarrée en utilisant les métadonnées produites lors de la connexion au réseau. En nous appuyant sur une approche multi-domaines (contenu, temps, radio), nous démontrons que ces métadonnées permettent à un attaquant d'identifier les objets connectés de manière unique malgré le chiffrement du trafic, ouvrant la voie au traçage ou à la ré-identification.

Nous explorons ensuite les possibles contremesures, en analysant systématiquement les données utilisées lors de ces attaques et en proposant des techniques pour les obfusquer ou réduire leur pertinence. Nous démontrons que seule une approche combinée offre une réelle protection. Par ailleurs, nous proposons et évaluons diverses solutions de pseudonymes temporaires adaptées aux contraintes de LoRaWAN, en particulier la consommation énergétique.

Enfin, nous adaptons notre méthodologie d'apprentissage automatique à DNS, un protocole largement déployé dans l'IdO grand public. À nouveau basées sur les métadonnées, notre attaque permet d'identifier les objets connectés, malgré le chiffrement du flux DNS-over-HTTPS. Explorant les contremesures potentielles, nous observons un non-respect des standards liés au padding, entraînant la compromission partielle de la vie privée des utilisateurs.