Systèmes de traitement et de stockage distribué confidentiels basés sur les TEEs

Doctorant : Aghile AIT MESSAOUD

Laboratoire INSA : LIRIS - Laboratoire d'lnfoRmatique en Image et Systèmes d'information
École doctorale : n°512 lnfoMaths - Informatique et Mathématiques de Lyon

Les données sont devenues un moteur essentiel du monde numérique, alimentant l'innovation et les stratégies commerciales. Toutefois, leur manipulation s'accompagne d'importants enjeux de sécurité et d'éthique, car elles peuvent contenir des informations sensibles nécessitant une protection stricte. Toute violation peut entraîner des atteintes à la vie privée, des pertes financières et une perte de confiance. Pour garantir leur sécurité, il est crucial de les protéger dans leurs trois états : en transit, au repos et en cours d'utilisation. Les données en transit doivent être chiffrées pour éviter toute interception, celles au repos sécurisées par des contrôles d'accès stricts et un chiffrement robuste, tandis que celles en cours de traitement nécessitent un environnement protégé pour empêcher tout accès non autorisé. Les environnements d'exécution fiables jouent un rôle clé en isolant les données sensibles, même vis-à-vis des processus système ou du système d'exploitation. Cette recherche se divise en deux parties principales. La première porte sur la sécurisation des données en cours d'utilisation, en étudiant l'apprentissage fédéré comme cas d'usage spécifique. Ce paradigme d'apprentissage automatique préservant la confidentialité reste vulnérable aux attaques visant la mémoire principale des dispositifs clients, pouvant révéler des informations sensibles sur les données utilisées pour l'entraînement du modèle. Face à ces menaces, GradSec a été développé pour sécuriser l'apprentissage fédéré contre ces attaques. Cette solution exploite ARM TrustZone, un environnement d'exécution fiable conçu pour les appareils mobiles, afin de protéger les couches critiques du modèle en fonction des attaques identifiées. La seconde partie traite de la sécurisation des données au repos en s'appuyant sur les bases de données dé-valeur en mémoire, choisies pour leur flexibilité et leur capacité à stocker divers types de données via sérialisation. Une analyse approfondie des bases de données dé-valeur basées sur des environnements d'exécution fiables a mis en évidence leurs architectures et composants fondamentaux, tout en révélant leur vulnérabilité aux attaques par canaux auxiliaires. Pour atténuer ce risque, TruShare a été conçu comme un système de stockage distribué confidentiel combinant environnements d'exécution fiables et partage de secret. En fragmentant les données sensibles entre plusieurs nœuds, cette approche rend les fuites de données beaucoup plus complexes pour un attaquant. Ces travaux de recherche visent à répondre aux défis de la sécurité des données dans des environnements non fiables, en garantissant une confidentialité renforcée aussi bien lors du traitement que du stockage des informations.

Méthodologie de caractérisation socio-organisationnelle des adresses IPs appliquée à la sécurité

Doctorante : Mme Camille MORIOT

Laboratoire INSA : CITI

École doctorale : ED512 : InfoMaths (Informatique et Mathématiques de Lyon)

Internet est un système clé dans la société contemporaine. Il s'agit d'un système complexe réparti entre de nombreuses organisations ayant une variété de rôles et d'intérêts. Depuis leur création, les cyberattaques sont devenues des actifs précieux, car elles donnent aux rivaux des avantages, par exemple dans les domaines politique ou économique. Il est nécessaire d'analyser ces attaques, d'identifier leurs singularités et les mécanismes sur lesquels elles s'appuient afin de les contrer. Cela permettra d'établir des signatures plus précises et plus pertinentes et aidera la conception des contre-mesures. Un des aspects d'analyse des attaques sont les infrastructures utilisées par les attaquants pour générer les attaques. De nombreux outils aujourd'hui permettent de caractériser l'aspect technique des machines qui composent ces infrastructures. Mais comme les attaques ont lieu dans un environnement social, politique, économique et organisationnel, nous revendiquons qu'il est nécessaire d'évaluer ces machines d'un point de vue organisationnel. 

Cette thèse propose une méthodologie originale de catégorisation des adresses IP, à l'aide de 6 étiquettes décrivant deux axes : un axe technologique et un axe organisationnel. Nous proposons également un outil d'investigation, IPSeen, qui implémente cette méthodologie, en affectant les étiquettes aux adresses IP. Il s'appuie sur différentes sources de données : Wikidata, RDAP, Onyphe, GeoIPLite. Deux versions d'IPSeen sont proposées et évaluées dans ce manuscrit. Ces deux versions se différencient par leur rapidité et leur niveau de précision. 

Enfin, nous appliquons notre méthodologie à un ensemble de données réelles de suivi d'infrastructure de type command and control. L'analyse produite propose une description des infrastructures des organisations qui maintiennent les machines participant aux infrastructures d'attaques. Nous montrons que notre approche apporte un éclairage essentiel sur la compréhension des attaques, en complément des nombreuses caractérisations techniques par ailleurs disponibles.

 

 

Avez-vous déjà pensé faire une thèse ? Le monde de la recherche vous intrigue ? Des atomes crochus avec la cybersécurité mais le sujet est vaste et vous ne savez pas part où commencer ? Le projet CyberINSA du groupe INSA organise des conférences sur la recherche en cybersécurité pour répondre à vos questions.

La première conférence intitulée **"Sécurité Logicielle et Malwares"** sera donnée par Jean-Yves Marion Professeur et chercheur au LORIA.

Cette conférence s'adresse à l'ensemble de la population étudiante de l'INSA Lyon et ne nécessite pas de connaissances spécifiques ni de niveau minimum. Que vous soyez 1A ou 5A, si la cybersécurité vous intéresse, n'hésitez pas : venez découvrir les dernières avancées scientifiques autour des virus, malware et autres logiciels malveillants et l'envers du décor de la recherche dans ce domaine !

Cette conférence en multiplexe avec les autres INSA sera diffusée dans l'amphi Chappe bat. Hedy Lamarr (dpt TC) à partir de 18h15 et sera suivie d'un moment d'échange avec des chercheurs en cybersécurité autour d'un buffet.

Pensez à vous inscrire avec le lien suivant : https://evento.renater.fr/survey/participation-conference-cyberinsa-20-dec-2cm7y6ng

Comment les cyclistes choisissent-ils leurs itinéraires ? Préfèrent-ils emprunter les voies cyclables ou le chemin le plus court ? Sont-ils prêts à faire des détours si la route est plus sûre et fluide ? Voici les premières questions posées par Lucas Magnana dans le cadre de ses travaux de thèse intitulée « De la ville intelligente à la ville prédictive : applications et modes de transports actifs ». Au sein du laboratoire Citi¹, il étudie les segments préférentiels des cyclistes pour pouvoir proposer un nouveau type d’infrastructure cyclable dynamique. Grâce à l’intelligence artificielle, il souhaite inciter les citoyens à utiliser davantage le vélo en ville. Explications.  

Lucas Magnana est formel : prédire le chemin préféré des automobilistes pour aller d’un point A à un point B est assez simple. « En voiture, on choisit souvent le chemin le plus court ou le moins cher. Pour les cyclistes, la prédiction est moins aisée car beaucoup de facteurs implicites, comme le sentiment de sécurité (qui est très subjectif) conditionnent le choix d’un itinéraire à vélo. », explique Lucas Magnana.

Le comportement des cyclistes, pourtant très documenté, est un champ d’étude complexe. Lorsque Lucas se penche sur la question, il émet plusieurs hypothèses, confirmées par l’étude d’une base de données de 2532 traces GPS générées par 40 cyclistes lyonnais et stéphanois. « Nous avons remarqué que les cyclistes ne prenaient pas forcément le chemin le plus court entre leur origine et leur destination ; 95 % des cyclistes sont prêts à faire des détours de moins de 2,5 km pour atteindre leur destination. » Pour reproduire les comportements des cyclistes, le doctorant a développé un modèle qui s’appuie sur un réseau de neurones. En l’entraînant, il a retrouvé des segments de route spécifiques. « Nous avons pu confirmer à travers notre analyse et le comportement de notre modèle qu’il existait certains segments de route plus régulièrement empruntés que d’autres, sur lesquels beaucoup de vélos se rassemblent. » 
Cette information est capitale pour la suite de l’étude de Lucas Magnana. « Lorsque l’on prend son vélo pour se rendre quelque part, il y a une fonction mathématique qui se fait dans notre tête, et selon certains facteurs qui nous sont propres, on va choisir un itinéraire. Notre objectif serait d’inciter les cyclistes à emprunter des segments de route qui seraient optimisés pour leur passage », explique le doctorant du Citi.

En créant des sortes de pistes cyclables dynamiques, le passage des vélos en serait fluidifié et plus sûr. « Aujourd’hui, il existe deux grands types d’infrastructures cyclables : les pistes en blanc ou les pistes délimitées en dur comme sur les berges du Rhône ; puis il y a l’urbanisme tactique qui prévoit des marquages temporaires, en jaune. Nos travaux s’attachent à évaluer la possibilité de proposer un troisième type d’infrastructure cyclable, une sorte de piste virtuelle qui s’adapterait grâce aux feux de signalisation notamment, à l’arrivée d’un peloton de cyclistes. » 
Le but serait donc d’inciter les vélos à se rassembler sur plusieurs segments de route connectés, sans pour autant y construire une infrastructure physique. « Lorsqu’un peloton de cyclistes se trouverait sur ces segments, il serait détecté. À leur approche, les feux de signalisation passeraient au vert, leur permettant de traverser les croisements de manière sécurisée et de ne pas perdre leur allure. » 

Le regain d’intérêt pour le vélo ces dernières années pour ses avantages écologiques, économiques et de santé publique pousse les décideurs et urbanistes à réfléchir à de nouvelles tactiques urbaines. Lucas prévient : pour l’instant, il n’est pas encore question d’applications concrètes. « Il reste encore plusieurs freins à lever. Par exemple, l’adaptation de la voirie dynamique passe par de la collaboration entre des usagers qui n’interagissent pas entre eux. C’est un projet pluridisciplinaire qui mêle transport, intelligence artificielle et sociologie d'une certaine façon. »

Si l’idée n’existe pour le moment qu’à titre expérimental, Lucas Magnana et ses directeurs de thèse, Hervé Rivano et Nicolas Chiabaut, espèrent que ces outils permettront à terme, d’envisager les infrastructures urbaines non plus comme un partage de l’espace statique mais comme une commodité reconfigurable à la demande.

 

[1] Centre d’Innovation en Télécommunications et Intégration de service (INSA Lyon/INRIA)

 

Il est l’un des premiers à avoir été réquisitionné à l’annonce du confinement. Après avoir fait le point sur les effectifs opérationnels pour travailler dans ce contexte de crise sanitaire inédit, Heidi Badaoui a vu naître une âme de service insoupçonnée, au service de l’INSA tout entier, pour sa plus grande fierté. Immersion.

Mercredi, 8h. Heidi Badaoui prend son poste, d’attaque malgré une courte nuit. Il y a quelques heures à peine, il débarquait sur le campus suite à un appel au secours. Une bande d’une vingtaine de squatteurs, alcoolisés, menaçait de s’en prendre à ses agents de l’équipe de nuit, venus leur demander de s’en aller. Heidi, parachutiste de formation et fortement enclin à la médiation, trouve les mots pour les déloger. L’affaire aura coupé sa nuit, mais il a l’habitude. Ce matin, café à la main, il retrouve l’équipe de jour, qui a pris la relève il y a une heure. Le reste de la nuit s’est bien passé, rien à signaler. Mais la situation reste préoccupante pour l’ensemble des agents du service sécurité/incendie de l’INSA Lyon. Devenus les derniers remparts d’un campus isolé, les douze hommes en rouge sont plus que jamais en première ligne. Nuit et jour, ils protègent le site et ses occupants, quelques 786 étudiants restés confinés dans les résidences. Nuit et jour, ils interviennent à tout moment, pour sécuriser les gens comme les bâtiments, dont certains font l’objet de convoitises régulières malgré les mesures actuelles.
Suite aux échanges musclés de la nuit, une main courante a été déposée auprès des services de police. Mais dans une guerre de territoire, les batailles se gagnent sur la longueur. Il faut tenir bon, et ne pas céder du terrain, dans une lutte exacerbée par les tensions liées à l’enfermement imposé. C’est sans doute la menace la plus forte, avec celle du Covid-19.

Après ces échanges matinaux, les agents finissent l’inventaire de rigueur : masques, ARI (appareils respiratoire isolant), gants… Tout est là, les rondes préventives réglementaires peuvent commencer. Sécurité incendie, assistance à personne et sûreté : trois rondes bien rôdées qui rythment le quotidien et prennent quasiment toute la matinée. Heidi Badaoui, lui, enchaîne avec sa réunion hebdomadaire avec le directeur général des services. Les deux hommes travaillent en étroite collaboration depuis la mise en confinement. Dans cette épreuve inattendue, il a fallu se rendre opérationnel immédiatement, malgré la réalité du terrain. Huit agents du service ont été détachés chez eux pour des raisons liées à leur santé. Une décision prise en conformité avec le haut conseil de la santé publique qui a établi des critères de vulnérabilité et permis d’identifier les personnes dont l’état de santé pouvait présenter un risque à développer une forme sévère de la maladie. Première inquiétude pour Heidi. Comment maintenir le même niveau opérationnel malgré la réduction des effectifs ? Comment faire face ? Rapidement, il a trouvé auprès de lui des agents volontaires. Dans cette mission accrue d’utilité publique, il a trouvé auprès de ces professionnels dévoués l’engagement nécessaire pour surmonter cette situation. Il a pu procéder à la réorganisation complète des plannings et des équipes, avec la réaffectation des compétences et des connaissances en interne. Et constaté que dans cette crise sanitaire sans précédent, ses agents étaient tous soudés. Militaire de formation, il a constaté cela avec émotion. Depuis l’armée, il n’avait jamais revécu ce sentiment, celui de pouvoir compter sur des « frères d’armes », et faire face quoi qu’il arrive. Aujourd’hui, après quatre semaines de confinement, il vit cet esprit de cohésion qui lui a tant appris par le passé. Et c’est sans doute cela, sa vraie fierté.

La réunion à peine terminée, il reprend la direction du bureau pour s’atteler aux tâches administratives. Chaque jour, des nouvelles mesures lui sont communiquées. Chaque jour, les consignes doivent être ajustées. Et les agents doivent adapter leurs gestes professionnels, dans le respect des nouvelles directives. Tout l’enjeu d’Heidi Badaoui est de garantir à son service un fonctionnement normal et réglementaire. Et de veiller à aucun manquement. 
Les heures de la journée s’égrènent et il sait exactement où sont ses agents et ce qu’ils font. Et bien que le programme de la journée soit déjà chargé, les interventions s’enchainent. La fermeture de tous les bâtiments de l’INSA est allée de pair avec une mise sous alarme intrusion. Chaque personne qui tente de rentrer dans un bâtiment la déclenche. Souvent, ce sont des personnels ou des étudiants qui tentent de pénétrer dans un laboratoire ou une salle de cours, par ignorance des consignes de sécurité. Parfois, ce sont des visiteurs aux intentions douteuses qui enfreignent la loi et pénètrent dans quelques-uns des logements de fonction disséminés sur le campus. D’autres fois encore, trop nombreuses celles-là, ce sont des voleurs à la petite semaine qui parviennent à rentrer dans les résidences étudiantes et sont à l’affût du moindre téléphone portable ou ordinateur en vue, derrière une porte entrouverte… 
Ce sont bien évidemment les étudiants qui font l’objet d’une attention toute particulière pour le staff insalien de sécurité. Dans ce contexte exceptionnel, les fragilités de quelques-uns ont bien été identifiées. Des appels à l’aide ont été lancés et ont trouvé écho auprès des agents de sécurité, seuls interlocuteurs à pouvoir se déplacer. Deux rondes sont organisées dans chaque journée, avec un passage dans toutes les chambres occupées des résidences. Cet après-midi, tout le monde va bien.

Heidi Badaoui termine sa journée avec le sentiment, partagé par ses co-équipiers, du devoir bien accompli. Aujourd’hui, la situation globale du campus est complètement maîtrisée. Le service sûreté sécurité incendie de l’INSA Lyon est serein et se prépare à la reprise, dont il ne connaît pas encore les modalités. Pendant ce confinement, Heidi aura maintenu tous les jours le déroulement des exercices de sécurité pour entraîner ses effectifs. Chaque jour, une manœuvre est répétée, permettant à chacun de se sentir encore plus à l’aise dans ses fonctions, et par l’action, de mieux gérer le stress inhérent à cette situation de confinement. Gérer la situation du mieux possible, c’est le point commun à tous les services de l’INSA auprès desquels celui d’Heidi a trouvé du répondant. Avec le sentiment d’appartenir à une communauté plus unie qu’avant le confinement, il attend avec son équipe le retour des usagers du campus. Les masques ont été commandés en quantité suffisante pour son service. Reste à garder son sang-froid face aux imprévus. Pour continuer à assurer la sûreté de l’INSA face aux agressions extérieures, et garantir la sécurité des 786 étudiants confinés.

Événement organisé par InSecurity, association d'étudiants de l'INSA engagée dans la promotion de la sécurité des systèmes d'information auprès des étudiants.

Au programme plusieurs conférences, un temps de rencontre entreprises-étudiants et un concours de sécurité informatique (CTF, Capture The Flag).

L'objectif de l'événement est de permettre à des passionnés de sécurité informatique de se rencontrer, de rencontrer des entreprises et d'apprendre, encore, sur des sujets liés à la sécurité informatique.

• De 14h00 à 17h30 : Conférences d'experts pour tous ceux qui veulent découvrir le domaine ou approfondir leurs connaissances (Amphithéâtre Gaston Berger)
• A partir de 17h30 : Rencontre avc les entreprises partenaires (Amphithéâtre Gaston Berger)
• A partir de 18h30 : Concours de sécurité informatique (CTF, "Capture the flag") ouvert à tous. Un ordinateur, une connexion internet et de la matière grise ? La victoire est à votre portée ! De nombreux lots sont offerts par les sponsors (Département IF - Bâtiment Blaise Pascal)

Comme la carapace du dragon résistante au feu, le pare-flamme Dragonskal possède des propriétés quant à lui bien réelles. Aussi léger qu’une plaque de béton cellulaire, le modèle développé dans les laboratoires de l’INSA Lyon et industrialisé par MIHB offre une perspective d’avenir en matière de sécurité incendie. Le matériau a d’ailleurs été présenté au Congrès annuel des sapeurs-Pompiers de Bourg-en-Bresse en septembre dernier. 

Tout commence en 2009, lorsque la PME oyonnaxienne MIHB rencontre le laboratoire LGCIE (Laboratoire de Génie Civil et d’Ingénierie Environnementale) de l’INSA Lyon.
L’entreprise, alors dans une dynamique de diversification de son activité de plasturgie dépendante du pétrole, se tourne vers la technologie minérale. Reconnu dans le domaine de la formulation de matériau, le laboratoire accepte le défi d’inventer des composants résistants au feu.

« Notre mission était de développer la matrice d’un produit capable de résister longtemps aux flammes. De 2009 à 2013, nous avons travaillé conjointement avec MIHB sur un panneau composite, totalement minéral », indique Jean Ambroise, professeur émérite de l’actuel laboratoire Geomas, issu du LGCIE aujourd’hui scindé en deux.

De cette collaboration est ainsi né Dragonskal aux propriétés prometteuses : le panneau de 40 mm d’épaisseur exposé deux heures à 1100° ne s’enflamme pas, ne dégage aucune fumée ni goutte enflammée et offre une résistance mécanique étonnante. Si son innovation tient dans la formule développée par l’INSA Lyon, le panneau pare-flamme répond également à une problématique environnementale puisqu’il peut être considéré comme un déchet inerte de par sa composition minérale. 

Et les applications sont nombreuses : murs coupe-feu, tunnels, espaces sensibles, gaines de désenfumage, coating de casques de pompiers... Tout est à envisager grâce à cette innovation encourageante pour le domaine de la protection des biens et des personnes.

« Le Dragonskal interpelle et questionne. Des grands groupes industriels s’intéressent à la composition du produit pour les couloirs de train, d’avions, les camions, les cuisines de restaurants… La sécurité incendie est une problématique qui concerne tous les domaines », rappelle Jean Ambroise.  

Ces années de projet collaboratif ont permis de tisser des liens forts entre le laboratoire et MIHB que le professeur émérite souhaiterait voir perdurer.

« Ayant été l’interface entre le laboratoire et l’entreprise, j’aimerais passer le flambeau aux plus jeunes pour conserver cette relation de confiance essentielle à ces travaux d’innovation car les possibilités d’applications sont infinies pour répondre aux problématiques de sécurité incendie ».  

Comment garantir la confidentialité des données individuelles tout en bénéficiant d’une connaissance collective en réseau ? C’est la raison d’être du SIBIL-Lab, laboratoire commun fraichement né d’une collaboration entre le laboratoire LIRIS (UMR 5205 CNRS, ECL, INSA Lyon, Lyon1 et Lyon2) et la société Attestation Légale. 

Il y a d’un côté la nécessité de sécuriser les données numériques, renforcée par l’entrée en application du règlement européen sur la protection des données (RGPD) en mai prochain.
Il y a de l’autre côté une crainte des entreprises à transférer des données sensibles, même dans une démarche facilitatrice sur le plan administratif.

Entre les deux, se positionne désormais le SIBIL-Lab. Ce laboratoire commun est né le 1er avril dernier de la collaboration de l’INSA Lyon avec la société Attestation Légale, ou ALG, spécialisée dans la simplification des démarches administratives. 

« ALG a pour objectif de proposer des solutions numériques pour faciliter les échanges commerciaux entre entreprises et a en ce sens monté un réseau social B2B. Via ce réseau, les entreprises peuvent transmettre leurs dossiers financiers légaux, dans un processus qui tend à l’automatisation de l’échange des données. Tout cela implique des problèmes de sécurité compte tenu de la sensibilité des données, notamment bancaires, et c’est là que nous intervenons » explique Sara Bouchenak, enseignante et chercheuse au laboratoire LIRIS, membre de l’équipe DRIM, et directrice du SIBIL-Lab.

« En effet, les PME n’ont pas la possibilité d’avoir un service R&D comme les grands groupes industriels. Le SIBIL-Lab agit alors comme un service externalisé de R&D pour ces entreprises. C’est donnant-donnant : pour nous, chercheurs, ce sont des cas très pratiques d’application de nos algorithmes et nos modèles de sécurité qui s’offrent à nous ; pour les entreprises, c’est l’apport de solutions innovantes » complète Sara Bouchenak.

Et des solutions innovantes qui garantissent la confidentialité des données ! Car pour répondre à la frilosité des utilisateurs, SIBIL-Lab travaille à la mise au point d’un outil numérique intelligent capable d’analyser les données cryptées confiées par les clients. En utilisant le chiffrement homomorphique, le SIBIL-Lab peut bénéficier de l’étendue du réseau social d’ALG pour étudier le comportement client. Et anticiper de futures réactions, qui pourront les aider à prédire un comportement frauduleux. Cet accès à beaucoup d’informations a pour formidable intérêt de pouvoir construire des modèles plus précis, forts de l’étude de plusieurs comportements. 
Le SIBIL-Lab a obtenu un financement de l’ANR pour une durée de 3 ans et continue à chercher d’autres financements, français et européens. Pour l’heure, une vingtaine de personnes, du monde de l’entreprise et du monde académique sont impliquées. Une thèse CIFRE est entamée et d’autres thèses seront lancées au cours des 3 années, qui aboutiront l’espère-t-on, au développement du LabCom.