To see the other types of publications on this topic, follow the link: Cybersécurité.
Dissertations / Theses on the topic 'Cybersécurité'
Create a spot-on reference in APA, MLA, Chicago, Harvard, and other styles
Consult the top 50 dissertations / theses for your research on the topic 'Cybersécurité.'
Next to every source in the list of references, there is an 'Add to bibliography' button. Press on it, and we will generate automatically the bibliographic reference to the chosen work in the citation style you need: APA, MLA, Harvard, Chicago, Vancouver, etc.
You can also download the full text of the academic publication as pdf and read online its abstract whenever available in the metadata.
Browse dissertations / theses on a wide variety of disciplines and organise your bibliography correctly.
1
Vashaee, Ali. "Reconnaissance de forme dans cybersécurité." Mémoire, Université de Sherbrooke, 2014. http://savoirs.usherbrooke.ca/handle/11143/5331.
Full textAbstract:
Résumé : L’expansion des images sur le Web a provoqué le besoin de mettre en œuvre des méthodes de classement d’images précises pour plusieurs applications notamment la cybersécurité. L’extraction des caractéristiques est une étape primordiale dans la procédure du classement des images vu son impact direct sur la performance de la catégorisation finale des images et de leur classement. L’objectif de cette étude est d’analyser l’état de l’art des différents espaces de caractéristiques pour évaluer leur
efficacité dans le contexte de la reconnaissance de forme pour les applications de
cybersécurité. Les expériences ont montré que les descripteurs de caractéristiques
HOG et GIST ont une performance élevée. Par contre, cette dernière se dégrade
face aux transformations géométriques des objets dans les images. Afin d’obtenir
des systèmes de classement d’image plus fiables basés sur ces descripteurs, nous proposons deux méthodes. Dans la première méthode (PrMI) nous nous concentrons
sur l’amélioration de la propriété d’invariance du système de classement par tout
en maintenant la performance du classement. Dans cette méthode, un descripteur
invariant par rapport à la rotation dérivé de HOG est utilisé (RIHOG) dans une technique de recherche "top-down" pour le classement des images. La méthode (PrMI)
proposée donne non seulement une robustesse face aux transformations géométriques des objets, mais aussi une performance élevée similaire à celle de HOG. Elle est aussi efficace en terme de coût de calcul avec une complexité de l’ordre de O(n). Dans la deuxième méthode proposée (PrMII), nous nous focalisons sur la performance du classement en maintenant la propriété d’invariance du système de classement. Les objets sont localisés d’une façon invariante aux changement d’échelle dans l’espace de caractéristiques de covariance par région. Ensuite elles sont décrites avec les descripteurs HOG et GIST. Cette méthode procure une performance de classement meilleure en comparaison avec les méthodes implémentées dans l’étude et quelques méthodes CBIR expérimentées sur les données Caltech-256 dans les travaux antérieurs. // Abstract : The tremendous growth of accessible online images (Web images), provokes the need to perform accurate image ranking for applications like cyber-security. Feature extraction is an important step in image ranking procedures due to its direct impact on final categorization and ranking performance. The goal of this study is to analyse the state of the art feature spaces in order to evaluate their efficiency in the abject recognition context and image ranking framework for cyber-security applications. Experiments show that HOG and GIST feature descriptors exhibit high ranking performance. Whereas, these features are not rotation and scale invariant. In order to obtain more reliable image ranking systems based on these feature spaces, we proposed two methods. In the first method (PrMI) we focused on improving the invariance property of the ranking system while maintaining the ranking performance. In this method, a rotation invariant feature descriptor is derived from HOC (RIHOC). This descriptor is used in a top-down searching technique to caver the scale variation of the abjects in the images. The proposed method (PrMI) not only pro vides robustness against geometrical transformations of objects but also provides high ranking performance close to HOC performance. It is also computationally efficient with complexity around O(n). In the second proposed method (PrMII) we focused on the ranking performance while maintaining the invariance property of the ranking system. Objects are localized in a scale invariant fashion under a Region Covariance feature space, then they are described using HOC and CIST features. Finally to ob tain better evaluation over the performance of proposed method we compare it with existing research in the similar domain(CBIR) on Caltech-256. Proposed methods provide highest ranking performance in comparison with implemented methods in this study, and some of the CBIR methods on Caltech-256 dataset in previous works.
2
D'elia, Danilo. "La cybersécurité des opérateurs d’importance vitale : analyse géopolitique des enjeux et des rivalités de la coopération public-privé." Thesis, Paris 8, 2017. http://www.theses.fr/2017PA080136.
Full textAbstract:
En France dès 2008, le Livre blanc sur la défense et la sécurité nationale identifiait les attaques contre les systèmes d’information comme l’une des principales menaces qui pèsent sur la défense et la sécurité. Pour faire face aux nouvelles menaces sur les systèmes d’information, les pouvoirs publics ont fait preuve de volontarisme dans la structuration d’un vaste chantier de politiques publiques. L’interventionnisme public s’est traduit par le vote de l’article 22 de la loi de programmation militaire de 2013 qui impose désormais aux opérateurs d’importance vitale de renforcer la sécurité des systèmes d’information qu’ils exploitent. Pourtant la mise en place de cette stratégie passe par la coopération entre sphère publique et acteurs privés qui soulève nombreux conflits de nature économique, organisationnelle, politique et diplomatique. Ainsi les critiques provenant de deux côtés (public et privé) sont de plus en plus récurrentes. La question principale à laquelle cette thèse répond s’inscrit dans les préoccupations de la géopolitique: quelle est la géographie (les frontières et les territoires) de la coopération public-privé ? Si le territoire et la responsabilité territoriale sont clairs en matière de sécurité physique, dès qu’il s’agit de la cybersécurité, cela devient plus compliqué. La transformation numérique empêche une défense au périmètre et pose la question de comment agir pour dépasser les limites du modèle ancien : à une menace sur un territoire correspond un institution pour mettre en place sa défense. Mon hypothèse principale est que la coopération public-privé est le résultat d’un rapport de force politique entre acteursIn France in 2008, the White Paper on Defense and National Security identified attacks on information systems as one of the main threats to the national defense and security. In response to new threats to information systems, public authorities have been proactive in structuring a vast public policy project. Public interventionism resulted in the vote and implementation of the Article 22 of the Military Programming Act of 2013, which now requires operators of vital importance to strengthen the security of the information systems they operate. Yet the implementation of this strategy involves cooperation between the public sphere and private actors, which raises numerous conflicts of an economic, organizational, political and diplomatic nature. Thus critics from both sides (public and private) are more and more recurrent. The main question to which this thesis responds is a geopolitical issue: what is the geography (boundaries and territories) of public-private cooperation? If the territory and territorial responsibility are clear in terms of physical security, when it comes to cybersecurity, it becomes more complicated. The digital transformation prevents a perimeter defense and raises the question of how to act to overcome the limits of the old model: to a threat on a territory corresponds an institution to set up its defense. My main hypothesis is that public-private cooperation is the result of a political balance of power between actors acting at different territorial scales
3
D'elia, Danilo. "La cybersécurité des opérateurs d’importance vitale : analyse géopolitique des enjeux et des rivalités de la coopération public-privé." Electronic Thesis or Diss., Paris 8, 2017. http://www.theses.fr/2017PA080136.
Full textAbstract:
En France dès 2008, le Livre blanc sur la défense et la sécurité nationale identifiait les attaques contre les systèmes d’information comme l’une des principales menaces qui pèsent sur la défense et la sécurité. Pour faire face aux nouvelles menaces sur les systèmes d’information, les pouvoirs publics ont fait preuve de volontarisme dans la structuration d’un vaste chantier de politiques publiques. L’interventionnisme public s’est traduit par le vote de l’article 22 de la loi de programmation militaire de 2013 qui impose désormais aux opérateurs d’importance vitale de renforcer la sécurité des systèmes d’information qu’ils exploitent. Pourtant la mise en place de cette stratégie passe par la coopération entre sphère publique et acteurs privés qui soulève nombreux conflits de nature économique, organisationnelle, politique et diplomatique. Ainsi les critiques provenant de deux côtés (public et privé) sont de plus en plus récurrentes. La question principale à laquelle cette thèse répond s’inscrit dans les préoccupations de la géopolitique: quelle est la géographie (les frontières et les territoires) de la coopération public-privé ? Si le territoire et la responsabilité territoriale sont clairs en matière de sécurité physique, dès qu’il s’agit de la cybersécurité, cela devient plus compliqué. La transformation numérique empêche une défense au périmètre et pose la question de comment agir pour dépasser les limites du modèle ancien : à une menace sur un territoire correspond un institution pour mettre en place sa défense. Mon hypothèse principale est que la coopération public-privé est le résultat d’un rapport de force politique entre acteursIn France in 2008, the White Paper on Defense and National Security identified attacks on information systems as one of the main threats to the national defense and security. In response to new threats to information systems, public authorities have been proactive in structuring a vast public policy project. Public interventionism resulted in the vote and implementation of the Article 22 of the Military Programming Act of 2013, which now requires operators of vital importance to strengthen the security of the information systems they operate. Yet the implementation of this strategy involves cooperation between the public sphere and private actors, which raises numerous conflicts of an economic, organizational, political and diplomatic nature. Thus critics from both sides (public and private) are more and more recurrent. The main question to which this thesis responds is a geopolitical issue: what is the geography (boundaries and territories) of public-private cooperation? If the territory and territorial responsibility are clear in terms of physical security, when it comes to cybersecurity, it becomes more complicated. The digital transformation prevents a perimeter defense and raises the question of how to act to overcome the limits of the old model: to a threat on a territory corresponds an institution to set up its defense. My main hypothesis is that public-private cooperation is the result of a political balance of power between actors acting at different territorial scales
4
Jousse, Adrien. "Protection obligatoire vérifiée au regard des objectifs safety du secteur automobile." Electronic Thesis or Diss., Bourges, INSA Centre Val de Loire, 2022. http://www.theses.fr/2022ISAB0002.
Full textAbstract:
La safety d’un système automobile (sécurité des personnes et des biens) dépend du contexte de fonctionnement du système embarqué. Afin de préserver la safety, les mécanismes de sécurité doivent prendre en compte dynamiquement le contexte de fonctionnement du système. Or, comment garantir qu’un mécanisme de sécurité dynamique préserve la safety dans toutes les configurations possibles, sans introduire d’effets indésirables ? Afin de répondre à ces problématiques, nous proposons d’ajouter un mécanisme de contrôle d’accès obligatoire dynamique vérifié au regard des objectifs safety. Nous commençons par montrer que les mécanismes de contrôle d’accès existants ne sont pas suffisants. Nous détaillons ensuite certaines spécificités du secteur automobile et les approches de vérification formelle que nous utiliserons. Puis nous présentons la conception de notre mécanisme de contrôle d’accès, le cas d’usage réel sur lequel il sera testé, ainsi que les capacités de l'attaquant considéré. Nous détaillons aussi la politique de contrôle d’accès ainsi que les propriétés que nous vérifions sur notre cas d’usage. Nous passons ensuite à la modélisation de notre cas d’usage afin de le vérifier avec deux outils. Différentes vérifications sont effectuées afin de vérifier que le système possède les propriétés voulues, qu’elles ne sont pas garanties sans notre contrôle d'accès mais préservées par notre politique de contrôle d’accès. Enfin, nous montrons que notre mécanisme de contrôle d’accès est tolérant aux pertes lorsque des mécanismes de rejeu appropriés sont mis en placeThe safety of an automotive system (security of persons and goods) depends on the system‘s operating context. In order to preserve safety, safety mechanisms must dynamically consider the context of the embedded system. However, how can we guarantee that a dynamic safety mechanism preserves the safety in all possible configurations, without introducing undesirable effects? In order to address these issues, we propose to add a dynamic mandatory access control mechanism that is verified with respect to safety objectives. We start by showing that existing access control mechanisms are not sufficient. We then detail some specificities of the automotive sector and the formal verification approaches we will use. We then present the design of our access control mechanism, the real use case on and the capabilities of the attacker. We also detail the access control policy and the properties that have to be enforced. We then move on to model our use case in order to verify it with two tools. Different checks are performed to verify that the system has the desired properties, that they are not satisfied without our access control but are preserved by the enforcement of our access control policy. Finally, we show that our access control mechanism is loss tolerant when appropriate replay mechanisms are implemented
5
Delcombel, Nicolas. "Cybersécurité en réalité virtuelle : améliorer le processus de détection d’intrusion, d’investigation et de décision via l’utilisation de techniques de visualisations 3D immersives." Electronic Thesis or Diss., Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire, 2023. http://www.theses.fr/2023IMTA0387.
Full textAbstract:
Dans cette thèse, nous avons examiné comment la réalité virtuelle pouvait contribuer à aider les opérateurs des centres d’opération cyber qui sont chargés de traiter un grand nombre d’alertes dans des délais restreints. Pour trier ces alertes, les opérateurs comparent le comportement du système surveillé avec son comportement nominal et doivent corréler des données nombreuses et variées. Les outils 2D dont ils disposent actuellement ne fournissent pas de visualisations efficaces. Celles-ci sont limitées par leurs difficultés à corréler des données entre plusieurs visualisations, et à représenter l’évolution du comportement d’un système au fil du temps. Nous avons donc créé un concept de visualisation 3D qui permet de dépasser ces limitations. Nous avons développé un prototype immersif basé sur ce concept que nous avons évalué par rapport à des visualisations 2D. Les résultats montrent une plus grande efficacité de notre prototype pour traiter des données complexes, tout en permettant engagement accru des utilisateurs au prix d’un effort physique supplémentaire et de l’impossibilité d’interagir avec des outils 2D classiques dans l’environnement virtuel. Nous avons donc élaboré un concept d’environnement immersif pour la cybersécurité qui permet d’utiliser des visualisations 3D tout en ayant accès à des outils classiques de cybersécurité. Nous avons démontré que sa réalisation est possible et avons commencé à créer un prototype limité mais fonctionnelIn this thesis, we examined how virtual reality could contribute to assisting operators in cyber operation centers who are responsible for processing a large number of alerts within tight deadlines. To sort through these alerts, operators compare the behavior of the monitored system with its nominal behavior and must correlate numerous and diverse data. The 2D tools they currently have do not provide effective visualizations. They are limited by their difficulty in correlating data between multiple visualizations, and in representing the evolution of a system’s behavior over time. Therefore, we created a 3D visualization concept that overcomes these limitations. We developed an immersive prototype based on this concept, which we evaluated compared to 2D visualizations. The results show greater efficiency of our prototype in processing complex data, while allowing increased user engagement at the cost of additional physical effort and the inability to interact with traditional 2D tools in the virtual environment. We thus devised a concept for an immersive cybersecurity environment that enables the use of 3D visualizations while having access to conventional cybersecurity tools. We demonstrated that all the necessary software components for its realization are available and have begun combining them to create a limited but functional prototype
6
Yaseen, Amer Atta. "Toward self-detection of cyber-physical attacks in control systems." Thesis, Lille 1, 2019. http://www.theses.fr/2019LIL1I040/document.
Full textAbstract:
Un Système Contrôlé en Réseau (SCR en français, NCS (Networked Control System) en anglais) est un système de contrôle/commande distribué dans lequel les informations sont échangées en temps réel via un réseau reliant capteurs, actionneurs, contrôleurs, …) Ces SCR sont présents dans de nombreuses applications industrielles tels que les systèmes de production, les systèmes contrôlés à distance, les véhicules autonomes, la téléopération, …. Les principaux avantages de ces systèmes sont la flexibilité de leur architecture et la réduction des coûts d'installation et de maintenance, le principal inconvénient est les effets dus au réseau tels que les retards de transmission, qui influencent les performances et la stabilité de la boucle de régulation, ces systèmes sont également vulnérables aux cyber – attaques.Cette thèse apporte quelques contributions sur la détection des cyber attaques ainsi que le développement d'un contrôleur capable de traiter les effets des retards temporels.Pour atteindre cet objectif, la méthode proposée est d'adapter une commande sans modèle et d'améliorer son utilisation dans les Systèmes Contrôlés en Réseau. L'idée principale est basée sur le bénéfice mutuel d'un prédicteur de Smith et du modèle de base de la commande sans modèle. Ensuite, la structure intelligente de la commande sans modèle est appliquée avec une commande prédictive généralisée (GPC Generalized Predictive Control) de manière à obtenir une commande prédictive généralisée intelligente, qui est une amélioration du contrôleur généralisé standard. Ce contrôleur est conçu selon deux méthodes différentes pour détecter les cyber attaques.Parallèlement, un nouveau mécanisme de sécurité basé sur une réponse trompeuse pour les cyber attaques dans les Systèmes Contrôlés en Réseau est proposé. Le mécanisme proposé peut permettre d'arrêter une cyber-attaque en apportant une dernière ligne de défense lorsque l'attaquant a un accès à l'installation distante.Enfin, deux détecteurs d'attaque de piratage de commande sont introduits. L'objectif est de pouvoir détecter une attaque tel que le cas Stuxnet où le contrôleur a été détourné par reprogrammation. L'avantage des détecteurs proposés est qu'il ne nécessite pas d'avoir a priori un modèle mathématique du contrôleurA networked control system (NCS) is a control system in which the control loop is closed over a real-time network. NCSs are used in many industrial applications, and also in applications such as remote control, unmanned aerial vehicles or surgical teleoperation, ... The major advantages of NCS are a flexible architecture and a reduction of installation and maintenance costs, the main disadvantage of NCS is the network effects, such as time-delays, that influence the performance and stability of the control loop. These systems are also vulnerable to cyber attacks.This thesis makes some contributions regarding the detection of cyber-physical attacks as well as the development of a controller which capable of dealing with the other the bad effects of the network like time-delays.To achieve this goal, the proposed approach is to adapt model-free controller and to improve its use in NCS. The main idea is based on mutual benefit between Smith predictor and the basic model-free controller. Then, the intelligent structure of model-free control is applied along with Generalized Predictive Controller (GPC) to achieve the Intelligent Generalized Predictive Controller (IGPC) as an enhancement for the standard GPC. The IGPC is designed along with two different methods for cyber-attack detection.Moreover, a new security mechanism based on the deception for the cyber-physical attacks in NCS is proposed, this mechanism can allow to stop the cyber-attacks by providing the last line of defense when the attacker has an access to the remote plant.Finally, two detectors for controller hijacking attack are introduced. The objective is to be able to detect an attack such as the Stuxnet case where the controller has been reprogrammed and hijacked. The advantage of these proposed detectors is that there is not necessary to have a priori mathematical model of the controller
7
Abdo, Houssein. "Dealing with uncertainty in risk analysis : combining safety and security." Thesis, Université Grenoble Alpes (ComUE), 2017. http://www.theses.fr/2017GREAT113/document.
Full textAbstract:
L'analyse des risques est un élément essentiel pour la prise de décision réglementaire liée aux industries à haut risques. Une analyse systématique des risques se compose de trois étapes: (i) l’identification des scénarios indésirables de risque. (ii) l’estimation de la probabilité d'occurrence des scénarios des risques. (iii) le calcul d’effet des conséquences des scénarios de risque identifiés. L'analyse de la vraisemblance et de la gravité s'effectue à l'aide de modèles qui dépendent de plusieurs paramètres d'entrée. Cependant, la fiabilité de l'analyse de risque est limitée grâce à diverses sources d'incertitude. L’incertitude des paramètres, du modèle et d'incomplétude sont les principales sources d'incertitude. L’incertitude de paramètres découle de l'incapacité de définir des valeurs exactes à certains paramètres d'entrée utilisés pour l'analyse de la probabilité et de l’effet. L'incertitude de l’incomplétude provient de ne pas tenir compte de l’ensemble des contributions au risque dans le processus d'identification (certains événements initiateurs sont ignorés). L'incertitude du modèle n'est pas prise en compte dans ce travail. L'INERIS (Institut national de l'environnement industriel et des risques) a développé une approche semi-quantitative d'intervalle pour l’évaluation de la probabilité des risques qui utilise des informations quantitatives si disponibles ou des informations qualitatives, sinon. Cependant, cette approche semi-quantitative d'intervalle présente certains inconvénients en raison de l'incertitude des paramètres. L'information concernant les paramètres d’entrée des modèles d’effets est souvent incomplète, vague, imprécise ou subjective. En outre, certains paramètres peuvent être de nature aléatoire et ont des valeurs différentes. Cela conduit à deux différents types d'incertitude des paramètres. L'incertitude aléatoire dû à la variabilité naturelle. L’autre est l’incertitude épistémique, causée par le manque d'informations, par exemple, une imprécision de mesure. De plus, dans les méthodes d'analyse de risque actuelles, l'étape d'identification est incomplète. Juste les scénarios liés à la sûreté causés par des événements accidentels sont pris en compte durant l’analyse. L'introduction de systèmes connectés et de technologies numériques dans l’Industrie crée de nouvelles menaces de cyber-sécurité qui peuvent entraîner des accidents de sûreté indésirables. Ces événements liés à la cyber-sécurité doivent être pris en compte lors de l'analyse des risques industriels. Cette recherche vise à développer des méthodologies d'analyse d'incertitude pour traiter l'incertitude dans le processus d'analyse de risque de l’INERIS. En d'autres termes, analyser l'incertitude dans l'analyse de la probabilité, l'analyse des effets et l'étape d'identification. Dans ce travail, nous traitons les limites de l'approche semi-quantitative d'intervalle en introduisant la notion de nombres flous au lieu d'intervalles. Les nombres flous sont utilisés pour traiter l'incertitude dans les données d’entrée. Une méthodologie hybride qui traite chaque cause de l'incertitude des paramètres dans l'analyse des effets avec la bonne théorie est développée. La théorie de la probabilité est utilisée pour représenter la variabilité, les nombres flous sont utilisés pour représenter l'imprécision et la théorie d’évidence est utilisée pour représenter l'ignorance, l'incomplétude ou le manque de consensus. Une nouvelle méthodologie d'identification des risques qui considère la sûreté et la sécurité ensemble lors de l'analyse des risques industriels est développée. Cette approche combine Nœud-Papillon (BT), utilisé pour l'analyse de sûreté, avec une nouvelle version étendue de l’arbre d’attaque (AT), introduite pour l'analyse de cybersécurité des systèmes de contrôle industriel. L'utilisation combinée d'AT-BT fournit une représentation exhaustive des scénarios de risque en termes de sûreté et de sécuritéRisk analysis is a critical part for regulatory decision-making related to high-risk risk industries. A systematic risk analysis is made up of three steps: (i) identifying the undesirable risk scenarios. A risk scenario is characterized by referencing to the potential event with its causes and consequences. (ii) Estimating the likelihood of occurrence of risk scenarios. (iii) Calculating the effect of consequences of the identified risk scenarios. Likelihood and effect analysis are carried out with the help of models that depend on several number of input parameters.However, the trustworthiness of risk analysis is limited when inaccuracies in the results can occur, and are due to various sources of uncertainty. Parameter, model and completeness uncertainties are the main sources of uncertainty. Parameter uncertainty arises from the inability to set exact values for certain input parameters used for likelihood and severity analysis. Completeness uncertainty originates from not considering all contributions to risk in the identification process (some initiating events are ignored). Model uncertainty is not considered in this work.The INERIS (French National Institute for Industrial Environment and Risks) has developed an interval semi-quantitative approach that uses both quantitative information if available or qualitative information if not. However, this interval semi-quantitative approach has some drawbacks due to parameter uncertainty.Information regarding model parameters used for effect analysis is often incomplete, vague, imprecise or subjective. Moreover, some of the parameters may be random in nature and have different values. This leads to two different types of parameter uncertainty that need to be accounted for an accurate risk analysis and effective decision-making. Aleatoric uncertainty arises from randomness due to natural variability resulting from the variation of a value in time. Or epistemic uncertainty caused by the lack of information resulting, for example, from measurement errors, subjectivity expert judgment or incompleteness.Moreover, the identification step is incomplete where only safety related scenarios caused by accidental events are considered. The introduction of connected systems and digital technology in process industries creates new cyber-security threats that can lead to undesirable safety accidents. These cyber-security related events should be considered during industrial risk analysis.This research aims to develop uncertainty analysis methodologies to treat uncertainty in the INERIS risk analysis process. In other words, to analyze uncertainty in likelihood analysis, effect analysis and the identification step.In this work, we propose a fuzzy semi-quantitative approach to deal with parameter uncertainty in the likelihood analysis step. We handle the limits of the interval semi-quantitative approach by introducing the concept of fuzzy numbers instead of intervals. Fuzzy numbers are used to represent subjectivity in expert judgments (qualitative data) and covers uncertainty in the quantitative data if this data exists.A hybrid methodology that treat each cause of parameter uncertainty in effect analysis with the right theory is developed. Probability theory is used to represent variability, fuzzy numbers are used to represent imprecision and evidence theory is used to represent vagueness, incompleteness and the lack of consensus.A new risk identification methodology that considers safety and security together during industrial risk analysis is developed. This approach combines Bow-Tie Analysis (BTA), commonly used for safety analysis, with a new extended version of Attack Tree Analysis (ATA), introduced for security analysis of industrial control systems. The combined use of AT-BT provides an exhaustive representation of risk scenarios in terms of safety and security
8
Sultan, Bastien. "Maîtrise des correctifs de sécurité pour les systèmes navals." Thesis, Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire, 2020. http://www.theses.fr/2020IMTA0220.
Full textAbstract:
Évoluant dans des environnements contraints et rassemblant dans des espaces réduits des sous-systèmes fortement critiques et hétérogènes, les navires d'aujourd'hui font partie des objets les plus complexes qui soient. À l'heure où croît à leur bord le nombre de systèmes informatiques contrôlant parfois des actionneurs d'importance cruciale, leur maintien en condition de sécurité est une problématique majeure. Les travaux présentés dans cette thèse définissent un processus de gestion des vulnérabilités et des contremesures associées adapté au contexte des systèmes industriels complexes. Ce processus s'appuie sur une méthode et un formalisme de modélisation de ces systèmes permettant d'abstraire leur comportement, discret ou continu, et leurs évolutions éventuelles – apparition d'une vulnérabilité, déploiement d'une contremesure ou survenue d'une attaque – que nous avons définis dans le cadre de ces travaux. Il repose également sur une méthode de calcul des impacts associés aux vulnérabilités, attaques et contremesures aboutissant à leur expression sous la forme d'une métrique adaptée pour la prise de décision. Ce calcul étant permis par la modélisation du système mais aussi par celle des vulnérabilités, attaques et contremesures, nous introduisons par ailleurs une méthode et un formalisme adapté – les mutations d'automates et de réseaux d'automates – permettant leur abstraction. Ces propositions théoriques et méthodologiques sont enfin confrontées à une expérimentation sur un cas fictif représentatif d'un système de propulsion et de gouverne d'un bâtiment de type ferry ou paquebot, permettant de discuter de leur pertinence et de leurs limites ainsi que d'esquisser les perspectives de recherche naissant de nos travauxOperating in constrained environments and composed of heterogeneous subsystems, today's ships are among the most complex objects that exist. Due to the increasing number of cyber assets among their components, patch and vulnerability management applied to naval systems is an essential process. The work detailed in this PhD thesis aims to define such a process tailored to complex cyber-physical systems. This process relies on a modelling method and formalism allowing to depict CPS behaviour and cyber events – a vulnerability discovery, a cyber attack occurrence or a patch deployment. It also relies on an impact assessment method, allowing to compute the effects of cyber events on CPS ability to fulfill their missions. These impacts are expressed through a specially designed metric aiming to help in decision-making. The process, methods, formalisms and metrics we propose in this work are then evaluated through an experimentation based on a fictitious case-study
9
Maudoux, Christophe. "Vers l’automatisation de la détection d’anomalies réseaux." Electronic Thesis or Diss., Paris, HESAM, 2024. http://www.theses.fr/2024HESAC009.
Full textAbstract:
Nous vivons dans un monde hyperconnecté. À présent, la majorité des objets qui nous entourentéchangent des données soit entre-eux soit avec un serveur. Ces échanges produisent alors de l’activitéréseau. C’est l’étude de cette activité réseau qui nous intéresse ici et sur laquelle porte ce mémoire. Eneffet, tous les messages et donc le trafic réseau généré par ces équipements est voulu et par conséquentlégitime. Il est de ce fait parfaitement formaté et connu. Parallèlement à ce trafic qui peut êtrequalifié de ”normal”, il peut exister du trafic qui ne respecte pas les critères attendus. Ces échangesnon conformes aux attendus peuvent être catégorisés comme étant du trafic ”anormal”. Ce traficillégitime peut être dû à plusieurs causes tant internes qu’externes. Tout d’abord, pour des raisonsbassement mercantiles, la plus part de ces équipements connectés (téléphones, montres, serrures,caméras,. . . ) est peu, mal, voire pas protégée du tout. De ce fait, ils sont devenus les cibles privilégiéesdes cybercriminels. Une fois compromis, ces matériels communiquant constituent des réseaux capablesde lancer des attaques coordonnées : des botnets. Le trafic induit par ces attaques ou les communicationsde synchronisation internes à ces botnets génèrent alors du trafic illégitime qu’il faut pouvoir détecter.Notre première contribution a pour objectif de mettre en lumière ces échanges internes, spécifiques auxbotnets. Du trafic anormal peut également être généré lorsque surviennent des événements externesnon prévus ou extra-ordinaires tels des incidents ou des changements de comportement des utilisateurs.Ces événements peuvent impacter les caractéristiques des flux de trafic échangés comme leur volume,leurs sources, destinations ou encore les paramètres réseaux qui les caractérisent. La détection de cesvariations de l’activité réseau ou de la fluctuation de ces caractéristiques est l’objet de nos contributionssuivantes. Il s’agit d’un framework puis d’une méthodologie qui en découle permettant d’automatiserla détection de ces anomalies réseaux et éventuellement de lever des alertes en temps réelWe live in a hyperconnected world. Currently, the majority of the objects surrounding us exchangedata either among themselves or with a server. These exchanges consequently generate networkactivity. It is the study of this network activity that interests us here and forms the focus of thisthesis. Indeed, all messages and thus the network traffic generated by these devices are intentionaland therefore legitimate. Consequently, it is perfectly formatted and known. Alongside this traffic,which can be termed ”normal,” there may exist traffic that does not adhere to expected criteria. Thesenon-conforming exchanges can be categorized as ”abnormal” traffic. This illegitimate traffic can bedue to several internal and external causes. Firstly, for purely commercial reasons, most of theseconnected devices (phones, watches, locks, cameras, etc.) are poorly, inadequately, or not protectedat all. Consequently, they have become prime targets for cybercriminals. Once compromised, thesecommunicating devices form networks capable of launching coordinated attacks : botnets. The trafficinduced by these attacks or the internal synchronization communications within these botnets thengenerates illegitimate traffic that needs to be detected. Our first contribution aims to highlight theseinternal exchanges, specific to botnets. Abnormal traffic can also be generated when unforeseen orextraordinary external events occur, such as incidents or changes in user behavior. These events canimpact the characteristics of the exchanged traffic flows, such as their volume, sources, destinations,or the network parameters that characterize them. Detecting these variations in network activity orthe fluctuation of these characteristics is the focus of our subsequent contributions. This involves aframework and resulting methodology that automates the detection of these network anomalies andpotentially raises real-time alerts
10
Koucham, Oualid. "Détection d'intrusions pour les systèmes de contrôle industriels." Thesis, Université Grenoble Alpes (ComUE), 2018. http://www.theses.fr/2018GREAT090/document.
Full textAbstract:
L’objectif de ce travail de thèse est le développement de techniques de détection d’intrusions et de corrélation d’alertes spécifiques aux systèmes de contrôle industriels (ICS). Cet intérêt est justifié par l’émergence de menaces informatiques visant les ICS, et la nécessité de détecter des attaques ciblées dont le but est de violer les spécifications sur le comportement correct du processus physique.Dans la première partie de nos travaux, nous nous sommes intéressés à l’inférence automatique de spécifications pour les systèmes de contrôle séquentiels et ce à des fins de détection d’intrusions. La particularité des systèmes séquentiels réside dans leur logique de contrôle opérant par étapes discrètes. La détection d’intrusions au sein de ces systèmes a été peu étudiée malgré leur omniprésence dans plusieurs domaines d’application. Dans notre approche, nous avons adopté le formalisme de la logique temporelle linéaire (LTL) et métrique (MTL) permettant de représenter des propriétés temporelles d’ordre qualitatif et quantitatif sur l’état des actionneurs et des capteurs. Un algorithme d’inférence de propriétés a été développé afin d’automatiser la génération des propriétés à partir de motifs de spécifications couvrant les contraintes les plus communes. Cette approche vise à pallier le nombre conséquent de propriétés redondantes inférées par les approches actuelles.Dans la deuxième partie de nos travaux, nous cherchons à combiner l’approche de détection d’intrusions développée dans le premier axe avec des approches de détection d’intrusions classiques. Pour ce faire, nous explorons une approche de corrélation tenant compte des spécificités des systèmes industriels en deux points: (i) l’enrichissement et le prétraitement d’alertes venant de domaines différents (cyber et physique), et (ii) la mise au point d’une politique de sélection d’alertes tenant compte du contexte d’exécution du processus physique. Le premier point part du constat que, dans un système industriel, les alertes qui sont remontées au corrélateur sont caractérisées par des attributs hétérogènes (attributs propres aux domaines cyber et physique). Cependant, les approches de corrélation classiques présupposent une certaine homogénéité entre les alertes. Afin d’y remédier, nous développons une approche d’enrichissement des alertes du domaine physique par des attributs du domaine cyber sur la base d’informations relatives aux protocoles supportés par les contrôleurs et à la distribution des variables du processus au sein des contrôleurs. Le deuxième point concerne le développement d’une politique de sélection d’alertes qui adapte dynamiquement les fenêtres de sélection des alertes selon l’évolution des sous-processus.Les résultats de l’évaluation de nos approches de détection et de corrélation montrent des performances améliorées sur la base de métriques telles que le nombre de propriétés inférées, le taux de réduction des alertes et la complétude des corrélationsThe objective of this thesis is to develop intrusion detection and alert correlation techniques geared towards industrial control systems (ICS). Our interest is driven by the recent surge in cybersecurity incidents targeting ICS, and the necessity to detect targeted attacks which induce incorrect behavior at the level of the physical process.In the first part of this work, we develop an approach to automatically infer specifications over the sequential behavior of ICS. In particular, we rely on specification language formalisms such as linear temporal logic (LTL) and metric temporal logic (MTL) to express temporal properties over the state of the actuators and sensors. We develop an algorithm to automatically infer specifications from a set of specification patterns covering the most recurring properties. In particular, our approach aims at reducing the number of redundant and unfalsifiable properties generated by the existing approaches. To do so, we add a pre-selection stage which allows to restrict the search for valid properties over non redundant portions of the execution traces. We evaluate our approach on a complex physical process steered by several controllers under process oriented attacks. Our results show that a significant reduction in the number of inferred properties is possible while achieving high detection rates.In the second part of this work, we attempt to combine the physical domain intrusion detection approach developed in the first part with more classical cyber domain intrusion detection approaches. In particular, we develop an alert correlation approach which takes into account some specificities of ICS. First, we explore an alert enrichment approach that allows to map physical domain alerts into the cyber domain. This is motivated by the observation that alertscoming from different domains are characterized by heterogeneous attributes which makes any direct comparison of the alerts difficult. Instead, we enrich the physical domain alerts with cyber domain attributes given knowledge about the protocols supported by the controllers and the memory mapping of process variables within the controllers.In this work, we also explore ICS-specific alert selection policies. An alert selection policy defines which alerts will be selected for comparison by the correlator. Classical approaches often rely on sliding, fixed size, temporal windows as a basis for their selection policy. Instead, we argue that given the complex interdependencies between physical subprocesses, agreeing on analert window size is challenging. Instead, we adopt selection policies that adapt to the state of the physical process by dynamically adjusting the size of the alert windows given the state of the subprocesses within the physical process. Our evaluation results show that our correlator achieves better correlation metrics in comparison with classical temporal based approaches
11
Navarro, Lara Julio. "Modelization and identification of multi-step cyberattacks in sets of events." Thesis, Strasbourg, 2019. http://www.theses.fr/2019STRAD003/document.
Full textAbstract:
Une cyberattaque est considérée comme multi-étapes si elle est composée d’au moins deux actions différentes. L’objectif principal de cette thèse est aider l’analyste de sécurité dans la création de modèles de détection à partir d’un ensemble de cas alternatifs d’attaques multi-étapes. Pour répondre à cet objectif, nous présentons quattre contributions de recherche. D’abord, nous avons réalisé la première bibliographie systématique sur la détection d’attaques multi-étapes. Une des conclusions de cette bibliographie est la manque de méthodes pour confirmer les hypothèses formulées par l’analyste de sécurité pendant l’investigation des attaques multi-étapes passées. Ça nous conduit à la deuxième de nos contributions, le graphe des scénarios d’attaques abstrait ou AASG. Dans un AASG, les propositions alternatives sur les étapes fondamentales d’une attaque sont répresentées comme des branches pour être évaluées avec l’arrivée de nouveaux événements. Pour cette évaluation, nous proposons deux modèles, Morwilog et Bidimac, qui font de la détection au même temps que l’identification des hypothèses correctes. L’évaluation des résultats par l’analyste permet l’évolution des modèles.Finalement, nous proposons un modèle pour l’investigation visuel des scénarios d’attaques sur des événements non traités. Ce modèle, qui s’appelle SimSC, est basé sur la similarité entre les adresses IP, en prenant en compte la distance temporelle entre les événementsA cyberattack is considered as multi-step if it is composed of at least two distinct actions. The main goal of this thesis is to help the security analyst in the creation of detection models from a set of alternative multi-step attack cases. To meet this goal, we present four research contributions. First of all, we have conducted the first systematic survey about multi-step attack detection. One of the conclusions of this survey is the lack of methods to confirm the hypotheses formulated by the security analyst during the investigation of past multi-step attacks. This leads us to the second of our contributions, the Abstract Attack Scenario Graph or AASG. In an AASG, the alternative proposals about the fundamental steps in an attack are represented as branches to be evaluated on new incoming events. For this evaluation, we propose two models, Morwilog and Bidimac, which perform detection and identification of correct hypotheses. The evaluation of the results by the analyst allows the evolution of the models. Finally, we propose a model for the visual investigation of attack scenarios in non-processed events. This model, called SimSC, is based on IP address similarity, considering the temporal distance between the events
12
Berthelet, Pierre. "La sécurité intérieure européenne. Les rapports entretenus entre le droit et la politique publique." Thesis, Pau, 2016. http://www.theses.fr/2016PAUU2006/document.
Full textAbstract:
Le droit joue un rôle majeur dans l’élaboration d’une nouvelle politique de l’Union européenne : la sécurité intérieure. Il lui confère toute sa substance, mais surtout il est, au regard du principe de légalité, la condition et la limite de l’édification de cette politique intervenant dans un domaine sensible pour les États. En retour, le droit subit des fluctuations, conséquences des rapports interinstitutionnels. L’opérationnalité, comme forme de normativité spécifique, est une caractéristique essentielle de cette politique de nature très étatique. Intimement liée au succès de la nouvelle gouvernance dans la construction européenne, elle est la manifestation de nouvelles formes de régulations atypiques qui tendent à pénétrer le droit européen. La méthode communautaire ne disparaît pas pour autant, mais elle est repensée, tout comme le droit de l’Union dit « classique ». Sa rationalité change au fil de son évolution en direction d’un « droit néo-moderne » (C.-A. De Morand)Law plays a major role in the development of a new policy of the European Union, named the internal security policy. It gives it all its substance, but, in the light of the legality principle, it is the condition and the limit to building this policy in a sensitive area for States. In return, law undergoes fluctuations, consequences of the interinstitutional relations. The operationality, as a form of « light » normativity, is an essential characteristic of this very nature of this state policy. Intimately linked to the success of the new governance in the European construction, the operationality is the manifestation of new forms of atypical regulations that tend to penetrate the European law. The Community method does not disappear, but it is redesigned, as well as the EU « classical » law. Rationality changes throughout its evolution towards a « neo-modern right » (C.-A. De Morand)
13
Friji, Hamdi. "Graph neural network-based intrusion detection for secure edge networks." Electronic Thesis or Diss., Institut polytechnique de Paris, 2024. http://www.theses.fr/2024IPPAS030.
Full textAbstract:
Face à l'escalade de la complexité et à la fréquence des cyberattaques, cette thèse propose des approches innovantes pour la détection d'intrusion dans les réseaux, en exploitant les capacités avancées des réseaux de neurones en graphe (Graph Neural Networks, GNNs) et de nouvelles représentations sous forme de graphes. Nous commençons par une analyse critique des jeux de données et des représentations de réseaux actuels, en abordant des questions clés sur leur efficacité. Nous introduisons une nouvelle représentation des flux de communication sous forme de graphes, offrant une plus grande robustesse face aux manipulations de type attaques adversariales (adversarial attacks).Nous présentons ensuite l'un des premiers systèmes de détection d'intrusion utilisant notre représentation en graphe basée sur les GNNs. Ce système permet d'évaluer les comportements malveillants en capturant des motifs complexes souvent ignorés par les méthodes traditionnelles. Les résultats montrent que notre approche surpasse largement les solutions existantes basées sur l'apprentissage automatique et les GNNs en termes de précision et de robustesse.Pour relever les défis de la scalabilité et de l'efficacité dans les environnements à grande échelle, nous introduisons G-DEMIS (« Graph-based DEcentralized Multi-agent Intrusion detection System »), un système multi-agent décentralisé exploitant les GNNs pour une détection rapide des activités malveillantes. En agrégeant les informations locales à travers le réseau, G-DEMIS améliore la détection en temps réel tout en réduisant la consommation d'énergie de 58 % et le temps de réponse de 17,13 % par rapport aux approches centralisées. Enfin, nous proposons un algorithme innovant pour tracer les chemins de propagation des attaques, aidant à identifier les machines compromises dans le contexte des menaces persistantes avancées. Les travaux de cette thèse permettent non seulement de faire progresser l'état de l'art en matière de détection d'intrusions, mais ouvrent également la voie à de nouvelles avancées en cybersécuritéIn light of the escalating complexity and frequency of cyberattacks, this thesis presents innovative approachs to network intrusion detection that leverages the advanced capabilities of Graph Neural Networks (GNNs) and novel graph-based representations. To lay the foundation for our research, we first conduct a critical review of existing intrusion detection datasets and network representations, focusing on their effectiveness in addressing key research challenges. This thesis presents our insights and analysis of two widely used datasets: ToN IoT and CICIDS 2017, highlighting their strengths and limitations. Our approach introduces a new flow-based graph representation of communication flows, which enhances existing solutions by increasing robustness against adversarial attacks.First, we present one of the pioneering GNN-based intrusion detection systems, which utilizes our graph representation and GNN algorithms to compute maliciousness scores. This system captures complex relational patterns that traditional methods often overlook. Our findings demonstrate that this framework significantly outperforms the current state-of-the-art machine learning and GNN-based solutions in terms of both accuracy and robustness. Additionally, we propose a three-stage intrusion detection system inspired by the Lockheed Martin cyber kill chain, designed to detect advanced multi-step attacks. This system achieved an average F1-score of 94% on the ToN IoT dataset, surpassing traditional random forest models and demonstrating its effectiveness for real-world applications.To address scalability and efficiency challenges in large-scale environments, we introduce G-DEMIS, a Graph-based DEcentralized Multi-agent Intrusion detection System that enhances the use of GNNs for a fast detection of malicious activities. G-DEMIS employs a collaborative approach in which multiple agents monitor different network segments, aggregating local graph information to form a comprehensive view of the network. This framework not only enhances real-time detection capabilities but also reduces energy consumption by 58.08% and detection time by 17.13% compared to centralized models.Finally, we tackle the challenge of defending against Advanced Persistent Threats (APTs) by proposing a novel algorithm for reconstructing attack propagation paths. This algorithm assists engineers in identifying compromised machines following an APT attack by detecting and analyzing anomalous behaviors in the network, tracing the progression of the attack, and providing a detailed understanding of the attack paths.This thesis not only advances the current state of intrusion detection but also lays the foundation for future innovations in cybersecurity
14
Marcadet, Gaël. "Design of Secure Multi-User Protocols : Application to Bandits, Ticketing and File Transfer." Electronic Thesis or Diss., Université Clermont Auvergne (2021-...), 2024. http://www.theses.fr/2024UCFA0055.
Full textAbstract:
Un protocole cryptographique établit une série d'interactions parmi des utilisateurs pour fournir une fonctionnalité donnée tout en garantissant diverses propriétés. Un protocole est considéré comme sécurisé lorsqu'il assure avec succès toutes les propriétés attendues. Pour ce faire, il utilise de primitives cryptographiques dont l'usage peut entraîner un surcoût de calcul et donc limiter la scalabilité du protocole. Tout au long de ce manuscrit, nous nous concentrons sur trois problèmes impliquant plusieurs utilisateurs. La première contribution se concentre sur la conception d'un framework de bandits fédérés, où un serveur de fédération agissant en tant qu'agent d'apprentissage, tire successivement un bandit, ce qui produit une récompense provenant d'une distribution inconnue associée au bandit choisi. Dans cette contribution, nous introduisons Tango, un protocole de bandits fédérés sécurisé corrigeant et étendant notre première tentative Samba, qui s'est révélée être non sécurisée. Nous prouvons que Tango empêche le serveur de fédération d'apprendre les récompenses générées ainsi que le bandit choisi, au prix d'un surcoût de calcul important dû à l'utilisation de primitives cryptographiques coûteuses. Dans la deuxième partie de cette contribution, nous introduisons Salsa, un protocole de bandits fédérés sécurisé s'éloignant de l'esprit de Samba et Tango, empêchant le serveur de fédération d'apprendre des données sensibles tout en obtenant des performances élevées. La deuxième contribution de ce manuscrit traite de la conception d'un système de billetterie, impliquant un grand nombre d'utilisateurs. Malgré la forte demande, ces systèmes offrent des garanties très restreintes. Par exemple, il est facile de revendre un billet deux fois. Pire, la majorité des billets sont nominatifs, permettant d'identifier le propriétaire d'un billet. En utilisant des primitives cryptographiques standards, nous proposons Applause et Spotlight, deux systèmes de billets garantissant l'anonymat des utilisateurs tout en proposant l'achat, le remboursement, la validation et le transfert d'un billet. La différence entre Applause et Spotlight réside dans la capacité de lever l'anonymat d'un utilisateur : dans Applause, l'anonymat d'un utilisateur est garanti. Ceci est toujours valable dans Spotlight sauf pour une partie externe capable de lever l'anonymat d'un utilisateur. Toutefois, lever l'anonymat dans Spotlight est possible au prix d'une validation de billet plus longue. Notre troisième contribution se concentre sur le problème de diffusion d'un fichier à un groupe d'utilisateurs. La solution triviale consistant à stocker des fichiers sur un seul serveur disponible publiquement est insuffisante, notamment lorsque le serveur est hors service. Dans cette contribution, nous introduisons un protocole efficace et universellement composable permettant à un utilisateur de partager un fichier avec un groupe d'utilisateurs, tout en garantissant la confidentialité et l'intégrité du fichier ainsi que l'authentification de l'expéditeurA cryptographic protocol establishes a series of interactions among users to deliver a given functionality while ensuring various properties, a protocol being considered secure when it successfully ensures all intended properties. Accomplishing these properties requires the need of cryptographic primitives, whose usage may entail computation overhead, limiting the scalability of the protocol. Throughout this manuscript, we focus on three problems dealing with multiple users. The first contribution focuses on the design of a federated multi-armed bandits framework where a federation server, acting as a learning agent, sequentially pulls a bandit arm, the environment responding with a reward coming from an unknown distribution associated with the chosen bandit. In this contribution, we introduce Tango, a secure federated multi-armed bandits protocol fixing and extending our initial attempt Samba shown to be insecure. Tango is proved to prevent the federation server to learn the reward distribution, the obtained rewards and the pulled bandit arm, at the cost of a large computation overhead due to the usage of expensive cryptographic primitives. In the second part of this contribution, we introduce Salsa a secure federated multi-armed bandits protocol moving away from the blueprint of Samba and Tango, still preventing the federation server to learn sensitive data while achieving high-performance. The second contribution of this manuscript addresses a problem involving a large number of users, since it concerns the design of a ticketing system. Indeed, despite the high-demand, these systems provide very restricted guarantees. For instance, one may easily resell a ticket twice. To go further, tickets are nominative, revealing the identity of the ticket's owner. Using standard cryptographic primitives, we propose two scalable ticketing systems called Applause and Spotlight, ensuring anonymity of users while featuring ticket purchasing, ticket refunding, ticket validation and ticket transferability. The difference between Applause and Spotlight lies in the ability to recover the identity of an attendee: In Applause, the anonymity of every user is guaranteed at any time, a property that still hold with Spotlight except for an additional third-party able to recover the identity of an attendee, at the cost of a slightly longer ticket validation. Our third and final contribution deals with the problem of file transfer by broadcasting, which involves sharing a file with a group of users. The trivial solution of storing files on a single, publicly accessible server falls short for instance when the server is down or when the server handles a high number of requests. In this contribution, we introduce a universally composable and efficient protocol allowing one to share a file with a specified group of users while ensuring confidentiality, integrity of the file and sender authentication
15
Migliore, Vincent. "Cybersécurite matérielle et conception de composants dédiés au calcul homomorphe." Thesis, Lorient, 2017. http://www.theses.fr/2017LORIS456/document.
Full textAbstract:
L’émergence d’internet et l’amélioration des infrastructures de com- munication ont considérablement encouragé l’explosion des flux d’in- formations au niveau mondial. Cette évolution a été accompagnée par l’apparition de nouveaux besoins et de nouvelles attentes de la part des consommateurs. Communiquer avec ses proches ou ses collaborateurs, stocker des documents de travail, des fichiers mul- timédia, utiliser des services innovants traitant nos documents per- sonnels, tout cela se traduit immanquablement par le partage, avec des tiers, d’informations potentiellement sensibles. Ces tiers, s’ils ne sont pas de confiance, peuvent réutiliser à notre insu les données sensibles que l’on leur a confiées. Dans ce contexte, le chiffrement homomorphe apporte une bonne solution. Il permet de cacher aux yeux des tiers les données qu’ils sont en train de manipuler. Cependant, à l’heure actuelle, le chif- frement homomorphe reste complexe. Pour faire des opérations sur des données de quelques bits (données en clair), il est nécessaire de manipuler des opérandes sur quelques millions de bits (données chiffrées). Ainsi, une opération normalement simple devient longue en termes de temps de calcul. Dans cette étude, nous avons cherché à rendre le chiffrement ho- momorphe plus pratique en concevant un accélérateur spécifique. Nous nous sommes basés sur une approche de type co-conception logicielle/matérielle utilisant l’algorithme de Karatsuba. En particulier, notre approche est compatible avec le batching, qui permet de sto- cker plusieurs bits d’informations dans un même chiffré. Notre étude démontre que le batching peut être implémenté sans surcoût important comparé à l’approche sans batching, et permet à la fois de réduire les temps de calcul (calculs effectués en parallèle) et de réduire le rapport entre la taille des données chiffrées et des données en clairThe emergence of internet and the improvement of communica- tion infrastructures have considerably increased the information flow around the world. This development has come with the emergence of new needs and new expectations from consumers. Communicate with family or colleagues, store documents or multimedia files, using innovative services which processes our personal data, all of this im- plies sharing with third parties some potentially sensitive data. If third parties are untrusted, they can manipulate without our agreement data we share with them. In this context, homomorphic encryption can be a good solution. Ho- momorphic encryption can hide to the third parties the data they are processing. However, at this point, homomorphic encryption is still complex. To process a few bits of clear data (cleartext), one needs to manage a few million bits of encrypted data (ciphertext). Thus, a computation which is usually simple becomes very costly in terms of computation time. In this work, we have improved the practicability of homomorphic en- cryption by implementing a specific accelerator. We have followed a software/hardware co-design approach with the help of Karatsuba algorithm. In particular, our approach is compatible with batching, a technique that “packs" several messages into one ciphertext. Our work demonstrates that the batching can be implemented at no important additional cost compared to non-batching approaches, and allows both reducing computation time (operations are processed in parallel) and the ciphertext/cleartext ratio
16
Abbas, escribano Marwan. "Modélisation de systèmes de leurres complexes." Electronic Thesis or Diss., Institut polytechnique de Paris, 2024. http://www.theses.fr/2024IPPAS009.
Full textAbstract:
L'emploi de leurres et de techniques de déception pour la cybersécurité est très présent dans la littérature, même s'il reste relativement peu employé dans l'industrie malgré des progrès dans la virtualisation des systèmes et des architectures. Il est possible aujourd'hui de déployer des leurres pour détecter des attaquants et analyser leur procédés, mais se déploiement se fait au niveau individuel, avec un approche restreinte: un leurre simulant un ou plusieurs services est positionné au sein d'un périmètre à défendre. Cette approche au cas par cas rend difficilement généralisable le déploiement et l'analyse de données issues des leurres. Dans cette thèse, nous avons cherché à construire un modèle de leurre qui permet de décrire ceux-ci de façon claire et détaillée et à tester la faisabilité et l'efficacité des leurres bâtis selon celui-ci. Nous présentons en premier notre modèle ainsi que ses différentes composantes. Il se base en particulier sur la matrice MITRE ATT&CK qui nous permet une approche novatrice en construisant nos leurres à partir de possibilités d'attaque offertes aux attaquants, en simulant toute une cyberkillchain plutôt que de simples vulnérabilités. Nous avons ensuite cherché à vérifier la faisabilité de notre modèle en construisant un réseau de leurres en nous basant sur notre modèle, puis avons testé l'efficacité de ces leurres pour l'analyse de données d'attaque en les déployant dans deux contextes différents. Nous avons démontré que nos leurres sont efficaces à l'heure d'attirer des attaquants et d'obtenir des données d'analyse exploitablesThe use of decoys and deception techniques in cybersecurity is well documented in the literature, although it is not widespread used in industry despite advances in system and architecture virtualization. It is possible today to deploy decoys to detect attackers and analyze their processes, but deployment is done on an individual level, with a restricted approach: a decoy simulating one or more services is positioned within a perimeter to be defended. This case-by-case approach makes it difficult to generalize the deployment and analysis of decoy data. In this thesis, we set out to build a decoy model that provides a clear and detailed description of decoys, and to test the feasibility and effectiveness of decoys based on this model. We first present our model and its various components. In particular, it is based on the MITRE ATT&CK matrix, which enables us to take an innovative approach by building our decoys from attack possibilities offered to attackers, simulating an entire cyberkillchain rather than just vulnerabilities. We then sought to verify the feasibility of our model by building a network of decoys based on our model, and tested the effectiveness of these decoys for analyzing attack data by deploying them in two different contexts. We demonstrated that our decoys are effective in attracting attackers and obtaining exploitable analysis data
17
Sadek, Mohamed. "La sécurisation des marchés financiers." Thesis, Toulouse 1, 2019. http://www.theses.fr/2019TOU10062.
Full textAbstract:
L’instabilité régnante sur les marchés financiers justifie une nette amélioration des méthodes régulatrices actuelles. En effet, la nouvelle dynamique proposée par la thèse est celle tendant à rendre les marchés, des lieux de création de richesse et non d’insécurité. Comment y parvenir ? Par la conjonction de deux démarches : la première est celle qui prône l’adaptation des instruments classiques de sécurisation (Partie I) à savoir la norme d’un côté (Titre 1) et l’institution de l’autre (Titre 2). Étant néanmoins dépassée par les évolutions technologiques sur les marchés, cette adaptation n’est que le substrat qui devrait permettre à ce qu’une seconde démarche de sécurisation prospective, naisse (Partie II). Une sécurisation à la fois par la technologie (Titre 2) et contre les menaces technologiques (Titre 1). L’adaptation de la sécurisation classique combinée à l’instauration d’une sécurisation prospective : tels sont les deux piliers suggérés pour sécuriser les marchés financiersThe prevailing instability in the financial markets legitimizes a clear improvement in the methods of the current regulators. Indeed, the new dynamic proposed in the thesis is to consider markets as a place of wealth creation and not insecurity. How to achieve this goal? By the conjunction of two approaches: the first approach is the one that advocates the adaptation of classic instruments of recovery (Part I), namely the standards from one side (Title 1) and the institution from the other (Title 2). Nevertheless, being outpaced by the technological evolutions in the markets, this adaptation is only the substrate which should allow a second step to emerge, a step of prospective security (Part II) by both technology (Title 2) and against technological threats (Title 1). Thus, the adaptation of classic security combined with the introduction of a prospective security are the two pillars suggested for securing the financial markets
18
Zerkane, Salaheddine. "Security Analysis and Access Control Enforcement through Software Defined Networks." Thesis, Brest, 2018. http://www.theses.fr/2018BRES0057/document.
Full textAbstract:
Les réseaux programmables (SDN) sont un paradigme émergent qui promet de résoudre les limitations de l'architecture du réseau conventionnel. Dans cette thèse, nous étudions et explorons deux aspects de la relation entre la cybersécurité et les réseaux programmables. D'une part, nous étudions la sécurité pour les réseaux programmables en effectuant une analyse de leurs vulnérabilités. Une telle analyse de sécurité est un processus crucial pour identifier les failles de sécurité des réseaux programmables et pour mesurer leurs impacts. D'autre part, nous explorons l'apport des réseaux programmables à la sécurité. La thèse conçoit et implémente un pare-feu programmable qui transforme la machine à états finis des protocoles réseaux, en une machine à états équivalente pour les réseaux programmables. En outre, la thèse évalue le pare-feu implémenté avec NetFilter dans les aspects de performances et de résistance aux attaques d’inondation par paquets de synchronisation. De plus, la thèse utilise l'orchestration apportée par les réseaux programmables pour renforcer la politique de sécurité dans le Cloud. Elle propose un Framework pour exprimer, évaluer, négocier et déployer les politiques de pare-feu dans le contexte des réseaux programmables sous forme de service dans le CloudSoftware Defined Networking (SDN) is an emerging paradigm that promises to resolve the limitations of the conventional network architecture.SDN and cyber security have a reciprocal relationship. In this thesis, we study and explore two aspects of this relationship. On the one hand, we study security for SDN by performing a vulnerability analysis of SDN. Such security analysis is a crucial process in identifying SDN security flaws and in measuring their impacts. It is necessary for improving SDN security and for understanding its weaknesses.On the other hand, we explore SDN for security. Such an aspect of the relationship between SDN and security focusses on the advantages that SDN brings into security.The thesis designs and implements an SDN stateful firewall that transforms the Finite State Machine of network protocols to an SDN Equivalent State Machine. Besides, the thesis evaluates SDN stateful firewall and NetFilter regarding their performance and their resistance to Syn Flooding attacks.Furthermore, the thesis uses SDN orchestration for policy enforcement. It proposes a firewall policy framework to express, assess, negotiate and deploy firewall policies in the context of SDN as a Service in the cloud
19
Billong, Billong Abel Henri. "La sécurisation du commerce électronique dans l'espace OHADA." Thesis, Lyon, 2017. http://www.theses.fr/2017LYSE3005.
Full textAbstract:
La thèse a pour ambition de faire un état des lieux de la sécurisation du commerce électronique dans l'espace OHADA. Compte tenu de l'inexistence d'un Acte uniforme dédié à la matière et que les Actes uniformes consacrés par le législateur OHADA concerne surtout les aspects traditionnels de du commerce, il sera également question d'accroître la sécurité en améliorant le processus qui y conduit. L’intérêt du sujet tient notamment au fait que le commerce électronique n’a pas encore fait l’objet d’une réglementation en droit OHADA. Il s’agit d’une réflexion prospective visant à dégager des propositions pour une évolution de la matière. De notre point de vue, la réglementation OHADA actuelle, est illisible et source de difficultés par rapport aux objectifs de sécurisation poursuivis en Afrique. Il est donc intéressant de proposer un modèle de sécurisation à partir des initiatives existantes dans l’espace OHADA et dans le droit français et européen très en avance en la matièreBesides the opportunity of a regulation on electronic commerce and its actors, the rules governing the construction process particularly interested observer. Regarding supervision of business law, the position of the common legislator OHADA is not indisputable. New methods to achieve commercial transactions in Africa have indeed revealed the fragility of its foundations. Thus, the balance inherent in the establishment of OHADA is increasingly threatened .The intervention of the common organization was actively expected in order to legally manage the consequences of using the Internet. Those expectations have not been actually entirely satisfied. Indeed, OHADA has not yet released any uniform act dedicated to e-commerce. This leads to the usage of the existing rules, still embryonic. This is the state initiatives whose legitimacy and effectiveness depend on the principles of OHADA. Although likely to fill gaps of the latter, they are nevertheless clearly insufficient. They do not make it possible to grasp all the changes and developments of practices inherent in dematerialization and ubiquity.Yet, as far as their vehicles namely the Internet, the emergence of online economic activity generates important security needs. The control of multiple security risks depends on the emergence of other standard-setting initiatives. The model building should reinforce the coherence of the process as well as the modernization of the rules concerned. In addition to French and community laws, despite the observed imperfections, processes and resulting rules represent a nourishing source of secure e-commerce model in OHADA
20
Kabil, Alexandre. "CyberCOP 3D : visualisation 3D interactive et collaborative de l'état de sécurité d'un système informatique." Thesis, Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire, 2019. http://www.theses.fr/2019IMTA0166.
Full textAbstract:
L’objectif de la thèse était d’étudier l’utilisation d’Environnements Virtuels Collaboratifs (EVC) pour l’analyse de l’état de sécuritéde systèmes informatiques, aussi appelée la Cyber Situational Awareness (CSA). Après avoir étudié les modèles et outils de la CSA, nous avons pu visiter les Security Operations Center (SOCs) de quatre partenaires industriels de la Chaire Cyber CNI, afin de mieux cerner les besoins et attentes des cyber analystes. Ces visites ont été effectuées dans le cadre d’un protocole de l’analyse de l’activité collaborative et nous ont permises de proposer un modèle, le CyberCOP 3D. En nous basant sur notre modèle ainsi que sur une modélisation du rançongiciel WannaCry, nous avons développé un EVC pour la cybersécurité ainsi qu’un moteur de scénarisation simplifié permettant à des utilisateurs de concevoir leurs propres scénarios d’analyse d’alertes. Nous avons effectué une évaluation de l’utilisabilité d’un environnement virtuel pour l’analyse d’alertes auprès d’utilisateurs non-experts en cybersécuritéThe aim of this thesis was to study the use of Collaborative Virtual Environments (CVE) for the analysis of the state of security of computer systems, also called Cyber Situational Awareness (CSA). After studying CSA’s models and tools, we have had the opportunity to visit the Security Operations Centers (SOCs) of four industrial partners of the CyberCNI chair, in order to better understand the needs and expectations of cyber analysts. These visits were made as part of a collaborative activity analysis protocol and have allowed us to propose a model, the 3D Cyber-COP. Based on this model and a model of the WannaCry ransomware, we have developed a CVE and a simplified scenario engine that allows users to design their own alert analysis scenarios. We have also performed a usability evaluation of a virtual environment for alert analysis, with a panel of novice users
21
Poirrier, Alexandre. "Formal Security of Zero Trust Architectures." Electronic Thesis or Diss., Institut polytechnique de Paris, 2024. http://www.theses.fr/2024IPPAX050.
Full textAbstract:
La sécurité des systèmes d'information repose traditionnellement sur le modèle de sécurité du périmètre, qui compartimentalise le réseau en différents périmètres isolés qui regroupent les ressources. Un système accède à un périmètre en s'authentifiant, et une fois au sein d'un périmètre, il est implicitement considéré comme étant de confiance, jouissant d'un accès non restreint à toutes les ressources de ce périmètre. Cependant, de nombreuses attaques envers les architectures périmétriques ont montré les limites de cette confiance. De plus, la transformation des systèmes d'information, par exemple l'émergence des services en nuage (cloud services), le télétravail ou l'usage de prestataires, a remis en cause la vision d'un réseau monolithique de confiance. Ainsi, un nouveau paradigme de sécurité a émergé, appelé zéro confiance. Fondé sur le principe "ne jamais faire confiance, toujours vérifier", ce paradigme transforme la notion de périmètre, en établissant un ensemble de principes de sécurité reposant sur une autorisation contextuelle et dynamique. Cependant, mettre en œuvre une architecture zéro confiance pose de nombreux défis, en particulier car il n'existe pas de définition claire du paradigme zéro confiance.Dans ce contexte, cette thèse explore comment développer un cadre pratique et formel pour raisonner sur la sécurité des systèmes d'information. Tout d'abord, une étude approfondie du modèle zéro confiance est conduite, puis une taxonomie des technologies et architectures zéro confiance existantes est établie, ce qui permet une compréhension exhaustive du paradigme zéro confiance. Cela mène à la création d'une méthode d'évaluation des architectures, qui permet également d'identifier des lacunes dans la recherche sur le zéro confiance. Cette thèse propose plusieurs contributions pour combler ces lacunes, afin d'améliorer l'état de l'art pour le zéro confiance. Ces améliorations sont intégrées au sein d'un démonstrateur d'architecture zéro confiance, illustrant comment une architecture zéro confiance peut être complémentée par de nouvelles technologies pour améliorer sa maturité. Enfin, cette thèse prend du recul et évalue comment le paradigme zéro confiance répond aux problèmes de sécurité auxquels font face les entreprises, démontrant qu'il n'est pas suffisant seul pour protéger les données et services sensiblesThe security architecture of Information Technology (IT) systems has traditionally been based on the perimeter security model, in which resources are grouped into perimeters isolated through network mechanisms, and devices are authenticated to access perimeters. Once within a perimeter, devices are implicitly trusted, and enjoy unrestricted access to resources within that perimeter. However, history has shown that such trust is misplaced, as numerous security threats and successful attacks against perimeter-based architectures have been documented. Furthermore, the emergence of new IT usages, such as cloud services, work-from-home, and service providers and subsidiaries relationships, has challenged the relevance of considering a monolithic, trusted network for accessing resources. These considerations have led to the emergence of a novel security paradigm, called by zero trust. Founded on the principle "never trust, always verify", this approach transforms the notion of perimeter and establishes a set of security principles that prioritize context-aware and dynamic authorization. Nevertheless, implementing zero trust poses significant challenges, due to a lack of clear guidelines for defining zero trust.In this context, this thesis investigates whether, and how, it is possible to develop a practical and formal framework for reasoning about the security of IT architectures. First, a thorough survey of zero trust is conducted, and a taxonomy of existing zero trust technologies and architectures is developed, enabling a comprehensive understanding of zero trust. This leads to the development of an evaluation framework, that is used to identify gaps within zero trust research. This thesis provides contributions aiming to address some of these gaps, for enhancing the state of zero trust technology development. These improvements are integrated into a proof-of-concept zero trust architecture implemented for this thesis, illustrating a method for extending an existing zero trust architecture. Finally, the thesis takes a step back, and evaluates the extent to which the zero trust framework addresses real-world problems, demonstrating that the zero trust framework alone is not sufficient for protecting sensitive data and services
22
Timbert, Michaël. "Protections des processeurs contre les cyber-attaques par vérification de l’intégrité du flot d’exécution." Electronic Thesis or Diss., Institut polytechnique de Paris, 2020. http://www.theses.fr/2020IPPAT028.
Full textAbstract:
Les cyber-attaques reposent sur l'intrusion des systèmes numériques en exploitant des vulnérabilités pour prendre le contrôle du système. De nombreuses protections existent contre les cyber-attaques. Parmi elles, citons les techniques d'obfuscation de code, de vérifications d'intégrité de la mémoire,la personnalisation du jeu d'instruction, la distribution aléatoire de l'espace d'adressage (ASLR), les anticipations par les canaris ou bac à sable, l'isolation des processus (machines virtuelles), la gestion de droits d'accès. Au niveau matériel, les processeurs modernes procurent des techniques de sécurisation par isolation de zones (anneaux de protection, MMU, NX bit, Trustzone). Le Contrôle de l'Intégrité du flux d'exécution (Control Flow Integrity, CFI) est une nouvelle technique proposée par Abadi et al. pour empêcher la corruption d'un programme. Cette technique a donné lieu à beaucoup d'implémentations mais aucune n'est à la fois complète, rapide et facilement incorporable aux processeurs existants. Cette thèse est inspirée des travaux de HCODE qui implémente l'intégrité du code par calcule de signature pour chaque bloc de base de code exécuté. HCODE est un module matériel conçu pour être connecté en lecture seule sur l'interface entre le processeur et le cache d'instruction. Dans cette thèse nous présentons une amélioration de HCODE nommée CCFI qui fournit à la fois la protection de d'intégrité de code et l'intégrité du flux d'exécution. Nous proposons une architecture capable de protéger les sauts directs et indirects aussi bien que les interruptions. La solution proposée repose à la fois sur des modules matériels et sur des modifications du code pour assurer rapidité et flexibilité de la solution. Pour garantir une protection CFI complète, des métadonnées sont ajoutées au code. Ces métadonnées décrivent le graphe de flot de contrôle (Control Flow Graph, CFG) du programme. Celles-ci sont calculées statiquement pendant la phase de compilation et sont utilisées par le module matériel CCFI en conjonction avec le code exécuté pour garantir que le CFG est respecté. Nous démontrons que notre solution est capable de fournir une intégrité du flux d'exécution Complète en étant à la fois rapide et facilement adaptable aux processeurs existants. Nous l'illustrons sur deux processeurs RISC-VCyber attacks are based on intrusions into digital systems by exploiting bugs to take control over the system. Many protections have been developed to thwart cyber attack, among them we can quote code obfuscation, memory integrity check, instruction set randomization, address space layout randomization (ASLR), canary, sand boxing, process isolation, virtualization and access right restriction. Modern processors provide security by zone isolation systems (Protection ring, MMU, NX bit, TrustZone), Control Flow Integrity (CFI) is a new technique proposed by Abadi et al. to mitigate program corruption. This technique gave rise to many implementations but none are complete, fast and easily incorporable to existing processor. This thesis is inspired from previous work on HCODE which implements code integrity by computing signature for each executed basic block. HCODE is an hardware block designed to be plugged in read only on the interface between the processor and the instruction cache. In this thesis we present CCFI solution, improvement of HCODE, which is now able to provide Code Integrity and Control Flow Integrity. We propose CCFI architecture able to protect direct and indirect jumps as well as interruptions. The proposed solution is based on both hardware modules and software modifications to ensure speed and flexibility of the solution. To ensure a full CFI protection metadata are embedded with the code. These metadata describes the Control Flow Graph
23
Brisse, Romain. "Exploration recommendations for the investigation of security incidents." Electronic Thesis or Diss., CentraleSupélec, 2024. http://www.theses.fr/2024CSUP0001.
Full textAbstract:
Ces dernières années, les analystes doivent faire face à des obstacles grandissants dans leur activité. Non seulement les données à investiguer sont hétérogènes, contiennent trop de dimensions, ou sont incomplètes, mais les attaques et attaquants se multiplient, créant une pénurie d'experts du domaine. De nombreux outils visent à soulager leur charge de travail, notamment pendant la réponse à incident, mais ce n'est pas suffisant. Les travaux de la thèse réalisée par Romain Brisse consistent à trouver des méthodes pour faciliter la phase investigative de la réponse à incident. Ils se focalisent notamment sur l'utilisation de systèmes de recommandation proposant des chemins d'exploration dans les journaux d'événements à investiguer. Les contributions de la thèse comportent deux systèmes de recommandation. Le premier, KRAKEN, utilise des connaissances expertes de la communauté cyber, permettant de reconnaître l'attaque observée et de recommander les champs les plus pertinents à explorer. La seconde contribution s'inscrit dans la continuité de la première, car ayant remarqué la difficulté pour un système de recommandation à comprendre l'intention d'un analyste, un deuxième système de recommandation (MIMIR) se base sur une modélisation de ces intentions pendant une investigation afin de recommander la marche à suivre dans la suite de celle-ci. Finalement, s'intéressant aux problématiques d'évaluation et de manque de données cyber, une dernière contribution est faite sous la forme d'un exercice (CERBERE) pendant lequel des données permettant non seulement l'évaluation mais aussi l'amélioration des systèmes de recommandation sont générées et investiguées par les participantsIn recent years, cybersecurity analysts have encountered growing challenges in their field. Not only are the data they investigate heterogeneous, multidimensional or simply incomplete, but also the number of attacks and attackers is increasing, leading to a shortage of experts in the domain. While numerous tools aim to alleviate their workload, particularly during incident response, they fall short. Romain Brisse's thesis work focuses on developing methods to facilitate the investigative phase of incident response, specifically leveraging recommendation systems that propose exploration paths in event logs. The thesis contributions include two recommendation systems. The first, KRAKEN, relies on expert knowledge from the cyber community to recognize attacks in data and recommend the most relevant fields to explore in order to identify them. The second contribution aligns with the first, as it addresses the challenge of recommendation systems understanding an analyst's intent. The second system, MIMIR, is based on modelling these intentions during an investigation to suggest the subsequent investigation steps. Finally, addressing evaluation challenges and the lack of cyber data in the field, a final contribution takes the form of an exercise (CERBERE) during which data for the evaluation and improvement of recommendation systems are generated and investigated by participants
24
Haidar, Farah. "Validation platform for vehicle secure and highly trusted communications in the context of the cooperative ITS systems." Electronic Thesis or Diss., Institut polytechnique de Paris, 2020. http://www.theses.fr/2020IPPAT011.
Full textAbstract:
Le système de transport coopératif intelligent (C-ITS) a attiré beaucoup d'attention ces dernières années en raison du grand nombre d'applications / cas d'usage qui peuvent améliorer l'expérience de conduite future.Les futurs véhicules seront connectés grâce aux plusieurs technologies de communication qui ouvriront la porte aux nouvelles menaces et vulnérabilités qui doivent être prises en compte. La protection de la vie privée et la sécurité est un sujet clé à aborder avant le déploiement de C-ITS. De plus, la grande variété de cas d'utilisation / applications C-ITS qui nécessitent des exigences de sécurité différentes fait de la sécurité un grand défi.La confidentialité et la protection des données des utilisateurs constituent également un défi. L'industrie automobile et les opérateurs doivent se conformer à la législation nationale et internationale pour la protection des données dans C-ITS. Afin de faire face aux problèmes de confidentialité, la solution existante consiste à disposer d'un pool d'identités pseudonymes valides, par le véhicule, et à les modifier lors de la communication.L'une des motivations de cette thèse est d'étudier les performances de rechargement de certificats pseudonymes. En d'autres termes, il est important de s'assurer que la latence du rechargement des certificats de pseudonyme à partir de l'ICP tout en conduisant à des vitesses différentes est acceptable. La deuxième motivation est l'analyse des menaces et des vulnérabilités, en particulier sur celles qui proviennent de l'utilisation du certificat pseudonyme. L'objectif est de mettre en œuvre ces attaques et de proposer de nouvelles solutions ou de trouver des améliorations à la solution existante pour détecter et prévenir les attaques de sécurité. La sécurité et la confidentialité dans C-ITS sont considérées comme de grands défis. Beaucoup de travail a été fait et de bonnes solutions existent dans le domaine de la sécurité et de la confidentialité. Nous remarquons que les systèmes ne peuvent pas être sécurisés à 100%, mais la sécurité du conducteur est liée à la sécurité du système. Pour cela, le but de cette thèse est de faire du hack blanc du C-ITS afin d'améliorer la solution existante. Une évaluation des risques est nécessaire pour identifier notre objectif d'évaluation et analyser les risques potentiels. L'objectif final de cette thèse est de proposer une plaque de validation de sécurité et de performance pour la communication véhiculaire dans le cadre des C-ITSCooperative Intelligent Transportation System (C-ITS) has gained much attention in the recent years due to the large number of applications/use cases that can improve future driving experience. Future vehicles will be connected through several communication technologies which will open the door to new threats and vulnerabilities that must be taken into account. The security protection is a key subject to address before C-ITS deployment. Moreover, the wide variety of C-ITS use cases/application with different security requirements makes the security a big challenge. User's privacy and data protection are also a challenge. Automotive industry and operators should comply with the national and international legislation for the data protection in C-ITS. In order to deal with privacy issues, existing solution consists of having a pool of valid pseudonym identities, by the vehicle, and changing them during the communication. One of the motivations of this thesis is to study the performance of pseudonym certificate reloading. In other words, it is important to ensure that the latency of reloading pseudonym certificates from the PKI while driving at different speeds is acceptable. The second motivation is the investigation on threats and vulnerabilities, especially on those that come from the pseudonym certificate's use. The objective is to implement those attacks and propose new solutions or find improvements to the existing solution for detecting and preventing security attacks. Security and privacy in C-ITS are considered as big challenges. A Lot of work has been done and good solutions exist in the security and privacy domain. We notice that systems cannot be secure at 100% but driver's safety is related to system's security. For this, the aim of this thesis is to do white hack of the C-ITS in order to improve the existing solution. A risk assessment is needed to identify our target of evaluation and analyse potential risks. The final goal of this thesis is to propose a security and performance validation plate-form for vehicular communication in the context of C-ITS
25
Jacq, Olivier. "Détection, analyse contextuelle et visualisation de cyber-attaques en temps réel : élaboration de la Cyber Situational Awareness du monde maritime." Thesis, Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire, 2021. http://www.theses.fr/2021IMTA0228.
Full textAbstract:
Dans une économie globalisée, le secteur maritime est essentiel au bon fonctionnement des économies et permet d’acheminer 90% des marchandises. Dans un contexte de forte numérisation, le niveau de cybersécurité du secteur maritime reste en retrait par rapport aux autres secteurs d'activité d'importance vitale. Au travers d’une analyse de bout en bout, cette thèse décrit les particularités des systèmes d’information maritimes et modélise le concept de Maritime Cyber Situational Awareness. Ensuite, une proposition d’architecture est décrite pour permettre l’acquisition de cet état de connaissance. Cette solution, éprouvée sur plate-forme, a permis de répondre à l’ensemble des critères d’élaboration. Enfin, les travaux soulignent et détaillent les spécificités du monde maritime pour tirer un profit maximal des données issues de la cybersurveillance. Les analyses et architectures de cette étude dans un contexte contraint pourront probablement être élargies à d’autres secteurs, comme par exemple les véhicules autonomes ou encore l’Internet des objetsIn a globalized economy, the maritime sector plays an essential role for the countries’ economies, drawing 90% of the global world trade. In a highly digitalized transformation context, the cybersecurity level of the maritime sector remains low compared to other essential sectors. Through an end-to-end analysis, this thesis aims at describing the unique combined characteristics of maritime information systems. Then, we apply situational awareness definition to maritime cybersecurity and model the concept of Maritime Cyber Situational Awareness. Then we describe the proposal of an architecture to achieve MCSA elaboration, which has been tested and proven on our experimental platform, taking into account the full requirements. Our work then analyses the particularities of the maritime world to streamline the collected data. The analysis and architectures of this study could also be opened and applied to other sectors, such as autonomous vehiclesand the Internet of Things (IoT)
26
Andreoni, Lopez Martin Esteban. "Un système de surveillance et détection de menaces utilisant le traitement de flux comme une fonction virtuelle pour le Big Data." Thesis, Sorbonne université, 2018. http://www.theses.fr/2018SORUS035/document.
Full textAbstract:
La détection tardive des menaces à la sécurité entraîne une augmentation significative du risque de dommages irréparables, invalidant toute tentative de défense. En conséquence, la détection rapide des menaces en temps réel est obligatoire pour l'administration de la sécurité. De plus, la fonction de virtualisation de la fonction réseau (NFV) offre de nouvelles opportunités pour des solutions de sécurité efficaces et à faible coût. Nous proposons un système de détection de menaces rapide et efficace basé sur des algorithmes de traitement de flux et d'apprentissage automatique. Les principales contributions de ce travail sont : i) un nouveau système de détection des menaces de surveillance basé sur le traitement en continu, ii) deux ensembles de données, d'abord un ensemble de données de sécurité synthétiques contenant à la fois du trafic légitime et malveillant, et le deuxième, une semaine de trafic réel d'un opérateur de télécommunications à Rio de Janeiro, au Brésil, iii) un algorithme de pré-traitement de données, un algorithme de normalisation et un algorithme de sélection de caractéristiques rapides basé sur la corrélation entre des variables, iv) une fonction de réseau virtualisé dans une plate-forme Open Source pour fournir un service de détection des menaces en temps réel, v) placement quasi-optimal des capteurs grâce à une heuristique proposée pour positionner stratégiquement les capteurs dans l'infrastructure du réseau, avec un nombre minimal de capteurs, et enfin vi) un algorithme glouton qui alloue à la demande une séquence de fonctions de réseau virtuelThe late detection of security threats causes a significant increase in the risk of irreparable damages, disabling any defense attempt. As a consequence, fast real-time threat detection is mandatory for security administration. In addition, Network Function Virtualization (NFV) provides new opportunities for efficient and low-cost security solutions. We propose a fast and efficient threat detection system based on stream processing and machine learning algorithms. The main contributions of this work are i) a novel monitoring threat detection system based on streaming processing, ii) two datasets, first a dataset of synthetic security data containing both legitimate and malicious traffic, and the second, a week of real traffic of a telecommunications operator in Rio de Janeiro, Brazil, iii) a data pre-processing algorithm, a normalizing algorithm and an algorithm for fast feature selection based on the correlation between variables, iv) a virtualized network function in an Open source Platform for providing a real-time threat detection service, v) near-optimal placement of sensors through a proposed heuristic for strategically positioning sensors in the network infrastructure, with a minimum number of sensors, and finally vi) a greedy algorithm that allocates on demand a sequence of virtual network functions
27
Ma, Mingxiao. "Attack Modelling and Detection in Distributed and Cooperative Controlled Microgrid Systems." Electronic Thesis or Diss., Université de Lorraine, 2021. http://www.theses.fr/2021LORR0111.
Full textAbstract:
Les micro-réseaux électriques s'appuient sur des approches de contrôle distribuées et coopératives pour garantir des décisions opérationnelles sûres et fiables de leurs générateurs distribués (DG). Cependant, de nombreuses cyber-attaques sophistiquées peuvent viser ces systèmes, tromper leurs méthodes de détection traditionnelles et avoir des conséquences importantes sur l'infrastructure électrique. Dans cette thèse, nous étudions les attaques ciblant les systèmes de contrôle associés à ces micro-réseaux. Nous avons développé dans un premier temps une nouvelle attaque nommée MaR (Measurement as Reference) qui cible les consignes de synchronisation échangées entre les entités du système de contrôle. Nous avons analysé par simulation numérique l'impact de cette attaque sur la stabilité du micro-réseau et la convergence du système de contrôle vers une consigne commune. Nous avons également développé des modèles d'analyse des attaques de type injection de fausses données et déni de service sur ces systèmes pour étudier leurs impacts et leur détection. Ensuite, nous avons proposé un framework qui permet de détecter ces attaques, en se basant sur l'apprentissage automatique des caractéristiques des paquets réseau échangés entres les entités d'un système de contrôle distribué. Nous avons mis en œuvre une plate-forme expérimentale représentative d'un micro-réseau électrique et son système de contrôle pour collecter des jeux de données et valider notre framework, en particulier son module de détection des attaques.Enfin, nous avons évalué les performances de différents algorithmes d'apprentissage automatique pour détecter les attaques que nous avons introduites sur la plate-forme expérimentale. Nos résultats montrent que les algorithmes basés sur les techniques d'arbres, à l'image des arbres de décision, les forêts aléatoire et AdaBoost offrent les meilleures performances en termes de précision et de justesse pour détecter les différentes attaques et les distinguerModern low-voltage microgrid systems rely on distributed and cooperative control approaches to guarantee safe and reliable operational decisions of their inverter-based distributed generators (DGs). However, many sophisticated cyber-attacks can target these systems, deceive their traditional detection methods and cause a severe impact on the power infrastructure. In this thesis, we systematically study the vulnerabilities and threats of distributed controlled microgrid systems. We design a novel attack named "measurement-as-reference" (MaR) attack and take it as a typical stealthy attack example to theoretically analyze the attack impact on the microgrid system and use numerical simulation results to verify the analysis. We provide mathematical models of possible false data injection (FDI) and denial of service (DoS) attacks in a representative distributed and cooperative controlled microgrid system. We propose a secure control framework with an attack detection module based on machine learning techniques. To validate the effectiveness of this framework, we implement two typical attacks, MaR attack and delay injection attack, on a hardware platform modeled after a microgrid system. We collect datasets from the platform and validate the performance of multiple categories of machine learning algorithms to detect such attacks. Our results show that tree-based classifiers (Decision Tree, Random Forest and AdaBoost) outperform other algorithms and achieve excellent performance in detecting normal behavior, delay injection and false data attacks
28
Ghnaya, Imed. "Résilience de la perception collective et augmentée des véhicules autonomes connectés par les C-ITS." Electronic Thesis or Diss., Bordeaux, 2024. http://www.theses.fr/2024BORD0068.
Full textAbstract:
Les Systèmes de Transport Intelligents Coopératifs (C-ITS) représentent une approche avancée dans le transport moderne. Ces systèmes exploitent les technologies de communication, telles que ETSI ITS-G5 et Cellular Vehicle-to-Everything (C-V2X), pour améliorer la sécurité routière et le flux de trafic. Au cœur des C-ITS se trouve le concept de perception coopérative, une caractéristique transformatrice qui permet aux Véhicules Coopératifs et Autonomes (CAVs) et aux unités d'infrastructure routière de partager et d'analyser collectivement les données de divers capteurs, y compris les caméras, le lidar et le radar. Cette coopération est facilitée par l'échange de Messages de Perception Coopérative (CPM), qui fournissent une description des objets routiers détectés, via des réseaux de communication. L'objectif principal est d'améliorer la conscience environnementale des CAVs, en particulier dans des scénarios complexes comme les conditions d’obstructions. Cependant, plusieurs défis surviennent avec l'augmentation du volume de données généré par les CAVs et les capteurs d'infrastructure. Ces défis incluent mais ne se limitent pas à :- Surcharge de Données dans les Réseaux de Communication : Le volume croissant de données générées par les capteurs embarqués conduit à des réseaux de communication congestionnés. Cette congestion peut retarder ou empêcher la transmission d'informations cruciales dans les CPMs, empêchant les CAVs de recevoir des informations pertinentes, qui peuvent être essentielles pour une navigation sûre et une opération efficace.- Méthodes Inefficaces de Contrôle de la Congestion et d'Allocation des Ressources : Les méthodes actuelles du contrôle de la congestion et d'allocation des ressources peuvent ne pas gérer efficacement le volume élevé de trafic de données dans les réseaux C-ITS. Ces méthodes échouent souvent à considérer la criticité de certains scénarios contextuels de données qui peuvent conduire à une utilisation sous-optimale des ressources réseau. Cette inefficacité peut entraîner que les informations de perception soient dépriorisées ou perdues, affectant davantage la capacité des CAVs à percevoir et répondre précisément à leurs environnements de conduite.Cette thèse, intitulée « Résilience de la Perception Coopérative et Augmentée des Véhicules Autonomes Connectés par C-ITS », se concentre sur les défis d'amélioration de la résilience et de la qualité des systèmes de perception coopérative et augmentée des CAVs. Elle propose des mécanismes robustes pour aborder les problèmes clés à travers deux contributions principales. La première, intitulée « Stratégies de Perception Coopérative et Augmentée Intelligentes pour les CAVs à travers des Techniques d'Apprentissage par Renforcement », se concentre sur le développement de stratégies intelligentes utilisant l'apprentissage par renforcement pour optimiser la perception coopérative des CAVs. Les méthodes proposées dans le cadre de cette contribution permettent aux CAVs d’adapter continuellement leur partage de données à l’état actuelle de l’environnement, améliorant ainsi la sécurité et l'efficacité dans diverses conditions de conduite. La deuxième contribution, « Allocation de Ressources Adaptative pour une Perception Coopérative et Augmentée Optimisée des CAVs », aborde la gestion des ressources dans les systèmes C-ITS. Elle propose une allocation adaptative des ressources de communication dans le réseau ITS-G5, optimisant l'échange d'informations entre les CAVs et l'infrastructure routière. Cette approche vise à réduire la congestion du canna et assurer une perception environnementale fiable et en temps réel pour les CAVs, contribuant ainsi à la résilience et à la qualité améliorées des systèmes de perception coopérative et augmentéeCooperative Intelligent Transport Systems (C-ITS) represent an advanced approach in modern transportation. They leverage communication technologies, such as ETSI ITS-G5 and Cellular Vehicle-to-Everything (C-V2X), to enhance road safety and traffic flow. Central to C-ITS is the concept of cooperative perception, a transformative feature that enables Cooperative and Autonomous Vehicles (CAVs) and roadside infrastructure units to share and collectively analyze data from various sensors, including cameras, lidar, and radar. This cooperation is facilitated through the exchange of Cooperative Perception Messages (CPM), which provide a high-level description of detected road objects, via communication networks. The primary objective is to enhance the environmental awareness of CAVs, especially in complex scenarios like non-line-of-sight conditions. However, several challenges arise with the increasing volume of data generated by CAVs and infrastructure sensors. These challenges includes but not limited to:- Data Overloads in Communication Networks: The growing volume of data generated by onboard sensors leads to congested communication networks. This congestion can delay or prevent the transmission of crucial information in CPMs, impairing CAVs’ from receiving timely and relevant information, which may be essential for safe navigation and efficient operation.- Inefficient Congestion Control and Resource Allocation Methods: Current methods may not effectively manage the high volume of data traffic in C-ITS networks. They often fail to consider the criticality of certain data contextual scenarios that can lead to suboptimal utilization of network resources. This inefficiency can result in perception information being deprioritized or lost, further affecting the CAVs ability to accurately perceive and respond to their driving environments.This thesis, titled « Resilience of Cooperative and Augmented Perception of Autonomous Vehicles Connected by C-ITS, » focuses on the challenges of improving the resilience and quality of cooperative and augmented perception systems for CAVs. It proposes robust mechanisms to address key issues through two main contributions. The first, titled « Intelligent Cooperative and Augmented Perception Strategies for CAVs through Reinforcement Learning Techniques, » focuses on the development of intelligent strategies using reinforcement learning to optimize the cooperative perception of CAVs. These strategies allow CAVs to continuously adapt their data sharing to the current state of the environment, thus improving safety and efficiency in various driving conditions. The second contribution, « Adaptive Resource Allocation for Optimized Cooperative and Augmented Perception of CAVs, » addresses resource management in C-ITS systems. It proposes an adaptive allocation of communication resources in the ITS-G5 network, optimizing the exchange of information between CAVs and roadside infrastructure. These methods aim to reduce channel congestion and ensure reliable and real-time perception for CAVs, thus contributing to the improved resilience and quality of cooperative and augmented perception systems
29
Kamel, Joseph. "Misbehavior detection for cooperative intelligent transport systems (C-ITS)." Electronic Thesis or Diss., Institut polytechnique de Paris, 2020. http://www.theses.fr/2020IPPAT024.
Full textAbstract:
Les systèmes de transport intelligents coopératifs (STI-C) est une technologie qui changera notre expérience de conduite. Dans ce système, les véhicules coopèrent en échangeant des messages de communication Vehicle-to-X (V2X) sur le réseau véhiculaire. Les applications de sécurité routière utilisent les données de ces messages pour détecter et éviter à temps les situations dangereuses. Par conséquent, il est crucial que les données des messages V2X soient sécurisées et précises. Dans le système STI-C actuel, les messages sont signés avec des clés digitales pour garantir leur authenticité. Cependant, l'authentification ne garantit pas l'exactitude des données. Un véhicule authentifié pourrait avoir un capteur défectueux et donc envoyer des informations inexactes. Un attaquant pourrait également obtenir des clés légitimes en piratant l'unité embarquée de son véhicule et donc transmettre des messages malveillants signés. La détection des mauvais comportements dans les STI-C est un sujet de recherche visant à garantir l'exactitude des messages V2X échangés. Il consiste à surveiller la sémantique des données des messages échangés pour détecter et identifier des entités à comportement suspect. Le processus de détection est divisé en plusieurs étapes. La détection locale consiste à effectuer d'abord des vérifications de plausibilité et de cohérence sur les messages V2X reçus. Les résultats de ces vérifications sont ensuite fusionnés à l'aide d'une application de fusion locale. L'application est capable d'identifier diverses anomalies V2X. Si une anomalie est détectée, le véhicule collectera les preuves nécessaires et créera un rapport de mauvais comportement. Ce rapport est ensuite envoyé à une autorité cloud de mauvais comportement. Cette autorité a pour objectif d'assurer le bon fonctionnement du système C-ITS et d'atténuer les effets des attaques. Elle recueillera d'abord les rapports des véhicules, puis enquêtera sur l'événement et décidera de la réaction appropriée. Dans cette thèse, nous évaluons et contribuons aux différents composants du processus de détection des comportements malveillants : la détection locale, le reporting et la détection globaleCooperative Intelligent Transport Systems (C-ITS) is an upcoming technology that will change our driving experience in the near future. In such systems, vehicles cooperate by exchanging Vehicle-to-X communication (V2X) messages over the vehicular network. Safety applications use the data in these messages to detect and avoid dangerous situations on time. Therefore, it is crucial that the data in V2X messages is secure and accurate.In the current C-ITS system, the messages are signed with digital keys to ensure authenticity. However, authentication does not ensure the correctness of the data. A genuine vehicle could have a faulty sensor and therefore send inaccurate information. An attacker could also obtain legitimate keys by hacking into the on-board unit of his vehicle and therefore transmit signed malicious messages.Misbehavior Detection in C-ITS is an active research topic aimed at ensuring the correctness of the exchanged V2X messages. It consists of monitoring data semantics of the exchanged messages to detect and identify potential misbehaving entities. The detection process is divided into multiple steps. Local detection consists of first performing plausibility and consistency checks on the received V2X messages. The results of these checks are then fused using a local detection application. The application is able to identify various V2X anomalies. If an anomaly is detected, the vehicle will collect the needed evidence and create a misbehavior report. This report is then sent to a cloud based misbehavior authority.This authority has a goal of ensuring the correct operation of the C-ITS system and mitigating the effects of attacks. It will first collect the misbehavior reports from vehicles and would then investigate the event and decide on the suitable reaction.In this thesis, we evaluate and contribute to the local, reporting and global steps of the misbehavior detection process
30
Racouchot, Maiwenn. "Formal analysis of security protocols : real-world case-studies and automated proof strategies." Electronic Thesis or Diss., Université de Lorraine, 2024. http://www.theses.fr/2024LORR0186.
Full textAbstract:
Cette thèse présente deux types de contributions : l'analyse de deux protocoles (les protocoles Android Protected Confirmation et LAKE-EDHOC) et l'amélioration de la terminaison de preuve de l'outil de vérification symbolique Tamarin. Analyse du protocole Android Protected Confirmation. Le protocole Android Protected Confirmation (ou APC) est un protocole développé par Android et Google. Il vise à tirer parti de l'environnement d'exécution de confiance (TEE) présent dans la plupart des téléphones modernes pour améliorer la sécurité des opérations sensibles (par exemple les demandes de transfert bancaire). Nous présentons une spécification de ce protocole basée sur les informations disponibles sur le site web d'Android. Nous exposons deux attaques sur le protocole (la première pendant la phase d'enregistrement et la seconde pendant la phase de transaction du protocole) qui ont été reconnues par l'équipe Android Hardware-backed Security. Nous avons également fourni une preuve de concept pour l'attaque d'enregistrement. Enfin, nous proposons des correctifs légers et les prouvons dans le cadre de UC. Analyse du protocole LAKE-EDHOC. EDHOC (Ephemeral Diffie Hellman Over COSE) est un protocole d'authentification développé par le groupe de travail LAKE (Lightweight Authenticated Key Exchange) de l'IETF pour les appareils embarqués. En octobre 2021, le groupe a publié la version 12 du projet et a lanc un appel pour de la vérification formelle. Dans cette thèse, nous présentons une analyse dans le cadre symbolique (avec l'outil Sapic) des versions 12 et 14 du draft pour le protocole EDHOC. Nous présentons les attaques trouvées sur la version 12 du projet. Nous proposons et prouvons également des correctifs pour ces attaques. Ces corrections ont été discutées avec le groupe de travail LAKE et intégrées dans la version 14 du projet. L'analyse de la version 14 montre que le protocole corrigé est sûr. Amélioration de la terminaison de Tamarin. Tamarin est un outil de vérification symbolique qui prouve les propriétés de sécurité pour un nombre illimité de sessions. Comme le problème de vérification est indécidable, la terminaison n'est pas garantie. Dans ce travail, nous proposons quelques moyens d'améliorer la terminaison de Tamarin en pratique. Tout d'abord, nous proposons un nouveau langage pour les heuristiques définies par l'utilisateur (tactiques) et explorons comment son accès à plus de paramètres donne à l'utilisateur plus de contrôle que l'option précédente (oracles). Nous proposons également cinq stratégies de preuve auto-adaptatives pour guider automatiquement les preuves tout en évitant les comportements de boucle (afin d'améliorer la terminaison). Nous comparons les résultats de ces approches avec la version actuelle de Tamarin et SmartVerif, une approche basée sur l'IA qui vise à guider les preuves de Tamarin en utilisant l'apprentissage par renforcement. Ceci nous permet de conclure que deux de nos approches apportent une amélioration à la procédure de preuve de TamarinThis thesis brings two kinds of contributions: the analysis of two protocols (the Android Protected confirmation and the LAKE-EDHOC protocols) and the improvement of the termination of the symbolic verification tool Tamarin. Analysis of the Android Protected Confirmation protocol. The Android Protected Confirmation protocol (or APC) is a protocol developed by Android and Google. It aims at leveraging the Trusted Execution Environment (TEE) present in most modern phones to improve the security of sensitive operations (for example bank transfer requests). We present a specification of this protocol based on the information available on the Android website. We expose two attacks on the protocol (the first during the registration phase and the second during the transaction phase of the protocol) that have been acknowledged by the Android Hardware-backed Security team. We also provided a proof of concept for the registration attack. Finally, we propose lightweight fixes and prove them in the UC framework. Analysis of the LAKE-EDHOC protocol. EDHOC (Ephemeral Diffie Hellman Over COSE) is a light-weight authentication protocol developed by the IETF's LAKE working group (Lightweight Authenticated Key Exchange) for IoT devices. In October 2021, they released version 12 of the draft and called for formal verification. In this thesis, we present an analysis in the symbolic framework (with the tool Sapic) of the versions 12 and 14 of the draft for the EDHOC protocol. We present attacks found on the version 12 of the draft. We also propose and prove fixes for these attacks. These fixes have been discussed and acknowledged by the LAKE working group and integrated in version 14 of the draft. The analysis of version 14 shows that the fixed protocol is secure. Improving the termination of Tamarin. Tamarin is a symbolic verification tool that proves security properties for an unbounded number of sessions. As the verification problem is undecidable, termination is not guaranteed. In this work, we propose some ways to improve Tamarin's termination in practice. First, we propose a new language for user-defined heuristics (tactics) and explore how its access to more parameters gives the user more control than the previous option (oracles). We also propose five self-adapting proof strategies to automatically guide the proofs while avoiding looping behaviors (in order to improve termination). We compare the results of these approaches with the current version of Tamarin and SmartVerif, an IA based approach that aims to guide Tamarin's proofs using reinforcement learning. This allows us to conclude that two of our approaches bring an improvement to the proof procedure of Tamarin
31
Diop, Mamadou Abdoulaye. "Analyse haute performance de masses de données; application à la détection d'anomalie dans le contexte de la gestion d'identité et d'accès." Electronic Thesis or Diss., université Paris-Saclay, 2021. http://www.theses.fr/2021UPASG100.
Full textAbstract:
La protection des données est une question essentielle en matière de cybersécurité. Les organisations utilisent les logiciels de gestion des identités et des accès et les outils de cybersécurité traditionnels pour protéger leurs actifs informationnels contre les menaces externes. Cependant, elles manquent le plus souvent de solutions pour contrer les menaces internes provenant principalement des personnes ayant un accès légitime aux systèmes d'information de l'entreprise. Ce type de menaces est aujourd'hui la principale préoccupation des spécialistes de la cybersécurité. Les logiciels d'analyse du comportement des utilisateurs et des entités sont les outils utilisés par les cyber-spécialistes pour contrer efficacement les menaces internes. Cependant, les solutions existantes peuvent présenter des problèmes tels qu'un nombre élevé de fausse alarme, et un temps de préparation des modèles de détection conséquent quand les données d'activités sont de gros volumes.L'objectif de cette thèse est de contribuer à remédier à ces problèmes par la proposition d’une solution algorithmique et sa mise en œuvre efficace pour les architectures haute performance. Plus particulièrement, nous proposons une méthode de détection qui construit des profileurs de comportement en utilisant des techniques issues des domaines de l’apprentissage automatique, de l'algèbre linéaire et du calcul haute performance. Cette méthode est définie par l’application de l’approche "unir et conquérir" utilisée en algèbre linéaire, aux techniques d'apprentissage d'ensemble. En plus des méthodes d'apprentissage de base classiques, nous intégrons des méthodes innovantes de type PageRank et auto-encodeurs dans la méthode globale proposée. Cette nouvelle méthode de détection des menaces internes montre, selon nos expérimentations, une efficacité en termes de précision, allant jusqu’à 98% d'AUC. Ceci marque une augmentation significative par rapport aux méthodes de bases. Nous proposons aussi une mise en œuvre de cette méthode selon plusieurs paradigmes de programmation parallèle permettant d’obtenir des accélérations jusqu’au 10.Nous avons intégré cette plateforme logicielle agrémentée de moyens de prétraitement de données, et d'un système d'alarme dans un module global de détection d'attaque internes, capable d'étendre des outils de cybersécuritéData protection is a critical issue in cybersecurity. Organizations use identity and access management software and traditional cybersecurity tools to protect their information assets from external threats. However, they most often lack solutions to counter insider threats from individuals with legitimate access to corporate information systems. This type of threat is now the primary concern of cybersecurity specialists. User and entity behavior analysis software are the tools used by cyber specialists to counter insider threats effectively. However, existing solutions can present problems such as many false alarms and a consequent development time of detection models when the activity data is of large volumes.This thesis aims to remedy these problems by proposing an algorithmic solution and its efficient implementation for high performance architectures. More precisely, we propose a detection method that builds behavioral profilers using techniques from the fields of machine learning, linear algebra and high performance computing. This method is defined by application of “unite and conquer” approach, used in linear algebra, to ensemble learning techniques. We integrate innovative methods of PageRank and autoencode in the proposed ensemble method in addition to the classical basic machine learning methods.According to our experiments, this new method of insider threat detection shows an average efficiency in terms of detection accuracy, up to 98% of AUC. This is a significant increase compared to base methods. We also propose an implementation of this method according to several parallel programming paradigms allowing us to obtain a speedup up to 10.We have integrated this software platform with data preprocessing means and an alarm system into a global module for insider threat detection, capable of extending cybersecurity tools
32
Sicard, Franck. "Prise en compte des risques de cyber-attaques dans le domaine de la sécurité des systèmes cyber-physiques : proposition de mécanismes de détection à base de modèles comportementaux." Thesis, Université Grenoble Alpes (ComUE), 2018. http://www.theses.fr/2018GREAT080/document.
Full textAbstract:
Les systèmes de contrôle-commande industriels (Industrial Control System, ICS) sont des infrastructures constituées par un ensemble de calculateurs industriels reliés en réseau et permettant de contrôler un système physique. Ils assurent le pilotage de réseaux électriques (Smart Grid), de systèmes de production, de transports, de santé ou encore de systèmes d’armes. Pensés avant tout pour assurer productivité et respect de la mission dans un environnement non malveillant, les ICS sont, depuis le 21ème siècle, de plus en plus vulnérables aux attaques (Stuxnet, Industroyer, Triton, …) notamment avec l’arrivée de l’industrie 4.0. De nombreuses études ont contribué à sécuriser les ICS avec des approches issues du domaine de la sécurité (cryptographie, IDS, etc…) mais qui ne tiennent pas compte du comportement du système physique et donc des conséquences de l’acte de malveillance en lui-même. Ainsi, une sécurisation se limitant exclusivement à l’analyse des informations qui transitent sur un réseau industriel n’est pas suffisante. Notre approche amène un changement de paradigme dans les mécanismes de détection en y intégrant la modélisation du comportement du système cyber-physique.Cette thèse propose des mécanismes de détection d’attaques en se positionnant au plus proche de la physique. Ils analysent les données échangées entre le système de contrôle-commande et le système physique, et filtrent les échanges au travers de modèles déterministes qui représentent le comportement du système physique soumis à des lois de commande. A cet effet, une méthodologie de conception a été proposée dans laquelle l’ensemble des ordres est identifié afin de détecter les attaques brutales. Pour faire face aux autres attaques, en particulier celles plus sournoises, comme les attaques par séquences, nous proposons une stratégie de détection complémentaire permettant d’estimer l’occurrence d’une attaque avant que ses conséquences ne soient destructives. A cet effet, nous avons développé des concepts de distance d’un état caractérisé comme critique auquel nous avons adjoint un second mécanisme dit de trajectoire dans le temps permettant de caractériser une intention de nuire.L’approche proposée hybride ainsi deux techniques orientées sécurité (sonde IDS) et sûreté (approche filtre) pour proposer une stratégie de détection basée sur quatre mécanismes lié :• A la détection de contexte : basé sur l’état courant de l’ICS, un ordre émis par l’API peut être bloqué s’il conduit vers un état critique (attaque brutale).• Aux contraintes combinatoires (attaque par séquences) : vérifiées par les concepts de distance et de trajectoire (évolution de la distance).• Aux contraintes temporelles (attaque temporelle) : vérifiées par des fenêtres temporelles sur l’apparition d’évènements et d’indicateurs surveillant la durée moyenne d’exécution.• Aux sur-sollicitations basées sur un indicateur surveillant les commandes envoyées afin de prévenir un vieillissement prématuré (attaque sur les équipements).L’approche proposée a été appliquée sur différents exemples de simulation et sur une plateforme industrielle réelle où la stratégie de détection a montré son efficacité face à différents profils d’attaquantIndustrial Control Systems (ICSs) are infrastructures composed by several industrial devices connected to a network and used to control a physical system. They control electrical power grid (Smart Grid), production systems (e.g. chemical and manufacturing industries), transport (e.g. trains, aircrafts and autonomous vehicles), health and weapon systems. Designed to ensure productivity and respect safety in a non-malicious environment, the ICSs are, since the 21st century, increasingly vulnerable to attacks (e.g. Stuxnet, Industroyer, Triton) especially with the emergence of the industry 4.0. Several studies contributed to secure the ICS with approaches from the security field (e.g. cryptography, IDS) which do not take into account the behavior of the physical system and therefore the consequences of the malicious act. Thus, a security approach limited exclusively to the analysis of information exchanged by industrial network is not sufficient. Our approach creates a paradigm shift in detection mechanisms by integrating the behavioral modeling of the cyber-physical system.This thesis proposes detection mechanisms of attacks by locating detection closer to physical system. They analyze the data exchanged between the control system and the physical system, and filter the exchanges through deterministic models that represent the behavior of the physical system controlled by control laws. For this purpose, a design methodology has been proposed in which all actions are identified in order to instantly detect brutal attacks. To deal with other attacks, especially the more sneaky, such as sequential attacks, we propose a complementary detection strategy to estimate the occurrence of an attack before its consequences are destructive. To this end, we have developed the concepts of distance of a state identified as critical to which we have added a second mechanism called trajectory which leads to a temporal notion that characterize an intention to harm.As part of this thesis, the proposed approach combines two techniques oriented security (IDS probe) and safety (filter approach) to propose a detection strategy based on four mechanisms related to:• Context detection: based on the current state of the system, an order sent by the PLC can be blocked by the control filter if it leads to a critical state (brutal attack).• Combinatorial constraints (sequential attack): verified by the concepts of distance (risk indicator for the current state) and trajectory (indicator of the intention to harm by studying the evolution of the distance on a sequence).• Temporal constraints (temporal attack): verified by time windows on the appearance of events and an indicator monitoring the average duration of execution.• Over-solicitation monitoring mechanism: based on an indicator monitoring orders sent to the actuators to prevent premature ageing of the production equipment (attack on the equipment).The proposed approach has been applied to various simulation examples and an industrial platform where the detection strategy has shown its effectiveness against different scenarios corresponding to attacker profiles
33
Kabore, Raogo. "Hybrid deep neural network anomaly detection system for SCADA networks." Thesis, Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire, 2020. http://www.theses.fr/2020IMTA0190.
Full textAbstract:
Les systèmes SCADA sont de plus en plus ciblés par les cyberattaques en raison de nombreuses vulnérabilités dans le matériel, les logiciels, les protocoles et la pile de communication. Ces systèmes utilisent aujourd'hui du matériel, des logiciels, des systèmes d'exploitation et des protocoles standard. De plus, les systèmes SCADA qui étaient auparavant isolés sont désormais interconnectés aux réseaux d'entreprise et à Internet, élargissant ainsi la surface d'attaque. Dans cette thèse, nous utilisons une approche deep learning pour proposer un réseau de neurones profonds hybride efficace pour la détection d'anomalies dans les systèmes SCADA. Les principales caractéristiques des données SCADA sont apprises de manière automatique et non supervisée, puis transmises à un classificateur supervisé afin de déterminer si ces données sont normales ou anormales, c'est-à-dire s'il y a une cyber-attaque ou non. Par la suite, en réponse au défi dû au temps d’entraînement élevé des modèles deep learning, nous avons proposé une approche distribuée de notre système de détection d'anomalies afin de réduire le temps d’entraînement de notre modèleSCADA systems are more and more targeted by cyber-attacks because of many vulnerabilities inhardware, software, protocols and the communication stack. Those systems nowadays use standard hardware, software, operating systems and protocols. Furthermore, SCADA systems which used to be air-gaped are now interconnected to corporate networks and to the Internet, widening the attack surface.In this thesis, we are using a deep learning approach to propose an efficient hybrid deep neural network for anomaly detection in SCADA systems. The salient features of SCADA data are automatically and unsupervisingly learnt, and then fed to a supervised classifier in order to dertermine if those data are normal or abnormal, i.e if there is a cyber-attack or not. Afterwards, as a response to the challenge caused by high training time of deep learning models, we proposed a distributed approach of our anomaly detection system in order lo lessen the training time of our model
34
Jo, Arrah-Marie. "Economics of information security and the market for software vulnerabilities." Electronic Thesis or Diss., Institut polytechnique de Paris, 2019. http://www.theses.fr/2019IPPAT003.
Full textAbstract:
L'environnement cybernétique est devenu un maillon essentiel au fonctionnement de notre société et de nos activités socio-économiques. Cette transformation va de pair avec un changement d’échelle et de portée des menaces de sécurité numérique, qui deviennent d’autant plus nombreuses et plus sophistiquées. Dans un environnement mondialisé où les systèmes sont connectés à de millions d’autres systèmes, les parties prenantes sont engagés dans de multiples interactions stratégiques. Qui doit-on responsabiliser et de quelle manière, afin d’inciter à une gestion efficace de la sécurité ? De quelle façon les différentes motivations économiques de chacun influencent-elles les décisions en matière de sécurité et par conséquent ont-elles des impacts sur la vulnérabilité d’un système ? Les nouvelles et rapides évolutions en cybersécurité apportent de nouveaux défis en matière de cybersécurité et force est de constater que le développement des solutions techniques ne suffit pas à comprendre et maitriser les risques. Dans cette thèse, nous mobilisons les outils de l'économie industrielle pour appréhender des éléments qui ont transformé l'environnement de la cybersécurité, tels que l'adoption de modèle de revenu basé sur la gratuité des logiciels, l'utilisation de mécanisme de crowdsourcing dans la découverte des failles de sécurité, ou l'implication croissante des acteurs externes à l’entreprise tels que les chercheurs individuels, les concurrents, les firmes de sécurité, ou les organismes publiques dans l'amélioration de la sécurité des logiciels. Nous nous attachons en particulier à comprendre les motivations des acteurs majeurs de la sécurité, allant de l'éditeurs de logiciels aux tierces parties telles que les white-hat hackers et les firmes de sécurité. Cette thèse est constituée de trois chapitres distincts, présentant chacun une contribution empirique. Le premier chapitre s'intéresse à la relation entre la réactivité des éditeurs de logiciel à corriger les failles de sécurité et l'intensité de la concurrence sur le marché. Nous étudions le cas d'un marché au coeur de la sécurité d'Internet, celui des navigateurs web, où l'utilisateur jouit d'une gratuité et les éditeurs dérivent leur revenu d'un autre marché connexe - celui des moteurs de recherche - et par conséquent sont en concurrence par la qualité du navigateur. A travers l'analyse économétrique de données de la correction des failles de sécurité sur les navigateurs web sur une dizaine d’années, nous montrons que la concurrence sur le marché n’incite pas nécessairement les éditeurs à renforcer la sécurité.Le deuxième chapitre se focalise sur le crowdsourcing des hackers pour découvrir des failles de sécurité, mécanisme représentatif du marché des vulnérabilités qui capitalise sur la contribution des tierce-parties. A travers l'analyse empirique de 156 programmes de chasse aux bug gérés sur la plateforme HackerOne, nous montrons comment la perception de l'incertitude à être rémunéré des hackers, défini par le niveau de détail des termes contractuels, affecte leur choix de participation et par conséquent l'efficacité du programme. Enfin, dans un troisième chapitre, nous examinons comment la divulgation publique d'une vulnérabilité critique sur un système affecte le comportement des acteurs à fournir un effort pour améliorer sa sécurité. A travers l'analyse de panels de données sur 3 cas de divulgation de faille de sécurité particulièrement critique, nous montrons combien les acteurs autres que l'éditeur de logiciel - les chercheurs individuels, les firmes de sécurité, les organismes publiques, etc. - , contribuent de manière significative à améliorer la sécurité du logiciel et sont davantage impacté par des externalités telle que la divulgation publique de failles critiquesThis thesis aims at contributing empirically to the research field of information security economics, by referring to traditional tools and knowledge in economics especially in Industrial Organization. It focuses on new and evolving elements in the cybersecurity environment such as the use of free software revenue models in digital markets (Chapter 1), the introduction of crowdsourcing mechanisms to improve software security (Chapter 2), or the increasing involvement of third parties in software security (Chapter 3). I am particularly interested in understanding the incentives of major actors that contribute to software security, such as software vendors, white-hat hackers, security firms, and other third parties. The thesis is organized in three chapters, each addressing a separate research question. In a first chapter, I examine the impact of competition intensity on software vendors' security investment behavior. I study the case of a software at the center of Internet security, namely the web browser, in which the vendors derive their revenue from advertising and compete in quality. I find out that market concentration is not necessarily harmful to security provision: indeed, higher market concentration positively impacts vendors' responsiveness in patching vulnerabilities, although this effect is reduced when a vendor is too dominant. In a second chapter, I focus on the crowdsourcing mechanism of white-hat hackers, which is representative of the market for software vulnerabilities that capitalizes on third parties' contribution. I study how hackers' perception of the uncertainty to be rewarded, determined by the level of information a contest provides about the contractual terms, affects their participation and thus the efficiency of the contest. I show that the self-selection process of participants leads to a trade-off between more numerous, but less performant participants, and higher quality but fewer participants. In a third chapter, I examine how the disclosure of a critical vulnerability affects the contribution of software vendors and third parties in discovering new vulnerabilities. I find that third parties' overall contribution in improving software security is considerable and that their contribution is significantly affected by externalities such as the disclosure of a critical vulnerability
35
Lavaur, Léo. "Improving intrusion detection in distributed systems with federated learning." Electronic Thesis or Diss., Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire, 2024. http://www.theses.fr/2024IMTA0423.
Full textAbstract:
La collaboration entre les différents acteurs de la cybersécurité est essentielle pour lutter contre des attaques de plus en plus nombreuses et sophistiquées. Pourtant, les organisations sont souvent réticentes à partager leurs données, par peur de compromettre leur confidentialité ou leur avantage concurrentiel, et ce même si cela pourrait améliorer leurs modèles de détection d’intrusions. L’apprentissage fédéré est un paradigme récent en apprentissage automatique qui permet à des clients répartis d’entraîner un modèle commun sans partager leurs données. Ces propriétés de collaboration et de confidentialité en font un candidat idéal pour des applications sensibles comme la détection d’intrusions. Si un certain nombre d’applications ont montré qu’il est, en effet, possible d’entraîner un modèle unique sur des données réparties de détection d’intrusions, peu se sont intéressées à l’aspect collaboratif de ce paradigme. Dans ce manuscrit, nous étudions l’utilisation de l’apprentissage fédéré pour construire des systèmes collaboratifs de détection d’intrusions. En particulier, nous explorons(i) l’impact de la qualité des données dans des contextes hétérogènes, (ii) l’exposition à certains types d’attaques par empoisonnement,et (iii) des outils et des méthodologies pour améliorer l’évaluation de ce type d’algorithmesCollaboration between different cybersecurity actors is essential to fight against increasingly sophisticated and numerous attacks. However, stakeholders are often reluctant to share their data, fearing confidentiality and privacy issues and the loss of their competitive advantage, although it would improve their intrusion detection models. Federated learning is a recent paradigm in machine learning that allows distributed clients to train a common model without sharing their data. These properties of collaboration and confidentiality make it an ideal candidate for sensitive applications such as intrusion detection. While several applications have shown that it is indeed possible to train a single model on distributed intrusion detection data, few have focused on the collaborative aspect of this paradigm. In this manuscript, we study the use of federated learning to build collaborative intrusion detection systems. In particular, we explore (i) the impact of data quality in heterogeneous contexts, (ii) the exposure to certain types of poisoning attacks, and (iii) tools and methodologies to improve the evaluation of these types of algorithms
36
Hemmer, Adrien. "Méthodes de détection pour la sécurité des systèmes IoT hétérogènes." Electronic Thesis or Diss., Université de Lorraine, 2023. http://www.theses.fr/2023LORR0020.
Full textAbstract:
Cette thèse porte sur de nouvelles méthodes de détection pour la sécurité des systèmes IoT hétérogènes, et s'inscrit dans le cadre du projet européen Secure IoT. Nous avons tout d'abord proposé une solution utilisant le process mining couplé à un pré-traitement des données, pour construire des modèles de comportement et identifier des anomalies à partir de données hétérogènes. Nous avons évalué cette solution à partir de jeux de données issus de plusieurs domaines d'applications différents : véhicules connectés, industrie 4.0, robots d'assistance. Cette solution permet de construire des modèles plus facilement compréhensibles. Elle obtient des meilleurs résultats de détection que d'autres méthodes usuelles, mais demande un temps de traitement plus long. Pour réduire ce dernier sans dégrader les performances de détection, nous avons ensuite étendu notre méthode à l'aide d'une approche ensembliste, qui permet de combiner les résultats de plusieurs méthodes de détection utilisées simultanément. En particulier, nous avons comparé différentes stratégies d'agrégation des scores. Nous avons aussi évalué un mécanisme permettant d'ajuster dynamiquement la sensibilité de la détection. Enfin, nous avons implanté la solution sous la forme d'un prototype, qui a été intégré à une plateforme de sécurité développée avec des partenaires européensThis thesis concerns new detection methods for the security of heterogenous IoT systems, and fits within the framework of the SecureIoT European project. We have first proposed a solution exploiting the process mining together with pre-treatment techniques, in order to build behavioral models, and identifying anomalies from heterogenous systems. We have then evaluated this solution from datasets coming from different application domains : connected cars, industry 4.0, and assistance robots.. This solution enables to build models that are more easily understandable. It provides better detection results than other common methods, but may generate a longer detection time. In order to reduce this time without degrading detection performances, we have then extended our method with an ensemble approach, which combines the results from several detection methods that are used simultaneously. In particular, we have compared different score aggregation strategies, as well as evaluated a feedback mechanism for dynamically adjusting the sensitivity of the detection. Finally, we have implemented the solution as a prototype, that has been integrated into a security platform developed in collaboration with other European industrial partners
37
Andreoni, Lopez Martin Esteban. "Un système de surveillance et détection de menaces utilisant le traitement de flux comme une fonction virtuelle pour le Big Data." Electronic Thesis or Diss., Sorbonne université, 2018. http://www.theses.fr/2018SORUS035.
Full textAbstract:
La détection tardive des menaces à la sécurité entraîne une augmentation significative du risque de dommages irréparables, invalidant toute tentative de défense. En conséquence, la détection rapide des menaces en temps réel est obligatoire pour l'administration de la sécurité. De plus, la fonction de virtualisation de la fonction réseau (NFV) offre de nouvelles opportunités pour des solutions de sécurité efficaces et à faible coût. Nous proposons un système de détection de menaces rapide et efficace basé sur des algorithmes de traitement de flux et d'apprentissage automatique. Les principales contributions de ce travail sont : i) un nouveau système de détection des menaces de surveillance basé sur le traitement en continu, ii) deux ensembles de données, d'abord un ensemble de données de sécurité synthétiques contenant à la fois du trafic légitime et malveillant, et le deuxième, une semaine de trafic réel d'un opérateur de télécommunications à Rio de Janeiro, au Brésil, iii) un algorithme de pré-traitement de données, un algorithme de normalisation et un algorithme de sélection de caractéristiques rapides basé sur la corrélation entre des variables, iv) une fonction de réseau virtualisé dans une plate-forme Open Source pour fournir un service de détection des menaces en temps réel, v) placement quasi-optimal des capteurs grâce à une heuristique proposée pour positionner stratégiquement les capteurs dans l'infrastructure du réseau, avec un nombre minimal de capteurs, et enfin vi) un algorithme glouton qui alloue à la demande une séquence de fonctions de réseau virtuelThe late detection of security threats causes a significant increase in the risk of irreparable damages, disabling any defense attempt. As a consequence, fast real-time threat detection is mandatory for security administration. In addition, Network Function Virtualization (NFV) provides new opportunities for efficient and low-cost security solutions. We propose a fast and efficient threat detection system based on stream processing and machine learning algorithms. The main contributions of this work are i) a novel monitoring threat detection system based on streaming processing, ii) two datasets, first a dataset of synthetic security data containing both legitimate and malicious traffic, and the second, a week of real traffic of a telecommunications operator in Rio de Janeiro, Brazil, iii) a data pre-processing algorithm, a normalizing algorithm and an algorithm for fast feature selection based on the correlation between variables, iv) a virtualized network function in an Open source Platform for providing a real-time threat detection service, v) near-optimal placement of sensors through a proposed heuristic for strategically positioning sensors in the network infrastructure, with a minimum number of sensors, and finally vi) a greedy algorithm that allocates on demand a sequence of virtual network functions
38
Gross, Denise. "L'ingénierie sociale : la prise en compte du facteur humain dans la cybercriminalité." Thesis, Strasbourg, 2019. http://www.theses.fr/2019STRAA007.
Full textAbstract:
La révolution numérique a favorisé l’apparition d’une nouvelle forme de criminalité : la cybercriminalité. Celle-ci recouvre un grand nombre de faits dont la plupart sont commis à l’aide de stratégies d’ingénierie sociale. Il s’agit d’un vieux phénomène, pourtant mal connu qui, encouragé par l’accroissement de données circulant sur Internet et par le développement de barrières techniques de sécurité, s’est adapté aux caractéristiques de l’univers virtuel pour une exploitation combinée des vulnérabilités « humaines » avec des outils numériques. L’ingénierie sociale transforme les utilisateurs qui deviennent, inconsciemment, facilitateurs des cyberattaques, au point d’être perçus comme le « maillon faible » de la cybersécurité. Les particuliers, les entreprises et les Etats sont tous confrontés au défi de trouver une réponse à ces atteintes. Cependant, les moyens juridiques, techniques, économiques et culturels mis en place semblent encore insuffisants. Loin d’être éradiquée, l’utilisation de l’ingénierie sociale à des fins illicites poursuit son essor. Face au manque d’efficacité de la politique criminelle actuelle, le travail en amont nous apparaît comme une piste à explorer. Savoir anticiper, détecter précocement et réagir promptement face à la délinquance informatique sont alors des questions prioritaires nécessitant une approche plus humaniste, axée sur la prévention et la coopération. Si nous sommes d’accord sur ce qu’il reste à faire, le défi est de trouver le« comment »The digital revolution has encouraged the emergence of a new type of criminal activity : cyber-crime. This includes a vast array of activities and offences that often use social engineering techniques. These techniques are old and not widely understood, yet benefit from the increase of data available online and the use of firewalls and other security systems. They have been adapted to work with the Internet and digital technologies in order to exploit the “vulnerabilities” of human psychology. Social engineering targets the user, who often unconsciously, allows access to systems or data, making the user the weakest link in the cyber-security chain. Individuals, companies and governments are all facing the same challenge in trying to solve these issues, utilising current legal, financial, technological and social resources which seem to be insufficient. Far from being eradicated, fraudulent activities that use social engineering continue to increase in prevalence. The inefficiency of current judicial polices forces us to consider alternative strategies upstream. Being proactive, predicting early and reacting quickly to computer related crimes should be the priority of a more humanistic approach which is focused on prevention and cooperation. Although one can agree on the approach ; the challenge is to find out how to implement it
39
Kasse, Mamadou. "Système de Ρréventiοn cοntre les vulnérabilités et de Détectiοn des Anοmalies dans les Réseaux Ιnfοrmatiques." Electronic Thesis or Diss., Normandie, 2024. https://theses.hal.science/tel-04885354.
Full textAbstract:
Les outils de prévention des vulnérabilités et de détection des anomalies sont essentiels pour la sécurité des réseaux informatiques. Cette thèse se concentre sur l'utilisation des données du MITRE ATT&CK, des scores CVSS et de la norme ISO 27002:2022 pour automatiser et consolider l'analyse des vulnérabilités et la détection des anomalies. Les objectifs principaux sont : - Diagnostic de vulnérabilité : Identifier les sous-réseaux les plus vulnérables en combinant les données du MITRE ATT&CK, des scores CVSS et de la norme ISO 27002:2022. Pour cela, une base de données appelée Data ISO-MA a été créée. Un algorithme évalue la vulnérabilité des chemins dans le réseau, identifiant ceux les plus à risque. - Détection d’anomalies : Analyser les flux de trafic pour détecter des comportements inhabituels dans les chemins vulnérables. Une approche inspirée du modèle Path-scan de Joshua Neil et al. (2013) a été utilisée. Chaque connexion réseau est modélisée avec un modèle de Markov à 3 états et la statistique du rapport de vraisemblance généralisé (GLRT), permettant de capturer et d'identifier les comportements anormaux.Ces deux outils visent à renforcer la sécurité des réseaux informatiques en fournissant une solution intégrée pour la prévention des vulnérabilités et la détection des anomaliesTools for vulnerability prevention and anomaly detection are essential for the security of computer networks. This thesis focuses on using MITRE ATT&CK data, CVSS scores, and the ISO 27002:2022 standard to automate and consolidate vulnerability analysis and anomaly detection.The main objectives are: -Vulnerability Diagnosis: Identify the most vulnerable sub-networks by combining MITRE ATT&CK data, CVSS scores, and the ISO 27002:2022 standard. To achieve this, a database called Data ISO-MA was created. An algorithm evaluates the vulnerability of network paths, identifying those most at risk. - Anomaly Detection: Analyze traffic flows to detect unusual behaviors in vulnerable paths. An approach inspired by the Path-scan model introduced by Joshua Neil et al. (2013) was used. Each network connection is modeled with a 3-state Markov model and the Generalized Likelihood Ratio Test (GLRT), allowing for the capture and identification of abnormal behaviors.These two tools aim to enhance the security of computer networks by providing an integrated solution for vulnerability prevention and anomaly detection
40
Skaf, Faten. "La justice pénale face à la cybercriminalité." Thesis, Aix-Marseille, 2017. http://www.theses.fr/2017AIXM0218.
Full textAbstract:
La justice pénale est aujourd’hui confrontée au numérique et le développement des données dématérialisées, dont la valeur patrimoniale ne cesse de s’accroître, lui pose des défis de nature idéologique, sociologique, économique, géopolitique et, bien évidemment juridique. Elle doit faire face à la cybercriminalité qui se joue du temps, de l’espace et des législations puisque les actes illicites se déroulent désormais dans le cyberespace. Mais, pour que le système de justice pénale puisse contribuer efficacement à la lutte contre la cybercriminalité, les États doivent pouvoir s’appuyer sur un ensemble de règles juridiques contre cette criminalité et des systèmes de justice pénale qui fonctionnent correctement, doivent avoir les capacités nécessaires pour démêler les affaires pénales qui peuvent être complexes et coopérer à la répression de la cybercriminalité au plan internationalNowdays, Criminal justice is confronted to digital and the development of dematerialized data, whose heritage value is still increasing, raise challenges of ideological, sociological, economical, geopolitical and of course legal nature. Criminal justice needs to deal with cybercrime which make light of time, space and legislation because illicit acts now take place in cyberspace. However, so that the criminal justice system can contribute effectively to fight against cybercrime, states should be able to lean on a set of legal rules against crime and criminal justice systems which work correctly, should have the necessary abilities to get to the bottom of legal affairs which can be complex and cooperate in cybercrime repression on the international level
41
Marinho, Dylan. "Contributions théoriques et algorithmiques pour l’analyse de propriétés de sûreté et de sécurité dans les systèmes temporisés sous incertitude." Electronic Thesis or Diss., Université de Lorraine, 2023. http://www.theses.fr/2023LORR0386.
Full textAbstract:
Les systèmes temps-réels sont présents dans de multiples champs d'applications, comme les transports, les télécommunications ou l'industrie. Cependant, des accidents peuvent arriver et il est nécessaire d'avoir confiance en ces systèmes afin de les éviter. Il est donc nécessaire de pouvoir prouver formellement que leur comportement sera conforme avec une spécification. Celle-ci peut être de deux natures : la sûreté du système, montrant qu'il aura toujours un comportement attendu, mais aussi la sécurité, montrant qu'il sera résistant à certaines attaques. Pour cela, le formalisme des automates temporisés (TAs) est assez commun. Néanmoins, cette modélisation peut être imparfaite, en raison de la nature du système, de simplifications devant être faites ou d'imprécisions. Nous étudions donc ces systèmes temporisés sous incertitude, c'est à dire à l'aide de paramètres. L'extension naturelle étudiée est alors le formalisme des automates temporisés paramétrés (PTAs). Tout d'abord, nous nous intéressons à des méthodes de vérification efficace sur les PTAs. Une librarie de benchmark pour le model-checking temporisé paramétré est présentée; celle-ci permet de comparer différents algorithmes concernant les PTA. Ensuite, nous étudions le cas de la fusion d'états dans le graphe des zones d'un PTA : si l'union des contraintes de deux états ayant la même localité est convexe, alors ces deux états peuvent être fusionnés. Cette méthode ayant été implémentée, nous comparons différentes heuristiques et nous montrons qu'en pratique cette méthode permet de réduire en moyenne de 62% le temps de calcul. Ensuite, nous nous intéressons à une notion d'opacité sur les PTA. Dans notre formalisme, un attaquant cherche à déterminer un secret (exprimé en terme de visite d'une localité) en ne connaissant que le temps d'exécution total du système (ainsi que le modèle). Nous définissons formellement cette notion et étudions deux types de problèmes : décider qu'un système exprimé sous forme de TA est opaque et déterminer les valeurs de paramètres d'un PTA permettant d'assurer l'opacité du TA associé. Nous étendons ensuite cette définition au cas des secrets avec expiration : dans ce formalisme, après un certain délai, trouver un secret est inutile pour l'attaquant. Nous nous intéressons alors au problème de décision ainsi qu'à celui du calcul de date d'expiration permettant d'assurer qu'un TA est opaque. Une extension paramétrée est également étudiée, avec la synthèse des paramètres dans un PTA. Pour les différents problèmes, nous montrons des résultats de décidablité et proposons quelques algorithmes pour les résoudre. Nous présentons également une première version de contrôle non-temporisé associé à notre formalisme d'opacité. Nous cherchons alors à mettre en évidence un ensemble d'actions de sorte qu'un TA restreint à cet ensemble soit opaque; un algorithme et une implémentation sont proposésReal-time systems can be used in a wide range of applications, such as transport, telecommunications and industry. However, accidents can happen, and it is necessary to have confidence in these systems in order to avoid them. It is therefore necessary to formally prove that their behavior will comply with a specification. This specification can be of two kinds: with safety properties, showing that the system will always behave as expected, and security properties, showing that it will be resistant to certain attacks. For this, the formalism of timed automata (TAs) is fairly common. However, this modeling may be imperfect, due to the nature of the system, needed simplifications or imprecisions. We therefore study these timed systems under uncertainty, i.e. using parameters. The natural extension studied is the formalism of parameterized timed automata (PTAs). First, we focus on efficient verification methods for PTAs. A benchmark library for parametric timed model-checking is presented, allowing us to compare different algorithms for PTAs. Next, we study the case of state merging in the (parametric) zone graph of a PTA: if the union of the constraints of two states with the same location is convex, then these two states can be merged. We propose an algorithm, implement it and compare different heuristics. We show that, in practice, this method reduces computation time by an average of 62%. Next, we introduce a notion of opacity on PTAs. In our formalism, an attacker seeks to determine a secret (expressed in terms of visiting a location) knowing only the total execution time of the system (as well as the model). We formally define this notion and study two types of problem: deciding that a system expressed as a TA is opaque, and determining the parameter valuations of a PTA to ensure the opacity of the associated TA. We then extend this definition to the case of secrets with expiration: in this formalism, after a certain delay, finding a secret is useless for the attacker. We then address the decision problem as well as the problem of computing the expiration date to ensure that a TA is opaque. A parameterized extension is also studied, with the synthesis of parameters in a PTA. For the different problems, we show decidability results and propose some algorithms to solve them. We also present a first version of untimed control associated with our opacity formalism. We then seek to highlight a set of actions so that a PTA restricted to this set is opaque; an algorithm and an implementation are proposed
42
Gallin, Gabriel. "Unités arithmétiques et cryptoprocesseurs matériels pour la cryptographie sur courbe hyperelliptique." Thesis, Rennes 1, 2018. http://www.theses.fr/2018REN1S071/document.
Full textAbstract:
De nombreux systèmes numériques nécessitent des primitives de cryptographie asymétrique de plus en plus performantes mais aussi robustes aux attaques et peu coûteuses pour les applications embarquées. Dans cette optique, la cryptographie sur courbe hyperelliptique (HECC) a été proposée comme une alternative intéressante aux techniques actuelles du fait de corps finis plus petits. Nous avons étudié des cryptoprocesseurs HECC matériels performants, flexibles et robustes contre certaines attaques physiques. Tout d’abord, nous avons proposé une nouvelle architecture d’opérateurs exécutant, en parallèle, plusieurs multiplications modulaires (A × B) mod P, où P est un premier générique de quelques centaines de bits et configurable dynamiquement. Elle permet le calcul de la grande majorité des opérations nécessaires pour HECC. Nous avons développé un générateur d’opérateurs, distribué en logiciel libre, pour l'exploration de nombreuses variantes de notre architecture. Nos meilleurs opérateurs sont jusqu'à 2 fois plus petits et 2 fois plus rapids que les meilleures solutions de l'état de l'art. Ils sont aussi flexibles quant au choix de P et atteignent les fréquences maximales du FPGA. Dans un second temps, nous avons développé des outils de modélisation et de simulation pour explorer, évaluer et valider différentes architectures matérielles pour la multiplication scalaire dans HECC sur les surfaces de Kummer. Nous avons implanté, validé et évalué les meilleures architectures sur différents FPGA. Elles atteignent des vitesses similaires aux meilleures solutions comparables de l’état de l’art, mais pour des surfaces réduites de moitié. La flexibilité obtenue permet de modifier lors de l'exécution les paramètres des courbes utiliséesMany digital systems require primitives for asymmetric cryptography that are more and more efficient but also robust to attacks and inexpensive for embedded applications. In this perspective, and thanks to smaller finite fields, hyperelliptic curve cryptography (HECC) has been proposed as an interesting alternative to current techniques. We have studied efficient and flexible hardware HECC cryptoprocessors that are also robust against certain physical attacks. First, we proposed a new operator architecture able to compute, in parallel, several modular multiplications (A × B) mod P, where P is a generic prime of a few hundred bits and configurable at run time. It allows the computation of the vast majority of operations required for HECC. We have developed an operator generator, distributed in free software, for the exploration of many variants of our architecture. Our best operators are up to 2 times smaller and twice as fast as the best state-of-the-art solutions. They are also flexible in the choice of P and reach the maximum frequencies of the FPGA. In a second step, we developed modeling and simulation tools to explore, evaluate and validate different hardware architectures for scalar multiplication in HECC on Kummer surfaces. We have implemented, validated and evaluated the best architectures on various FPGA. They reach speeds similar to the best comparable solutions of the state of the art, but for halved surfaces. The flexibility obtained makes it possible to modify the parameters of the curves used during execution
43
Hachem, Nabil. "MPLS-based mitigation technique to handle cyber attacks." Thesis, Evry, Institut national des télécommunications, 2014. http://www.theses.fr/2014TELE0013/document.
Full textAbstract:
Les cyber-attaques pourraient engendrer des pertes qui sont de plus en plus importantes pour les utilisateurs finaux et les fournisseurs de service. Ces attaques sont, en outre, élevées par une myriade des ressources infectées et comptent surtout sur les réseaux pour être contrôlées, se propager ou endommager. Face à ces risques, il y a un besoin essentiel qui se manifeste dans la réponse à ces nombreuses attaques par des stratégies de défense efficaces. Malgré les multitudes efforts dévouées pour mettre en œuvre des techniques de défense complètes afin de se protéger contre les attaques réseaux; les approches proposées n’ont pas parvenus à satisfaire toutes les exigences. Les stratégies de défense impliquent un processus de détection complété par des actions de mitigation. Parallèlement à l’importance accordée à la conception des stratégies de détection, il est essentiel de fermer la boucle de sécurité avec des techniques efficaces permettant d’atténuer les impacts des différentes attaques. Dans cette thèse, nous proposons une technique pour réagir aux attaques qui abusent les ressources du réseau, par exemple, DDoS, botnet, distribution des vers, etc. La technique proposée s’appuie sur des approches de gestion du trafic et utilise le standard Multiprotocol Label Switching (MPLS) pour gérer le trafic diagnostiqué comme abusant du réseau, tout en invoquant les processus de détection. Les objectifs de notre technique peuvent être résumés comme suit: d’une part, fournir les moyens — par la qualité de service et schémas de routage — à séparer les flux suspects des légitimes, et d’autre part de prendre le contrôle des flux suspects. Nous bénéficions de l’extension du MPLS au niveau d’inter-domaine pour permettre une coopération entre les fournisseurs, permettant par suite la construction d’un mécanisme de défense à grande échelle. Nous développons un système afin de compléter les aspects de gestion de la technique proposée. Ce système effectue plusieurs tâches telles que l’extraction de données d’alerte, l’adaptation de la stratégie et la configuration des équipements. Nous modélisons le système en utilisant une approche de regroupement et un langage de politiques de sécurité afin de gérer de manière cohérente et automatique le contexte et l’environnement dans lequel la technique de mitigation est exécutée. Enfin, nous montrons l’applicabilité de la technique et du système à travers des différentes simulations tout en évaluant la qualité de service dans des réseaux MPLS. L’application de la technique a démontré son efficacité dans non seulement la mitigation des impacts des attaques mais aussi dans l’offre des avantages financiers aux acteurs de la chaîne de sécurité, à savoir les fournisseurs de serviceCyber attacks cause considerable losses not only for end-users but also service providers. They are fostered by myriad of infected resources and mostly rely on network resources for whether propagating, controlling or damaging. There is an essential need to address these numerous attacks by efficient defence strategies. Researchers have dedicated large resources without reaching a comprehensive method to protect from network attacks. Defence strategies involve first a detection process, completed by mitigation actions. Research on detection is more active than on mitigation. Yet, it is crucial to close the security loop with efficient technique to mitigate counter attacks and their effects. In this thesis, we propose a novel technique to react to attacks that misuse network resources, e.g., DDoS, Botnet, worm spreading, etc. Our technique is built upon network traffic management techniques. We use the Multiprotocol Label Switching (MPLS) technology to manage the traffic diagnosed to be part of a network misuse by detection processes. The goals of our technique can be summarized as follows: first to provide the means — via QoS and routing schemes — to segregate the suspicious flows from the legitimate traffic; and second, to take control over suspicious flows. We profit from the enhancement on the inter-domain MPLS to permit a cooperation among providers building a large-scale defence mechanism. We develop a system to complete the management aspects of the proposed technique. This system performs tasks such as alert data extraction, strategy adaptation and equipments configurations. We model the system using a clustering method and a policy language in order to consistently and automatically manage the mitigation context and environment in which the proposed technique is running. Finally, we show the applicability of the technique and the system through simulation. We evaluate and analyse the QoS and financial impacts inside MPLS networks. The application of the technique demonstrates its effectiveness and reliability in not only alleviating attacks but also providing financial benefits for the different players in the mitigation chain, i.e., service providers
44
Bouchouia, Mohammed. "Multi layered Misbehavior Detection for a connected and autonomous vehicle." Electronic Thesis or Diss., Institut polytechnique de Paris, 2023. http://www.theses.fr/2023IPPAT018.
Full textAbstract:
De nos jours, le domaine des véhicules, y compris les véhicules autonomes et les villes intelligentes, est en train de se développer pour moderniser la vie humaine dans une ville où tout est connecté : les humains grâce à un smartphone, les infrastructures, les voitures et les motos. Dans un tel système, les informations sont échangées, traitées et utilisées pour le bon fonctionnement de toute entité dans le système. Cependant, la dépendance accrue à la communication véhiculaire en fait également une cible d'attaques de sécurité, ce qui pourrait entraîner la diffusion d'informations fausses ou manipulées provenant de sources malveillantes. Cela pourrait constituer une menace pour le bon fonctionnement du système et pourrait potentiellement entraîner des accidents. Pour résoudre ce problème, il est crucial de valider et de vérifier la communication pour garantir son exactitude et prévenir les attaques malveillantes. Nous avons pour objectif de formuler la détection de comportements anormaux pour les véhicules connectés et autonomes de niveau 4/5 d'automatisation. Dans notre thèse, nous proposons une architecture multicouche pour la détection de comportements anormaux avec un apprentissage automatique pour sécuriser la communication, les capteurs et les composants internes des véhicules connectés et autonomes. Cette architecture nous permet de proposer un nouveau modèle de réseau de neurones basé sur l'apprentissage par renforcement pour la détection de comportements anormaux. Nous avons montré dans un environnement simulé, à travers une évaluation, que notre modèle est capable de détecter des comportements anormaux nouveaux et fonctionne mieux que les algorithmes de l'état de l'art. De plus, nous abordons la fuite de données dans les communications véhiculaires et proposons une méthode de validation croisée pour éviter cette fuite dans les applications d'apprentissage automatique. Lors de l'évaluation des résultats de notre thèse, nous avons développé une simulation pour les environnements de véhicules, capable d'injecter et de détecter des comportements anormaux. Enfin, les idées développées dans cette thèse ont donné lieu à plusieurs publicationsIn recent years, the vehicular field has undergone significant advancements with the development of autonomous vehicles and smart cities. These advancements have brought about a modernization of human life, where everything is interconnected - from individuals through smartphones to infrastructure, cars, and motorcycles. In such a system, information is exchanged and processed, and used to ensure the proper functioning of all entities. However, the increased reliance on V2X communication also makes it a target for security attacks, which could lead to the dissemination of false or manipulated information from malicious sources. This could pose a threat to the proper functioning of the system and can potentially result in accidents. To address this problem, it is crucial to validate and verify the communication to ensure its accuracy and prevent malicious attacks. We aim to formulate misbehavior and misbehavior detection for connected and autonomous vehicles of level 4/5 automation. In our thesis, we propose a multi-layered architecture for the detection of abnormal behaviors with automatic learning to secure the connected and autonomous vehicles' communications, sensors, and internal components. The architecture allows us to propose a novel reinforcement learning based neural architecture for the detection of misbehaviors where we showed in a simulated environment, through evaluation, that the model is capable of detecting novel misbehaviors and performs better than current state-of-the-art algorithms. Furthermore, we tackle data leakage in V2X data and propose a cross-validation method to avoid said leakage in machine learning applications. We also developed a simulation for vehicular environments capable of injecting and detecting misbehaviors for the evaluation of our thesis results. The ideas developed in this research have resulted in several publications and have the potential to significantly enhance the security and reliability of vehicular systems
45
Blaise, Agathe. "Novel anomaly detection and classification algorithms for IP and mobile networks." Electronic Thesis or Diss., Sorbonne université, 2020. http://www.theses.fr/2020SORUS257.
Full textAbstract:
Ces dernières années ont été marquées par une nette augmentation de la fréquence et de la diversité des attaques réseau, qui apparaissent toujours plus sophistiquées et conçues pour être indétectables. En parallèle, des techniques sont développées pour les détecter et prendre des contre-mesures rapidement. Récemment, l’essor des techniques statistiques et d’apprentissage machine ("machine learning") ont permis un développement rapide de techniques innovantes visant à détecter de telles attaques. Ces techniques ont des applications dans de nombreux domaines qui gagneraient à être davantage automatisés. Dans le domaine des réseaux, elles s’appliquent par exemple au routage et à la classifcation de trafic et à la sécurité des réseaux. Cette thèse propose de nouveaux algorithmes de détection d’anomalies et de classification appliqués aux réseaux IP et mobiles. Au niveau IP, celle-ci présente une solution Split-and-Merge qui détecte des botnets qui se propagent lentement sur Internet en exploitant des vulnérabilités émergentes. Cette méthode analyse l’évolution à long-terme de l’usage des ports applicatifs. Ensuite, celle-ci aborde la détection d’hôtes infectés par un botnet, cette fois en utilisant des techniques de classification au niveau de l’hôte, dans une solution nommée BotFP. Enfin, cette thèse présente notre algorithme ASTECH qui permet la détection d’anomalies brutes dans les séries temporelles dans les réseaux mobiles, les regroupe en enveloppes convexes spatio-temporelles, et finalement induit plusieurs classes d’événementsLast years have witnessed an increase in the diversity and frequency of network attacks, that appear more sophisticated than ever and devised to be undetectable. At the same time, customized techniques have been designed to detect them and to take rapid countermeasures. The recent surge in statistical and machine learning techniques largely contributed to provide novel and sophisticated techniques to allow the detection of such attacks. These techniques have multiple applications to enable automation in various fields. Within the networking area, they can serve traffic routing, traffic classification, and network security, to name a few. This thesis presents novel anomaly detection and classification techniques in IP and mobile networks. At IP level, it presents our solution Split-and-Merge which detects botnets slowly spreading on the Internet exploiting emerging vulnerabilities. This technique monitors the long-term evolutions of the usages of application ports. Then, our thesis tackles the detection of botnet’s infected hosts, this time at the host-level, using classification techniques, in our solution BotFP. Finally, it presents our ASTECH (for Anomaly SpatioTEmporal Convex Hull) methodology for group anomaly detection in mobile networks based on mobile app usages
46
Ziani, Zineb. "AI and HPC Convergence for Enhanced Anomaly Detection." Electronic Thesis or Diss., université Paris-Saclay, 2025. http://www.theses.fr/2025UPASG006.
Full textAbstract:
La détection des anomalies, une branche de l'IA, vise à identifier des instances ou des motifs dans les données qui s'écartent de la norme. Cette capacité est essentielle dans divers secteurs, notamment la finance, où elle aide à identifier la fraude ; la santé, où elle détecte les conditions anormales ; et la maintenance prédictive, où elle anticipe les pannes d'équipement. En cybersécurité, la détection des anomalies permet d'identifier les comportements suspects et aide à prévenir les intrusions en analysant les motifs inhabituels dans le trafic réseau. Les techniques existantes, telles que les méthodes statistiques comme le test de Grubbs, ainsi que les méthodes basées sur le clustering, l'apprentissage automatique et les approches d'apprentissage profond, ont des limitations en termes de précision et d'efficacité, notamment lorsqu'il s'agit de traiter des anomalies complexes ou des environnements dynamiques et de grande dimension. La généralisation de ces méthodes pour détecter des types divers d'anomalies demeure un défi, nécessitant souvent des adaptations ou des combinaisons d'approches pour améliorer les performances. Les techniques d'apprentissage ensembliste telles que le Bagging, le Boosting et le Stacking peuvent également fournir des solutions intéressantes pour la détection des anomalies. Ces méthodes, traditionnellement utilisées pour améliorer la précision des modèles de classification et de régression, fournissent des modèles plus généraux, améliorant ainsi la robustesse, la flexibilité et la généralisabilité des modèles de base. Cependant, elles ne garantissent pas toujours une très bonne précision. De plus, elles nécessitent une puissance de calcul importante pour traiter de grands volumes de données en temps réel, ce qui constitue un facteur crucial pour les plateformes de détection des anomalies en production, notamment dans des environnements comme la cybersécurité, où les attaques évoluent constamment et deviennent de plus en plus sophistiquées. L'objectif de cette thèse est d'améliorer la précision et l'efficacité des techniques de détection des anomalies, en mettant particulièrement l'accent sur le domaine de la cybersécurité. À cette fin, nous nous concentrons sur l'application de l'approche "Unite and Conquer (UC)" aux méthodes d'apprentissage ensembliste. L'approche UC, initialement développée en algèbre linéaire, implique plusieurs méthodes itératives (co-méthodes) collaborant pour résoudre un même problème donné de manière plus efficace que chaque co-méthode individuellement. Cette collaboration, qui consiste à partager les résultats intermédiaires des co-méthodes, permet d'accélérer la convergence de la méthode globale. Appliquée aux techniques d'apprentissage ensembliste, cette stratégie facilite la construction d'un modèle global à partir de plusieurs co-modèles, offrant ainsi une meilleure précision ainsi qu'une meilleure efficacité computationnelle. L'approche collaborative et itérative proposée intègre diverses techniques d'apprentissage automatique et d'apprentissage profond et tire parti du parallélisme UC pour améliorer l'efficacité du traitement. Sa structure itérative améliore la performance grâce à une exécution synchronisée et asynchrone, soutenant à la fois le parallélisme inter-co-méthode et intra-co-méthode avec une granularité grossière. En partageant les résultats entre les co-modèles et en ajustant les entrées pour les itérations successives, notre approche affine continuellement la précision de la détection et accélère la convergence globale. Cette approche renforce la robustesse du système grâce à une tolérance aux pannes et à un équilibrage de charge optimisé, adapté aux systèmes distribués massifs tels que FugakuAnomaly detection, a branch of AI, aims to identify instances or patterns in data that deviate from the norm. This capability is essential across various sectors, including finance, where it helps identify fraud; healthcare, where it detects abnormal conditions; and predictive maintenance, where it anticipates equipment failures. In cybersecurity, anomaly detection enables the identification of suspicious behaviors and aids in preventing intrusions by analyzing unusual patterns in network traffic.Existing techniques, such as statistical methods like Grubbs' test, as well as clustering-based methods, machine learning, and deep learning approaches, have limitations in terms of accuracy and efficiency, especially when dealing with complex anomalies or dynamic, high-dimensional environments. Generalizing these methods to detect diverse types of anomalies remains a challenge, often requiring adaptations or combinations of approaches to improve performance.Ensemble learning techniques such as Bagging, Boosting, and Stacking can also provide interesting solutions for anomaly detection purposes. These methods, traditionally used to improve the accuracy of classification and regression models, provide more general models improving the robustness, flexibility and generalizability of the basic models. However, they do not always provide very good accuracy. Moreover, they require significant computing power to process large volumes of data in real time, which is a crucial factor for production anomaly detection platforms, especially in environments such as cybersecurity, where attacks are constantly evolving and becoming more sophisticated.The objective of this thesis is to improve the accuracy and efficiency of anomaly detection techniques with a particular focus on cybersecurity domain. To this end, we focus on the application of the “Unite and Conquer (UC)” approach to ensemble learning methods. The UC approach, initially developed in linear algebra, involves several iterative methods (co-methods) collaborating to solve a same given problem more efficiently than each co-method individually. This collaboration, which consists of sharing the intermediate results of the co-methods, allows the acceleration of the convergence of the global method. Applied to ensemble learning techniques, this strategy facilitates the construction of a global model from several co-models, thus offering better accuracy as well as better computational efficiency.The proposed collaborative, iterative approach integrates diverse machine learning and deep learning techniques and leverages UC parallelism to boost processing efficiency. Its iterative structure enhances performance through synchronous and asynchronous execution, supporting both inter-co-method and intra-co-method parallelism with coarse granularity. By sharing results across co-models and adjusting inputs for successive iterations, our approach continuously refines detection accuracy and accelerates global convergence. This approach strengthens system robustness through fault tolerance and optimized load balancing, adapted for massive distributed systems such as Fugaku
47
Boutahala, Ramzi. "Mécanismes de sécurisation des communications véhiculaires." Electronic Thesis or Diss., Reims, 2023. http://www.theses.fr/2023REIMS047.
Full textAbstract:
Dans cette thèse, nous examinons le problème de la surcharge des canaux de communication dans le contexte des systèmes de transport intelligents coopératifs (C-ITS). Nous visons à améliorer le mécanisme de communication entre les véhicules et nous nous concentrons sur la partie sécurité de la communication, qui est la plus coûteuse en termes de ressources. En Europe et aux États-Unis, des protocoles de communication adaptés ont été proposés pour assurer la communication et la coopération entre tous les acteurs concernés (véhicules, infrastructure routière, piétons, etc.). Ces protocoles permettent aux véhicules de communiquer entre eux en échangeant des messages spécifiques. Chaque véhicule envoie périodiquement des balises d'application (appelées CAM (Cooperative Awareness Message) dans la norme européenne). Ce CAM contient des informations sur l'état du véhicule (vitesse, localisation, cap, etc.). Afin de garantir l'intégrité et l'authentification des messages échangés, des signatures calculées à l'aide de divers certificats de pseudonyme (PC) sont incluses dans tous les messages envoyés.Nous proposons une approche différente qui permet aux véhicules d'envoyer des CAM sans avoir à envoyer des informations de sécurité à chaque transmission, comme l'exigent les normes actuelles. Au lieu d'une authentification exhaustive, notre approche permet aux véhicules de réduire la sécurité des données et d'instaurer la confiance en créant des environnements de confiance. Cela réduit le besoin d'échanges fréquents de CAMs signés et élimine la nécessité d'un processus de vérification et de signature étendu, ce qui permet d'économiser la bande passante. En outre, nous proposons un processus de vérification de la confiance qui contrôle cette confiance afin d'éviter les activités malveillantes. Notre stratégie intègre un double mécanisme : une méthode d'extrapolation qui fixe des seuils pour la détection des comportements incohérents, suivie d'un modèle d'apprentissage profond non supervisé formé sur des données calibrées, évaluant de manière cohérente les variations dans le comportement des voisins. L'efficacité de notre approche est étayée par des données de trafic de l'autoroute A4 Reims-Paris en France, avec des simulations réalisées dans les environnements OMNeT++, SUMO et Artery. La performance de toutes les méthodes considérées a été évaluée de manière comparative dans des conditions de test identiquesIn this thesis, we consider the problem of communication channel overload in the context of cooperative intelligent transport systems (C-ITS). We aim to improve the communication mechanism between vehicles and focus on the security part of communication, which is the most costly in terms of resources. In Europe and the USA, adapted communication protocols have been proposed to ensure communication and cooperation among all relevant actors (vehicles, road infrastructure, pedestrians, etc). These protocols enable vehicles to communicate with each other by exchanging specific messages. Each vehicle periodically sends application beacons denoted CAM (Cooperative Awareness Message). This CAM contains information about the vehicle status (speed, location, heading, etc). In order to guarantee the integrity and the authentication of the exchanged messages, signatures that are computed using various Pseudonym Certificates (PC) are included in all sent messages. We propose a different approach that enables vehicles to send CAMs, without having to send security information, with each transmission, as required by current standards. Instead of exhaustive authentication, our approach enables vehicles to reduce data security and build trust by creating trusted environments. This reduces the need for frequent exchanges of signed CAMs and eliminates the need for an extensive verification and signature process, effectively conserving bandwidth. In addition, we propose a trust verification process that checks this trust to avoid malicious activities. Our strategy incorporates a two-fold mechanism: an extrapolation method that sets thresholds for the detection of inconsistent behavior, followed by an unsupervised deep learning model trained on calibrated data, consistently evaluating variations in neighbor behavior. The effectiveness of our approach is supported using traffic data from the A4 Reims-Paris highway in France, with simulations performed in OMNeT++, SUMO and Artery environments. The performance of all considered methods was comparatively assessed under identical testing conditions
48
Labonne, Maxime. "Anomaly-based network intrusion detection using machine learning." Electronic Thesis or Diss., Institut polytechnique de Paris, 2020. http://www.theses.fr/2020IPPAS011.
Full textAbstract:
Ces dernières années, le piratage est devenu une industrie à part entière, augmentant le nombre et la diversité des cyberattaques. Les menaces qui pèsent sur les réseaux informatiques vont des logiciels malveillants aux attaques par déni de service, en passant par le phishing et l'ingénierie sociale. Un plan de cybersécurité efficace ne peut plus reposer uniquement sur des antivirus et des pare-feux pour contrer ces menaces : il doit inclure plusieurs niveaux de défense. Les systèmes de détection d'intrusion (IDS) réseaux sont un moyen complémentaire de renforcer la sécurité, avec la possibilité de surveiller les paquets de la couche 2 (liaison) à la couche 7 (application) du modèle OSI. Les techniques de détection d'intrusion sont traditionnellement divisées en deux catégories : la détection par signatures et la détection par anomalies. La plupart des IDS utilisés aujourd'hui reposent sur la détection par signatures ; ils ne peuvent cependant détecter que des attaques connues. Les IDS utilisant la détection par anomalies sont capables de détecter des attaques inconnues, mais sont malheureusement moins précis, ce qui génère un grand nombre de fausses alertes. Dans ce contexte, la création d'IDS précis par anomalies est d'un intérêt majeur pour pouvoir identifier des attaques encore inconnues.Dans cette thèse, les modèles d'apprentissage automatique sont étudiés pour créer des IDS qui peuvent être déployés dans de véritables réseaux informatiques. Tout d'abord, une méthode d'optimisation en trois étapes est proposée pour améliorer la qualité de la détection : 1/ augmentation des données pour rééquilibrer les jeux de données, 2/ optimisation des paramètres pour améliorer les performances du modèle et 3/ apprentissage ensembliste pour combiner les résultats des meilleurs modèles. Les flux détectés comme des attaques peuvent être analysés pour générer des signatures afin d'alimenter les bases de données d'IDS basées par signatures. Toutefois, cette méthode présente l'inconvénient d'exiger des jeux de données étiquetés, qui sont rarement disponibles dans des situations réelles. L'apprentissage par transfert est donc étudié afin d'entraîner des modèles d'apprentissage automatique sur de grands ensembles de données étiquetés, puis de les affiner sur le trafic normal du réseau à surveiller. Cette méthode présente également des défauts puisque les modèles apprennent à partir d'attaques déjà connues, et n'effectuent donc pas réellement de détection d'anomalies. C'est pourquoi une nouvelle solution basée sur l'apprentissage non supervisé est proposée. Elle utilise l'analyse de l'en-tête des protocoles réseau pour modéliser le comportement normal du trafic. Les anomalies détectées sont ensuite regroupées en attaques ou ignorées lorsqu'elles sont isolées. Enfin, la détection la congestion réseau est étudiée. Le taux d'utilisation de la bande passante entre les différents liens est prédit afin de corriger les problèmes avant qu'ils ne se produisentIn recent years, hacking has become an industry unto itself, increasing the number and diversity of cyber attacks. Threats on computer networks range from malware to denial of service attacks, phishing and social engineering. An effective cyber security plan can no longer rely solely on antiviruses and firewalls to counter these threats: it must include several layers of defence. Network-based Intrusion Detection Systems (IDSs) are a complementary means of enhancing security, with the ability to monitor packets from OSI layer 2 (Data link) to layer 7 (Application). Intrusion detection techniques are traditionally divided into two categories: signatured-based (or misuse) detection and anomaly detection. Most IDSs in use today rely on signature-based detection; however, they can only detect known attacks. IDSs using anomaly detection are able to detect unknown attacks, but are unfortunately less accurate, which generates a large number of false alarms. In this context, the creation of precise anomaly-based IDS is of great value in order to be able to identify attacks that are still unknown.In this thesis, machine learning models are studied to create IDSs that can be deployed in real computer networks. Firstly, a three-step optimization method is proposed to improve the quality of detection: 1/ data augmentation to rebalance the dataset, 2/ parameters optimization to improve the model performance and 3/ ensemble learning to combine the results of the best models. Flows detected as attacks can be analyzed to generate signatures to feed signature-based IDS databases. However, this method has the disadvantage of requiring labelled datasets, which are rarely available in real-life situations. Transfer learning is therefore studied in order to train machine learning models on large labeled datasets, then finetune them on benign traffic of the network to be monitored. This method also has flaws since the models learn from already known attacks, and therefore do not actually perform anomaly detection. Thus, a new solution based on unsupervised learning is proposed. It uses network protocol header analysis to model normal traffic behavior. Anomalies detected are then aggregated into attacks or ignored when isolated. Finally, the detection of network congestion is studied. The bandwidth utilization between different links is predicted in order to correct issues before they occur
49
Boulanin, Vincent. "De la défense à la sécurité : aspects économiques et enjeux politiques de la diversification des firmes européennes d’armement dans le domaine de la sécurité." Paris, EHESS, 2014. http://www.theses.fr/2014EHES0161.
Full textAbstract:
Ce travail a porté sur les causes géopolitiques, les aspects économiques et les enjeux politiques de la diversification des firmes européennes d’armement dans le domaine de la sécurité. L’objectif était de proposer une réflexion sur l’émergence d’un continuum entre « la défense et la sécurité » au plan industriel. La thèse est que les firmes d’armement ne font pas que réagir à l’évolution du marché. Elles influent sur les choix publics et les orientations des politiques de sécurité ce qui leur permet de conditionner l’expression des besoins de biens et de services en matière de sécurité publique. La démonstration s’appuie sur une démarche originale qui conjugue l’empirisme des travaux sur la production d’armement et la réflexivité théorique de la littérature constructiviste en RI sur les politiques de sécurité. La première partie explique la diversification des firmes d’armement dans le domaine de la sécurité par la nécessité pour l’industrie de défense de s’adapter au contexte post-11 septembre. Les firmes sont à la recherche de nouveaux relais de croissance et elles ont besoin de se trouver une nouvelle légitimité dans un contexte marqué par la liquéfaction des repères traditionnels du monde de la défense. La deuxième partie présente les aspects empiriques de cette évolution et analyse dans quelle mesure la diversification est un phénomène complexe qui ne peut se résumer à une opposition entre civil et militaire. La dernière partie illustre, au travers d’une double étude de cas sur la sécurité des frontières et la cybersécurité, que les firmes ont étendu leur capacité d’influence au niveau de la définition et la mise en place des politiques publiques de sécuritéThis dissertation deals with the geopolitical causes, the economic aspects and the political consequences of the diversification of the European arms industry into the realm of security. The objective was to study the so-called “defence-security continuum” at the industry level. The thesis is that arms producers are not only reacting to a growing demand for security goods and services, they actively take part in the definition and implementation of security policies to the extent that they can shape public demand for the latter. The argument is based on an original approach that combines the empiricism of the literature on arms production with the reflexivity of the constructivist literature on security policies in the IR discipline. Section I explains why arms producers had to diversify into the security realm in order to cope with the post-9/11 order. They had to find new growth drivers and they had to reinvent their legitimacy in a context where the landmarks of the defence community were eroding. Section II present empirical evidence on the diversification of the arms industry into the realm of security and analyse to what extent this is a complex phenomenon that cannot be analysed only through the opposition civil/military. Section III consists of two cases studies on border security and cyber-security; both show how arms produced have expanded their influence on the definition and implementation of public security policies
50
Hachem, Nabil. "MPLS-based mitigation technique to handle cyber attacks." Electronic Thesis or Diss., Evry, Institut national des télécommunications, 2014. http://www.theses.fr/2014TELE0013.
Full textAbstract:
Les cyber-attaques pourraient engendrer des pertes qui sont de plus en plus importantes pour les utilisateurs finaux et les fournisseurs de service. Ces attaques sont, en outre, élevées par une myriade des ressources infectées et comptent surtout sur les réseaux pour être contrôlées, se propager ou endommager. Face à ces risques, il y a un besoin essentiel qui se manifeste dans la réponse à ces nombreuses attaques par des stratégies de défense efficaces. Malgré les multitudes efforts dévouées pour mettre en œuvre des techniques de défense complètes afin de se protéger contre les attaques réseaux; les approches proposées n’ont pas parvenus à satisfaire toutes les exigences. Les stratégies de défense impliquent un processus de détection complété par des actions de mitigation. Parallèlement à l’importance accordée à la conception des stratégies de détection, il est essentiel de fermer la boucle de sécurité avec des techniques efficaces permettant d’atténuer les impacts des différentes attaques. Dans cette thèse, nous proposons une technique pour réagir aux attaques qui abusent les ressources du réseau, par exemple, DDoS, botnet, distribution des vers, etc. La technique proposée s’appuie sur des approches de gestion du trafic et utilise le standard Multiprotocol Label Switching (MPLS) pour gérer le trafic diagnostiqué comme abusant du réseau, tout en invoquant les processus de détection. Les objectifs de notre technique peuvent être résumés comme suit: d’une part, fournir les moyens — par la qualité de service et schémas de routage — à séparer les flux suspects des légitimes, et d’autre part de prendre le contrôle des flux suspects. Nous bénéficions de l’extension du MPLS au niveau d’inter-domaine pour permettre une coopération entre les fournisseurs, permettant par suite la construction d’un mécanisme de défense à grande échelle. Nous développons un système afin de compléter les aspects de gestion de la technique proposée. Ce système effectue plusieurs tâches telles que l’extraction de données d’alerte, l’adaptation de la stratégie et la configuration des équipements. Nous modélisons le système en utilisant une approche de regroupement et un langage de politiques de sécurité afin de gérer de manière cohérente et automatique le contexte et l’environnement dans lequel la technique de mitigation est exécutée. Enfin, nous montrons l’applicabilité de la technique et du système à travers des différentes simulations tout en évaluant la qualité de service dans des réseaux MPLS. L’application de la technique a démontré son efficacité dans non seulement la mitigation des impacts des attaques mais aussi dans l’offre des avantages financiers aux acteurs de la chaîne de sécurité, à savoir les fournisseurs de serviceCyber attacks cause considerable losses not only for end-users but also service providers. They are fostered by myriad of infected resources and mostly rely on network resources for whether propagating, controlling or damaging. There is an essential need to address these numerous attacks by efficient defence strategies. Researchers have dedicated large resources without reaching a comprehensive method to protect from network attacks. Defence strategies involve first a detection process, completed by mitigation actions. Research on detection is more active than on mitigation. Yet, it is crucial to close the security loop with efficient technique to mitigate counter attacks and their effects. In this thesis, we propose a novel technique to react to attacks that misuse network resources, e.g., DDoS, Botnet, worm spreading, etc. Our technique is built upon network traffic management techniques. We use the Multiprotocol Label Switching (MPLS) technology to manage the traffic diagnosed to be part of a network misuse by detection processes. The goals of our technique can be summarized as follows: first to provide the means — via QoS and routing schemes — to segregate the suspicious flows from the legitimate traffic; and second, to take control over suspicious flows. We profit from the enhancement on the inter-domain MPLS to permit a cooperation among providers building a large-scale defence mechanism. We develop a system to complete the management aspects of the proposed technique. This system performs tasks such as alert data extraction, strategy adaptation and equipments configurations. We model the system using a clustering method and a policy language in order to consistently and automatically manage the mitigation context and environment in which the proposed technique is running. Finally, we show the applicability of the technique and the system through simulation. We evaluate and analyse the QoS and financial impacts inside MPLS networks. The application of the technique demonstrates its effectiveness and reliability in not only alleviating attacks but also providing financial benefits for the different players in the mitigation chain, i.e., service providers