Évaluation de la confiance dans un environnement
Transcription
Évaluation de la confiance dans un environnement
Évaluation de la confiance dans un environnement multisources Benjamin COSTE 1 , Cyril RAY 2 , Gouenou COATRIEUX 3 1. Chaire de Cyber Défense des Systèmes Navals Ecole navale - CC 600 F29240 Brest Cedex 9, FRANCE [email protected] 2. Ecole navale - CC 600 F29240 Brest Cedex 9, FRANCE [email protected] 3. Institut Mines-Télécom - Télécom-Bretagne Technopole Brest-Iroise, CS 83818 29238 Brest Cedex 3, FRANCE [email protected] Dans un système d’information (SI), de nombreuses informations sont produites puis stockées, analysées, traitées et diffusées (par des opérateurs humains (e.g. saisie utilisateur) ou de manière automatique (e.g. informations fournies par des capteurs)). Ces informations comme les sources associées peuvent alors être l’objet de malversations. Une question alors posée est de savoir quelle confiance accorder à ces informations ainsi qu’aux sources émettrices. Dans cet article, nous exposons une démarche d’évaluation de la confiance dans un environnement multisources hétérogènes. La confiance évaluée peut ensuite être utilisée pour renforcer la sécurité du SI via la détection de malversations de sources ou d’informations. Ces travaux sont développés dans le cadre de la sécurisation des systèmes d’information des navires modernes. RÉSUMÉ. In an information system, information is stored, analysed, processed and broacast. The nature of which can vary (e.g. human or sensors). These sources can be targeted by a malicious entity. The problem is to know how much a piece of information or a source can be trusted. This article aims to provide an approach of trust’s assessment in a heterogenous multisources environment. The trust is then used to improve the security of the information system thanks to detection of malversation of source or piece of information. This work is developped for ship’s information system’ security ABSTRACT. MOTS-CLÉS : Confiance, KEYWORDS: Trust, source d’information, système d’information, sécurité source of information, information system, security c 2016 Lavoisier DOI:10.3166/HSP.x.1-7 Hermès Science Publication – no y/2016, 1-7 2 HSP. Volume x – no y/2016. INFORSID 2016 1. Introduction Les systèmes d’information et de navigation à bord des navires sont des systèmes complexes. Ils offrent de multiples fonctions permettant la navigation comme la gestion de l’ensemble du navire (propulsion, communications, alimentation électrique, accès et gestion du personnel . . .). Ces systèmes sont composés de nombreuses interconnexions entre divers réseaux (filaire ou non, avec ou sans accès Internet) constitués tout aussi bien de capteurs (GPS, Loch . . .) que d’équipements informatiques classiques (routeurs, switchs, ordinateurs personnels, serveurs . . .). Tous ces composants sont vulnérables à des malversations de la part d’humains embarqués ou distants (Fitton et al., 2015). La sécurité d’un navire est assurée à partir de nombreuses informations remontées par des capteurs embarqués aussi bien que par les personnes se trouvant à bord. Par exemple, sur un navire de croisière, le pilotage automatique est basé sur les informations de position fournies, entre autres, par un ou plusieurs GPS embarqués. Chacun d’eux peut cependant être abusé par un dispositif de spoofing (Bhatti, Humphreys, 2014). Divers moyens peuvent être mis en place pour protéger le système d’information d’un navire dans sa globalité ou au niveau de chacun de ses constituants : authentification, contrôle d’accès, confidentialité des échanges . . . Ces solutions ont néanmoins leurs limites dans le cas où l’un des éléments est leurré ou malveillant. Chaque élément peut être vu comme une source émettant des informations de différentes natures et formes. L’inefficacité des solutions précédentes jette donc le doute sur les informations et les sources du SI. De plus, quelle que soit la complexité d’une attaque, celle-ci est initiée par un être humain. Comment assurer alors la sécurité du système d’information d’un navire en prenant en compte des technologies multiples aussi bien que des personnes au comportement parfois irrationnel? Cet article aborde la problématique de la sécurité des systèmes d’information par l’élaboration d’une mesure de confiance dans les sources et les informations analysées et traitées à bord du navire. La section 2 récapitule les différents points de vue sur la confiance présents dans la littérature. En section 3, nous exposerons notre démarche pour aborder la problématique après quoi nous conclurons sur les perspectives ouvertes. 2. État-de-l’art La confiance est une notion complexe et de nombreux travaux ont cherché à la définir dans divers domaines (Blomqvist, 1997 ; McKnight, Chervany, 2000). En économie, les modèles de confiance privilégient généralement la coopération entre les agents, c’est-à-dire que les agents "travaillent et agissent ensemble sur une tâche, et partagent les bénéfices qui en découlent" (Marsh, 1994). Évaluation de la confiance 3 En approfondissant le lien entre coopération et confiance, (Demolombe, 2004) a introduit la sincérité dans de tels modèles. En effet, l’auteur fait remarquer que la confiance d’un individu A envers un individu B n’est possible que si B est sincère aux yeux de A, c’est-à-dire que B ne dissimule aucune information ayant un intérêt pour A (Lorini, Demolombe, 2008). Cependant, B n’a peut-être aucun intérêt à se montrer sincère. En effet, la sincérité est dépendante des objectifs ou des intérêts de chacun. Si A et B ont des intérêts contraires, alors il est du bon sens que chacun se méfie de l’autre, la coopération étant dès lors impossible. En sciences humaines, avant les années 2000, la confiance visait à appréhender les rapports entre individus. Elle considérait les émotions d’un sujet (Lewis, Weigert, 1985) et son état psychologique au moment de prendre une décision (Deutsch, 1958). L’ajout d’une dimension émotionnelle à la confiance peut compenser un manque de connaissances lors de la prise de décision dans des situations nouvelles (Luhmann, 1979). Ces caractéristiques (émotions, connaissance) contribuent à qualifier la confiance. Cependant, dans le contexte considéré à l’époque, un même individu entretenait un faible nombre de relations de confiance, lesquelles s’établissaient sur le long terme. Depuis l’apparition d’Internet, l’entourage d’une personne s’est considérablement élargi. Un individu n’est plus seulement en relation avec quelques autres de son entourage. Il est maintenant connecté à une multitude de personnes et de services. Cette nouvelle masse de relations potentielles diminue considérablement le nombre d’interactions avec chaque entité et limite du même coup l’accroissement du niveau de connaissance des relations. Ainsi un entourage réduit mais bien connu a laissé place à de nombreuses relations méconnues (Grandison, Sloman, 2000). De plus, les nouveaux moyens de communication empêchent parfois d’identifier la nature du correspondant. Le peu d’interactions couplé à l’anonymat relatif d’Internet rend cette connaissance difficile à acquérir. Pour pallier les faiblesses des définitions sociales, Grandison et Sloman (Grandison, Sloman, 2000) ont défini la confiance comme "la croyance ferme en la compétence d’une entité à agir de manière fiable au travers d’un contexte spécifique" où la compétence est "la capacité d’une entité à assurer les fonctions qui lui sont attribuées". En basant la confiance sur la compétence, la définition s’adapte au mélange Hommes-Machines des systèmes d’information. Plus récemment, l’émergence et la prolifération rapide des capteurs de tous types alimentant les systèmes d’information (notamment mobiles) a suscité de nouvelles questions quant à la confiance que l’on peut avoir dans l’information. En effet, les sources sont liées aux informations qu’elles émettent (Jousselme et al., 2014). Certaines caractéristiques des sources (fiabilité, confiance, compétence, . . .) influencent les informations produites. Par exemple, en mesurant certaines propriétés des informations (qualité, confiance, crédibilité, . . .), celles de la source peuvent être estimées. De même, l’inverse est également vrai : la confiance dans une information dépend de celle accordée à la source. (Paglieri et al., 2014) analysent ce lien et établissent la confiance dans une source comme la qualité attendue d’une information. Plus la confiance dans la source est élevée et plus la qualité de l’information doit l’être également. En mesurant la qualité de l’information, la confiance dans la source s’adapte 4 HSP. Volume x – no y/2016. INFORSID 2016 en impactant deux caractéristiques de cette dernière: sa compétence et sa sincérité. Ces caractéristiques sont choisies d’après le modèle de (Demolombe, 2001). Elles ne sont pas les seules à caractériser le comportement d’une source mais il est possible de ramener les autres critères à ces deux là (Liu, Williams, 2002). 3. Évaluation de la confiance Nous étudions le sous-système de localisation et navigation du navire. Ce système dispose de capteurs spécifiques aux navires (e.g. l’AIS 1 ) aussi bien que des capteurs plus génériques (e.g. le GPS). Il est de plus particulièrement répandu (la navigation étant la partie la plus commune à gérer) et des vulnérabilités ont été démontrées (Balduzzi et al., 2014). Nous l’avons dit, un système d’information est composé de multiples blocs fonctionnels interconnectés qui analysent, traitent et émettent de l’information. Ces blocs, quelles que soient leurs fonctions (traitement, analyse, mesure, prise de décision), peuvent être vus comme des sources qui émettent de l’information. Par ailleurs, chacun d’eux peut être vu comme mono ou multisources. Dans l’exemple de la figure 1, si le GPS est éteint alors trois sources distinctes n’émettront plus d’information. GPS S1 S2 S3 Cap Position Vitesse Figure 1. Le GPS peut être vu comme trois sources distinctes émettant respectivement des informations de cap, position et vitesse Dans cet article, nous avons fait le choix de la représentation d’un capteur par plusieurs sources (figure 1), le modèle le plus général qui allie simplicité (une source est spécialisée, c’est-à-dire qu’elle n’envoie qu’un seul type d’information) et souplesse (il est facile d’ajouter ou d’enlever des fonctionnalités aux sources). 3.1. Relations entre les sources et les informations Plusieurs sources peuvent représenter un même capteur mais ce n’est pas le seul lien qui peut les unir. Nous considérons, dans notre contexte, trois autres relations possibles. Le premier lien considéré est la proximité géographique de deux sources. Deux sources de même nature (e.g. position) très proches doivent émettre la même information. Le second lien est la dépendance causale entre les sources. Lorsqu’une 1. Automatic Identification System Évaluation de la confiance 5 source obtient ses informations par le biais d’une autre, les informations émises par les deux doivent coïncider. L’information produite par la deuxième source est en effet subordonnée à celle produite par la première. Enfin, deux sources peuvent acquérir leurs informations de la même manière (e.g. un SoNAR et un loch Doppler 2 sont basés sur le son, malgré des fonctions différentes). La prise en compte de telles dépendances est particulièrement importante, notamment lors d’un changement d’environnement ou d’une perturbation passagère qui peuvent affecter tout ou partie des sources simultanément. Ces situations sont particulièrement fréquentes dans le cas d’un navire du fait de son caractère dynamique. Si une source est liée à l’information qu’elle produit et à d’autres sources, les informations, indépendamment des sources, sont également liées. En effet, une information se doit d’être cohérente au cours du temps, c’est-à-dire de ne pas se contredire ni contredire les autres informations. Par exemple, la distance entre deux positions du navire sur un intervalle de temps défini doit s’accorder avec la vitesse de celui-ci. De même, lorsque trois positions à des instants proches sont alignées dans l’espace alors le navire est nécessairement passé par les positions intermédiaires. 3.2. Modélisation de la confiance Dans le contexte qui nous intéresse, la modélisation de la confiance et sa mesure impliquent de prendre en compte différentes menaces, sources de variabilité de la confiance. Nous proposons l’évaluation de la confiance basée sur la compétence et la sincérité de la source. Sur un navire, les informations peuvent (notamment) être manipulées par divers moyens : leurre, prise de contrôle d’une source, attaque sur le canal de transmission, etc. Ces différentes malversations d’informations interviennent respectivement avant, pendant et après le traitement de l’information par la source. Nous considérons ici les deux premiers cas de figure, c’est-à-dire avant la production de l’information. Une source, humaine ou automatique, peut être leurrée en profitant de ses imperfections intrinsèques et faire passer une information comme vraie. Cette information sera ensuite diffusée dans le système d’information et considérée avec toute la légitimité offerte par la source. Cependant, la source peut, dans certains cas, déterminer elle-même si elle se fait leurrer. Cette capacité à distinguer la réalité d’un leurre est une composante de la compétence de la source. Dans le cas d’un capteur GPS, cette source est dite compétente si elle évalue correctement sa position. Elle est alors capable de se rendre compte d’un dysfonctionnement ou d’une attaque comme par exemple lors d’un GPS-spoofing 3 . Elle ne fait pas nécessairement la différence entre la simple erreur et le leurre (intentionnel) mais elle sait que quelque chose n’est pas normal. La compétence s’évalue dans le temps. C’est en analysant les diverses informations trans- 2. capteur mesurant la vitesse du navire 3. http://www.gizmag.com/gps-spoofing-yacht-control/28644/ 6 HSP. Volume x – no y/2016. INFORSID 2016 mises par une source au cours du temps dans un domaine précis que son niveau de compétence sera évalué. Une source peut également tomber sous l’emprise d’une entité malveillante à l’égard du système d’information du navire (e.g. infection par un malware dans le cas d’un logiciel ou corruption d’une personne). Dans ce cas, la source diffuse toujours de fausses informations au sein du réseau mais sa compétence n’est pas mise en cause. C’est sa sincérité qui sera affectée. En effet, la source est toujours capable d’envoyer les bonnes informations mais elle, ou l’entité qui la contrôle, choisit de ne pas le faire. À la place, elle altère les informations avant de les diffuser. Ce genre de comportement peut être peu perceptible dans le temps (e.g. de faibles variations qui s’additionnent pour au final falsifier complètement l’information). Pour être capable de détecter ce type d’attaque, il faut comparer l’information reçue avec celles fournies par les autres sources. La sincérité d’une source s’évalue donc en confrontant l’information émise à celles émises par les autres sources au même moment. De ce constat, nous proposons l’évaluation de la compétence et la sincérité de la source à partir de l’analyse des informations reçues. La figure 2 représente la matrice des informations transmises par n sources au cours du temps. La compétence de la source est évaluée à partir des lignes et la sincérité à partir des colonnes. Temps Sources I1,0 I2,0 .. . I1,1 I2,1 .. . ... ... .. . I1,t−1 I2,t−1 .. . I1,t I2,t .. . In,0 In,1 ... In,t−1 In,t Figure 2. Évaluation de la compétence et de la sincérité des sources via l’analyse des informations I transmises. La confiance dans une source se mesure donc en analysant les informations selon deux dimensions: les sources et le temps. 4. Conclusion Un système d’information est composé de multiples éléments qu’il est impossible de contrôler du point de vue de la sécurité. Cet article propose d’évaluer de tels systèmes par l’étude de la confiance dans des sources d’information à partir des informations fournies. La confiance est évaluée à partir de deux critères que sont la compétence et la sincérité d’une source. Ces critères permettent de considérer deux types d’attaques que sont le leurre et la prise de contrôle. Les perspectives concernent la mesure de la compétence et la sincérité à partir des informations reçues. Évaluation de la confiance 7 Bibliographie Balduzzi M., Pasta A., Wilhoit K. (2014). A security evaluation of automated identification system. In Acsac’14. Bhatti J., Humphreys T. E. (2014). Covert control of surface vessels via counterfeit civil gps signals. Blomqvist K. (1997). The many faces of trust. Scandinavian journal of management, vol. 13, no 3, p. 271–286. Demolombe R. (2001). To trust information sources : a proposal for a modal logical framework. In Trust and deception in virtual societies, p. 111–124. Springer. Demolombe R. (2004). Reasoning about trust : A formal logical framework. In Trust management, p. 291–303. Springer. Deutsch M. (1958). Trust and suspicion. Journal of conflict resolution, p. 265–279. Fitton O., Prince D., Germond B., Lacy M. (2015). The future of maritime cyber security. Rapport technique. Lancaster university. Grandison T., Sloman M. (2000). A survey of trust in internet applications. Communications Surveys & Tutorials, IEEE, vol. 3, no 4, p. 2–16. Jousselme A.-L., Boury-Brisset A.-C., Debaque B., Prévost D. (2014). Characterization of hard and soft sources of information : A practical illustration. In 17th international conference on information fusion, p. 1–8. Lewis J. D., Weigert A. (1985). Trust as a social reality. Social Forces, vol. 63, no 4, p. 967–985. Liu W., Williams M.-A. (2002). Trustworthiness of information sources and information pedigree. In Intelligent agents viii, p. 290–306. Springer. Lorini E., Demolombe R. (2008). From binary trust to graded trust in information sources: A logical perspective. LNAI 5396, p. 205–225. Luhmann N. (1979). Trust and power. U.M.I. Marsh S. P. (1994). Formalising trust as a computational concept (Thèse de doctorat, Department of Computer Science and Mathematics). Computing Science and Mathematics eTheses, p. 184. McKnight D. H., Chervany N. L. (2000). What is trust? a conceptual analysis and an interdisciplinary model. Americas Conference on Information Systems, p. 827–833. Paglieri F., Castelfranchi C., Costa Pereira C. da, Falcone R., Tettamanzi A., Villata S. (2014). Trusting the messenger because of the message: feedback dynamics from information quality to source evaluation. Computational and Mathematical Organization Theory, vol. 20, no 2, p. 176–194.