Évaluation de la confiance dans un environnement

Évaluation de la confiance dans un
environnement multisources
Benjamin COSTE 1 , Cyril RAY 2 , Gouenou COATRIEUX 3
1. Chaire de Cyber Défense des Systèmes Navals
Ecole navale - CC 600
F29240 Brest Cedex 9, FRANCE
[email protected]
2. Ecole navale - CC 600
F29240 Brest Cedex 9, FRANCE
[email protected]
3. Institut Mines-Télécom - Télécom-Bretagne
Technopole Brest-Iroise, CS 83818
29238 Brest Cedex 3, FRANCE
[email protected]
Dans un système d’information (SI), de nombreuses informations sont produites puis
stockées, analysées, traitées et diffusées (par des opérateurs humains (e.g. saisie utilisateur) ou
de manière automatique (e.g. informations fournies par des capteurs)). Ces informations comme
les sources associées peuvent alors être l’objet de malversations. Une question alors posée est
de savoir quelle confiance accorder à ces informations ainsi qu’aux sources émettrices. Dans
cet article, nous exposons une démarche d’évaluation de la confiance dans un environnement
multisources hétérogènes. La confiance évaluée peut ensuite être utilisée pour renforcer la sécurité du SI via la détection de malversations de sources ou d’informations. Ces travaux sont
développés dans le cadre de la sécurisation des systèmes d’information des navires modernes.
RÉSUMÉ.
In an information system, information is stored, analysed, processed and broacast.
The nature of which can vary (e.g. human or sensors). These sources can be targeted by a malicious entity. The problem is to know how much a piece of information or a source can be trusted.
This article aims to provide an approach of trust’s assessment in a heterogenous multisources
environment. The trust is then used to improve the security of the information system thanks to
detection of malversation of source or piece of information. This work is developped for ship’s
information system’ security
ABSTRACT.
MOTS-CLÉS : Confiance,
KEYWORDS: Trust,
source d’information, système d’information, sécurité
source of information, information system, security
c 2016 Lavoisier
DOI:10.3166/HSP.x.1-7 Hermès Science Publication – no y/2016, 1-7
2
HSP. Volume x – no y/2016. INFORSID 2016
1. Introduction
Les systèmes d’information et de navigation à bord des navires sont des systèmes
complexes. Ils offrent de multiples fonctions permettant la navigation comme la gestion de l’ensemble du navire (propulsion, communications, alimentation électrique,
accès et gestion du personnel . . .). Ces systèmes sont composés de nombreuses interconnexions entre divers réseaux (filaire ou non, avec ou sans accès Internet) constitués tout aussi bien de capteurs (GPS, Loch . . .) que d’équipements informatiques
classiques (routeurs, switchs, ordinateurs personnels, serveurs . . .). Tous ces composants sont vulnérables à des malversations de la part d’humains embarqués ou distants
(Fitton et al., 2015).
La sécurité d’un navire est assurée à partir de nombreuses informations remontées
par des capteurs embarqués aussi bien que par les personnes se trouvant à bord. Par
exemple, sur un navire de croisière, le pilotage automatique est basé sur les informations de position fournies, entre autres, par un ou plusieurs GPS embarqués. Chacun
d’eux peut cependant être abusé par un dispositif de spoofing (Bhatti, Humphreys,
2014).
Divers moyens peuvent être mis en place pour protéger le système d’information
d’un navire dans sa globalité ou au niveau de chacun de ses constituants : authentification, contrôle d’accès, confidentialité des échanges . . . Ces solutions ont néanmoins
leurs limites dans le cas où l’un des éléments est leurré ou malveillant. Chaque élément peut être vu comme une source émettant des informations de différentes natures
et formes. L’inefficacité des solutions précédentes jette donc le doute sur les informations et les sources du SI. De plus, quelle que soit la complexité d’une attaque, celle-ci
est initiée par un être humain. Comment assurer alors la sécurité du système d’information d’un navire en prenant en compte des technologies multiples aussi bien que
des personnes au comportement parfois irrationnel?
Cet article aborde la problématique de la sécurité des systèmes d’information par
l’élaboration d’une mesure de confiance dans les sources et les informations analysées
et traitées à bord du navire.
La section 2 récapitule les différents points de vue sur la confiance présents dans
la littérature. En section 3, nous exposerons notre démarche pour aborder la problématique après quoi nous conclurons sur les perspectives ouvertes.
2. État-de-l’art
La confiance est une notion complexe et de nombreux travaux ont cherché à la
définir dans divers domaines (Blomqvist, 1997 ; McKnight, Chervany, 2000). En économie, les modèles de confiance privilégient généralement la coopération entre les
agents, c’est-à-dire que les agents "travaillent et agissent ensemble sur une tâche, et
partagent les bénéfices qui en découlent" (Marsh, 1994).
Évaluation de la confiance
3
En approfondissant le lien entre coopération et confiance, (Demolombe, 2004) a
introduit la sincérité dans de tels modèles. En effet, l’auteur fait remarquer que la
confiance d’un individu A envers un individu B n’est possible que si B est sincère
aux yeux de A, c’est-à-dire que B ne dissimule aucune information ayant un intérêt
pour A (Lorini, Demolombe, 2008). Cependant, B n’a peut-être aucun intérêt à se
montrer sincère. En effet, la sincérité est dépendante des objectifs ou des intérêts de
chacun. Si A et B ont des intérêts contraires, alors il est du bon sens que chacun se
méfie de l’autre, la coopération étant dès lors impossible.
En sciences humaines, avant les années 2000, la confiance visait à appréhender
les rapports entre individus. Elle considérait les émotions d’un sujet (Lewis, Weigert,
1985) et son état psychologique au moment de prendre une décision (Deutsch, 1958).
L’ajout d’une dimension émotionnelle à la confiance peut compenser un manque de
connaissances lors de la prise de décision dans des situations nouvelles (Luhmann,
1979). Ces caractéristiques (émotions, connaissance) contribuent à qualifier la confiance.
Cependant, dans le contexte considéré à l’époque, un même individu entretenait
un faible nombre de relations de confiance, lesquelles s’établissaient sur le long terme.
Depuis l’apparition d’Internet, l’entourage d’une personne s’est considérablement élargi.
Un individu n’est plus seulement en relation avec quelques autres de son entourage.
Il est maintenant connecté à une multitude de personnes et de services. Cette nouvelle
masse de relations potentielles diminue considérablement le nombre d’interactions
avec chaque entité et limite du même coup l’accroissement du niveau de connaissance
des relations. Ainsi un entourage réduit mais bien connu a laissé place à de nombreuses
relations méconnues (Grandison, Sloman, 2000).
De plus, les nouveaux moyens de communication empêchent parfois d’identifier
la nature du correspondant. Le peu d’interactions couplé à l’anonymat relatif d’Internet rend cette connaissance difficile à acquérir. Pour pallier les faiblesses des définitions sociales, Grandison et Sloman (Grandison, Sloman, 2000) ont défini la confiance
comme "la croyance ferme en la compétence d’une entité à agir de manière fiable au
travers d’un contexte spécifique" où la compétence est "la capacité d’une entité à assurer les fonctions qui lui sont attribuées". En basant la confiance sur la compétence,
la définition s’adapte au mélange Hommes-Machines des systèmes d’information.
Plus récemment, l’émergence et la prolifération rapide des capteurs de tous types
alimentant les systèmes d’information (notamment mobiles) a suscité de nouvelles
questions quant à la confiance que l’on peut avoir dans l’information. En effet, les
sources sont liées aux informations qu’elles émettent (Jousselme et al., 2014). Certaines caractéristiques des sources (fiabilité, confiance, compétence, . . .) influencent
les informations produites. Par exemple, en mesurant certaines propriétés des informations (qualité, confiance, crédibilité, . . .), celles de la source peuvent être estimées.
De même, l’inverse est également vrai : la confiance dans une information dépend
de celle accordée à la source. (Paglieri et al., 2014) analysent ce lien et établissent
la confiance dans une source comme la qualité attendue d’une information. Plus la
confiance dans la source est élevée et plus la qualité de l’information doit l’être également. En mesurant la qualité de l’information, la confiance dans la source s’adapte
4
HSP. Volume x – no y/2016. INFORSID 2016
en impactant deux caractéristiques de cette dernière: sa compétence et sa sincérité.
Ces caractéristiques sont choisies d’après le modèle de (Demolombe, 2001). Elles ne
sont pas les seules à caractériser le comportement d’une source mais il est possible de
ramener les autres critères à ces deux là (Liu, Williams, 2002).
3. Évaluation de la confiance
Nous étudions le sous-système de localisation et navigation du navire. Ce système dispose de capteurs spécifiques aux navires (e.g. l’AIS 1 ) aussi bien que des capteurs plus génériques (e.g. le GPS). Il est de plus particulièrement répandu (la navigation étant la partie la plus commune à gérer) et des vulnérabilités ont été démontrées
(Balduzzi et al., 2014).
Nous l’avons dit, un système d’information est composé de multiples blocs fonctionnels interconnectés qui analysent, traitent et émettent de l’information. Ces blocs,
quelles que soient leurs fonctions (traitement, analyse, mesure, prise de décision),
peuvent être vus comme des sources qui émettent de l’information. Par ailleurs, chacun d’eux peut être vu comme mono ou multisources. Dans l’exemple de la figure 1,
si le GPS est éteint alors trois sources distinctes n’émettront plus d’information.
GPS
S1
S2
S3
Cap
Position
Vitesse
Figure 1. Le GPS peut être vu comme trois sources distinctes émettant
respectivement des informations de cap, position et vitesse
Dans cet article, nous avons fait le choix de la représentation d’un capteur par plusieurs sources (figure 1), le modèle le plus général qui allie simplicité (une source est
spécialisée, c’est-à-dire qu’elle n’envoie qu’un seul type d’information) et souplesse
(il est facile d’ajouter ou d’enlever des fonctionnalités aux sources).
3.1. Relations entre les sources et les informations
Plusieurs sources peuvent représenter un même capteur mais ce n’est pas le seul
lien qui peut les unir. Nous considérons, dans notre contexte, trois autres relations
possibles. Le premier lien considéré est la proximité géographique de deux sources.
Deux sources de même nature (e.g. position) très proches doivent émettre la même
information. Le second lien est la dépendance causale entre les sources. Lorsqu’une
1. Automatic Identification System
Évaluation de la confiance
5
source obtient ses informations par le biais d’une autre, les informations émises par les
deux doivent coïncider. L’information produite par la deuxième source est en effet subordonnée à celle produite par la première. Enfin, deux sources peuvent acquérir leurs
informations de la même manière (e.g. un SoNAR et un loch Doppler 2 sont basés sur
le son, malgré des fonctions différentes). La prise en compte de telles dépendances
est particulièrement importante, notamment lors d’un changement d’environnement
ou d’une perturbation passagère qui peuvent affecter tout ou partie des sources simultanément. Ces situations sont particulièrement fréquentes dans le cas d’un navire du
fait de son caractère dynamique.
Si une source est liée à l’information qu’elle produit et à d’autres sources, les
informations, indépendamment des sources, sont également liées. En effet, une information se doit d’être cohérente au cours du temps, c’est-à-dire de ne pas se contredire
ni contredire les autres informations. Par exemple, la distance entre deux positions du
navire sur un intervalle de temps défini doit s’accorder avec la vitesse de celui-ci. De
même, lorsque trois positions à des instants proches sont alignées dans l’espace alors
le navire est nécessairement passé par les positions intermédiaires.
3.2. Modélisation de la confiance
Dans le contexte qui nous intéresse, la modélisation de la confiance et sa mesure
impliquent de prendre en compte différentes menaces, sources de variabilité de la
confiance. Nous proposons l’évaluation de la confiance basée sur la compétence et la
sincérité de la source.
Sur un navire, les informations peuvent (notamment) être manipulées par divers moyens :
leurre, prise de contrôle d’une source, attaque sur le canal de transmission, etc. Ces
différentes malversations d’informations interviennent respectivement avant, pendant
et après le traitement de l’information par la source. Nous considérons ici les deux
premiers cas de figure, c’est-à-dire avant la production de l’information.
Une source, humaine ou automatique, peut être leurrée en profitant de ses imperfections intrinsèques et faire passer une information comme vraie. Cette information
sera ensuite diffusée dans le système d’information et considérée avec toute la légitimité offerte par la source. Cependant, la source peut, dans certains cas, déterminer
elle-même si elle se fait leurrer. Cette capacité à distinguer la réalité d’un leurre est une
composante de la compétence de la source. Dans le cas d’un capteur GPS, cette source
est dite compétente si elle évalue correctement sa position. Elle est alors capable de
se rendre compte d’un dysfonctionnement ou d’une attaque comme par exemple lors
d’un GPS-spoofing 3 . Elle ne fait pas nécessairement la différence entre la simple erreur et le leurre (intentionnel) mais elle sait que quelque chose n’est pas normal. La
compétence s’évalue dans le temps. C’est en analysant les diverses informations trans-
2. capteur mesurant la vitesse du navire
3. http://www.gizmag.com/gps-spoofing-yacht-control/28644/
6
HSP. Volume x – no y/2016. INFORSID 2016
mises par une source au cours du temps dans un domaine précis que son niveau de
compétence sera évalué.
Une source peut également tomber sous l’emprise d’une entité malveillante à
l’égard du système d’information du navire (e.g. infection par un malware dans le cas
d’un logiciel ou corruption d’une personne). Dans ce cas, la source diffuse toujours de
fausses informations au sein du réseau mais sa compétence n’est pas mise en cause.
C’est sa sincérité qui sera affectée. En effet, la source est toujours capable d’envoyer
les bonnes informations mais elle, ou l’entité qui la contrôle, choisit de ne pas le faire.
À la place, elle altère les informations avant de les diffuser. Ce genre de comportement
peut être peu perceptible dans le temps (e.g. de faibles variations qui s’additionnent
pour au final falsifier complètement l’information). Pour être capable de détecter ce
type d’attaque, il faut comparer l’information reçue avec celles fournies par les autres
sources. La sincérité d’une source s’évalue donc en confrontant l’information émise à
celles émises par les autres sources au même moment.
De ce constat, nous proposons l’évaluation de la compétence et la sincérité de la
source à partir de l’analyse des informations reçues. La figure 2 représente la matrice
des informations transmises par n sources au cours du temps. La compétence de la
source est évaluée à partir des lignes et la sincérité à partir des colonnes.
Temps
Sources
I1,0
I2,0
..
.
I1,1
I2,1
..
.
...
...
..
.
I1,t−1
I2,t−1
..
.
I1,t
I2,t
..
.
In,0
In,1
...
In,t−1
In,t
Figure 2. Évaluation de la compétence et de la sincérité des sources via l’analyse des
informations I transmises.
La confiance dans une source se mesure donc en analysant les informations selon
deux dimensions: les sources et le temps.
4. Conclusion
Un système d’information est composé de multiples éléments qu’il est impossible
de contrôler du point de vue de la sécurité. Cet article propose d’évaluer de tels systèmes par l’étude de la confiance dans des sources d’information à partir des informations fournies. La confiance est évaluée à partir de deux critères que sont la compétence et la sincérité d’une source. Ces critères permettent de considérer deux types
d’attaques que sont le leurre et la prise de contrôle. Les perspectives concernent la
mesure de la compétence et la sincérité à partir des informations reçues.
Évaluation de la confiance
7
Bibliographie
Balduzzi M., Pasta A., Wilhoit K. (2014). A security evaluation of automated identification
system. In Acsac’14.
Bhatti J., Humphreys T. E. (2014). Covert control of surface vessels via counterfeit civil gps
signals.
Blomqvist K. (1997). The many faces of trust. Scandinavian journal of management, vol. 13,
no 3, p. 271–286.
Demolombe R. (2001). To trust information sources : a proposal for a modal logical framework.
In Trust and deception in virtual societies, p. 111–124. Springer.
Demolombe R. (2004). Reasoning about trust : A formal logical framework. In Trust management, p. 291–303. Springer.
Deutsch M. (1958). Trust and suspicion. Journal of conflict resolution, p. 265–279.
Fitton O., Prince D., Germond B., Lacy M. (2015). The future of maritime cyber security.
Rapport technique. Lancaster university.
Grandison T., Sloman M. (2000). A survey of trust in internet applications. Communications
Surveys & Tutorials, IEEE, vol. 3, no 4, p. 2–16.
Jousselme A.-L., Boury-Brisset A.-C., Debaque B., Prévost D. (2014). Characterization of hard
and soft sources of information : A practical illustration. In 17th international conference
on information fusion, p. 1–8.
Lewis J. D., Weigert A. (1985). Trust as a social reality. Social Forces, vol. 63, no 4, p. 967–985.
Liu W., Williams M.-A. (2002). Trustworthiness of information sources and information pedigree. In Intelligent agents viii, p. 290–306. Springer.
Lorini E., Demolombe R. (2008). From binary trust to graded trust in information sources: A
logical perspective. LNAI 5396, p. 205–225.
Luhmann N. (1979). Trust and power. U.M.I.
Marsh S. P. (1994). Formalising trust as a computational concept (Thèse de doctorat, Department of Computer Science and Mathematics). Computing Science and Mathematics
eTheses, p. 184.
McKnight D. H., Chervany N. L. (2000). What is trust? a conceptual analysis and an interdisciplinary model. Americas Conference on Information Systems, p. 827–833.
Paglieri F., Castelfranchi C., Costa Pereira C. da, Falcone R., Tettamanzi A., Villata S. (2014).
Trusting the messenger because of the message: feedback dynamics from information quality to source evaluation. Computational and Mathematical Organization Theory, vol. 20,
no 2, p. 176–194.