Addressing Security Challenges in Emerging Data-based Aeronautical Communications / Sécurisation des futures communications aéronautiques de données

Ben Mahmoud, Mohamed Slim

17 February 2012

Ce travail de thèse s'intéresse à la sécurité des futures communications aéronautiques de donnée. Le travail est divisé en trois grandes parties. La première contribution est une architecture de sécurité adaptative pour les communications aéronautiques intégrant un segment sol-bord par satellite. Un module de gestion de la sécurité a été conçu, développé, puis validé lors de la phase finale d'intégration du projet FAST (Fibre-like Aircraft Satellite Communications). La deuxième contribution est une méthodologie quantitative d'estimation du risque lié à la sécurité réseau. L'originalité de notre approche est d'être basée sur la notion de propagation du risque au sein des différents noeuds du réseau. Commecas d'étude, un réseau de communication aéroportuaire utilisant le protocole AeroMACS a été étudié dans le cadre du projet SESAR (Single European Sky ATM Research). La troisième contribution est une infrastructure à clés publiques (PKI) qui permet d'optimiser les échanges de signalisation (échanges de clés, certificats, vérification des signatures) entre l'avion et l'autorité de certification au sol. Le modèle de PKI proposé est un modèle hiérarchique utilisant la certification croisée entre les autorités de certification mères / This research work deals with the information and network security in the aeronautical communication domain. Three fundamental research axes are explored. First, a quantitative network security risk assessment methodology is proposed. Our approach is based on the risk propagation within the network nodes. As study cases, the algorithm has been validated in the scope of the European industrial project entitled SESAR (Single European Sky ATM Research) and the Aerospace Valley FAST (Fibrelike Aircraft Satellite Communications). Particularly, experimental results relative to the case study devoted to the FAST project shown that the global network risk in the non secured system architecture is relatively high, meaning the system needs more consideration from a security point of view. To cope with this issue, an adaptive security management framework for a satellite-based aeronauticalcommunication architecture has been proposed as a second contribution. A security manager module has been designed, implemented, then tested in the scope of the FAST project. Finally, as the security primitives used in the adaptive security management framework need to be efficiently exchanged, the last contribution consists in a scalable PKI adapted for the upcoming network-enabled aircraft. The idea is to minimize the air-ground additional overhead induced by the security procedures (keys, digital certificates, revocation/verification procedures). The PKI model we propose is a cross-certified multirooted hierarchical model

Sécurité

Réseau

Communications Aéronautiques

Risque

Satellite

PKI

Security

Network

Datalink Communications

Risk

Satellite

PKI

629.135

Approche anthropologique du développement des compétences des masseurs-kinésithérapeutes : Conception d’un environnement informatique pour l’apprentissage en masso-kinésithérapie / Anthropological approach to the physiotherapists’ skills development : Design of a mechatronic infant torso simulator for respiratory physiotherapy learning

Jeulin, Jean-Claude

17 June 2014

A partir de la conception d'un simulateur dans le domaine de la kinésithérapie respiratoire, il a été cherché à connaître les conditions pour que la réingénierie de la formation des masseurs-kinésithérapeutes favorise un développement professionnel de qualité, conformément à la loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé. La recherche documentaire a permis d'inscrire les travaux dans le champ de l'anthropologie du développement des adultes. Puis, une analyse de pratique professionnelle de cinq experts kinésithérapeutes a été effectuée pour identifier les savoirs mobilisés au cours de leurs pratiques et les didactiser. Enfin, une étude auprès de cent cinquante-sept masseur-kinésithérapeutes a repéré la représentation de la notion de qualité en santé de ceux-ci. Les résultats font apparaître les schèmes qui structurent l'action des experts et l'importance du raisonnement clinique pour passer d'une compétence d'exécution à une compétence d'adaptation indispensable à la qualité des soins et à la sécurité du patient. Il est montré que les représentations des masseurs-kinésithérapeutes en matière de qualité en santé pourraient faciliter ce changement de compétence. Les résultats de la thèse montrent que, pour développer les compétences nécessaires d'adaptation des professionnels, la production des savoirs en masso-kinésithérapie, la didactisation et l'enseignement de ceux-ci doivent être réalisés par des enseignants-chercheurs. Les travaux de recherche en masso-kinésithérapie doivent se dérouler au sein de laboratoires dédiés, dans le cadre d'une discipline universitaire en masso-kinésithérapie. / From the conception of a simulator in the infant respiratory physiotherapy domain, we searched the ideal conditions to bring the re-ingeneering training of physiotherapists to support a good professional development, in accordance with the law 2002-303 of march 4th, 2002, concerning the patients' rights and the quality of the health system. The documentary research permitted to identify the work as the adults development anthropology sector.A professional practical analysis of five physiotherapist experts was then realized in order to identify the knowledge that was used during the practice and to didactise it. Finally, their representation of the health quality notion was noticed in a survey realized with a hundred and fifty seven physiotherapists. The study results show the schemes that build the experts' actions and the importance of the clinical reasoning to move from an accomplishment skill to an adjustment skill necessary for the aid's quality and the patients' security. It was showed that the physiotherapists' representations concerning the health quality could make the change easier. The thesis results show that in order to develop the necessary adaptation skills of the professionals, the production of knowledge in physiotherapy, the didactisation and the teaching of these must be realized by researchers' instructors. The research in physiotherapy must occur in dedicated laboratories, in a university discipline context in physiotherapy

Anthropologie

Didactique

Discipline

Masso-Kinésithérapie

Santé

Sécurité

Simulateur

Anthropology

Didactic

Discipline

Physiotherapy

Health

Safety

Simulator

Le nucléaire iranien : une approche française / The iranian nuclear : a french approach

Rastbeen, Ali

12 December 2012

C’est grâce à la France que l’Iran avait fait ses premiers pas dans la construction de centrales nucléaires puissantes. Mais depuis le début de la présidence de Nicolas Sarkozy, la politique de suivisme de ce dernier vis-à-vis des Etats-Unis l’a amené à se ranger derrière eux pour couper l’assistance nucléaire iranienne qui avait continué même pendant la Guerre Iran-Irak. Or aujourd’hui les grandes puissances, le monde arabe sunnite ainsi qu'Israël exploitent fort le sujet du nucléaire iranien, en prétextant avoir trop peur de l’Iran pour ne pas frapper : alors que tant d’autres pays ont ou auront tantôt des ogives nucléaires, seul l’Iran est désormais qualifié d’Etat voyou sollicitant spécifiquement des réactions brutales, et non même une politique exemplaire. Quelle serait alors la position de la France ? La presse française ne cesse de faire couler l’encre à ce sujet et recommander un interventionnisme français musclé. Mais alors, cela voudrait dire qu’une éventuelle bombe atomique iranienne ne constituerait pas seulement un casus belli macro-régional, mais bel et bien une raison objective d’initier une nouvelle guerre mondiale, ainsi maquillant en même temps des problèmes beaucoup plus véritables et contrariants qu’un Iran voulant évoluer dans son droit. Cependant depuis quelque temps, il ne s’agit plus de cibler l’Iran de critiques, mais de quand et comment frapper l’Etat voyou. Enfin, la négociation est la seule voie possible pour ne pas s’enfermer dans cette alternative où le choix ne serait plus qu’entre un Iran doté de la bombe ou un Iran bombardé en plongeant la région dans le chaos et visant des représailles inconcevables. / It’s thanks to France, that Iran could start building powerful nuclear power stations. But since the outset of Nicolas Sarkozy’s Presidency, the latter’s follow-America policy has cut a nuclear assistance to Iran that had continued even throughout the Iran-Iraq war. Today, the great powers, the Sunni Arab world and Israel are strongly exploiting the Iranian nuclear subject, and claim they are too afraid of Iran not to strike it: whereas so many other countries have or shall soon have nuclear warheads, only Iran is henceforth qualified as Rogue-State requiring specific brutal reactions and not even an exemplary policy. And what then would be France’s position? The French Press ceaselessly let their ink flow on the matter and recommend muscled French interventionism. But then, that would mean that an eventual Iranian atomic bomb would not only constitute a macro-regional casus belli but well and truly an objective reason for initiating a new world war, thus masking more real and complicated problems than an Iran that wishes to evolve rightfully. However, for some time now, the question is no longer to target Iran with criticism, but when and how to strike the Rogue-State, whereas ultimately negotiation is the only way not to lock oneself into this option in which the choice would only be between an Iran with the bomb or a bombarded Iran plunging the region into chaos and provoking inconceivable reprisals.

Iran

TNP

Moyen-Orient

AIEA

Conseil de Sécurité

Chiisme

Energie nucléaire

Prolifération

L'utilisation des services privés de sécurité pour la garde de personnes prévenues en détention avant comparution

Belley, Catherine

January 2005

No description available.

Contractualisation

Service de police

Centre de détention

Services correctionnels

Prison

Agent de sécurité

Restrictions budgétaires

Ressources policières

Croissance

Comparaison

Évaluation des gains de sécurité, sécurisation des essais et analyse des accidents du véhicule autonome : une approche systémique / Safety benfit assessment, vehicle trial safety and crash analysis of automated driving : a Systems Theoretic approach

Alvarez, Stephanie

27 June 2017

Les constructeurs automobiles fabriquant des systèmes de conduite automatisée ont besoin d’aborder les conséquences que ces systèmes peuvent avoir sur la sécurité routière. Notamment pour l’évaluation des gains de sécurité, la sécurisation des essais et l’analyse des accidents impliquant le véhicule autonome. Cependant, le cadre conceptuel actuel utilisé dans la sécurité routière peut ne pas être adapté pour l’analyse des changements et des nouvelles interactions introduits par l’automatisation du véhicule à travers toutes les échelles du système sociotechnique de transport routier.Le but de la thèse est d’appliquer une approche systémique fondée sur STAMP afin d'étudier les gains attendus du véhicule autonome en termes de sécurité routière, sécuriser les expérimentations et analyser les accidents impliquant ce type de véhicule, à travers toutes les échelles du système sociotechnique de transport routier.Afin de contribuer au calcul des gains du véhicule autonome sur la sécurité routière, la population cible d’un « highway pilot system» a été définie et des questions issue d’une analyse STPA (analyse des risques issue de STAMP) aidant à l’évaluation de l’efficacité du système ont été élaborées.Un cadre de sécurisation des expérimentations couvrant tous les niveaux du système a été mis en place au moyen d’une analyse STPA à deux échelles.Enfin, une méthode d’analyse des accidents impliquant un conducteur automatisé a été créé en intégrant des éléments issus de méthodes d’analyses des accidents de la route existantes et des éléments explicatifs développés spécialement à la méthode CAST (méthode d’analyse des accidents fondée sur STAMP). L’accident impliquant une Tesla en mai 2016 est le cas d’étude de cette nouvelle méthode, CASCAD.En conclusion, ces trois applications ont montré tout le potentiel d’une approche systémique fondée sur STAMP pour offrir un cadre conceptuel adapté à l’évaluation des conséquences sur la sécurité routière de la conduite automatisée. / As automakers develop automated driving systems, they must address the implications of such systems on road safety. Notably for the safety benefit assessment, trial safety and accident analysis. However, the existing conceptual framework in road safety may not be adapted to analyze the changes and new interactions introduced by vehicle automation at all the levels of the road transport sociotechnical system.The main objective of this thesis is to apply a systems theoretic approach based on STAMP to examine the safety benefit assessment, trial safety and accident analysis of automated driving across all the levels of the road transport sociotechnical system.This research first contributes to safety benefit assessment by estimating the target population of a highway pilot system and by generating questions derived from an STPA analysis (hazard analysis based on STAMP) to facilitate the evaluation of the influence of the highway pilot system on road safety.Next, this work establishes a framework to ensure trial safety across the macroscopic and microscopic levels of the vehicle trial system by structuring the outputs of two STPA analyses.Finally, this thesis integrates elements from existing crash analysis methods and newly developed guidance elements into CAST (an accident analysis method based on STAMP) to develop a new method for the accident analysis of crashes involving automated driving called CASCAD. The application of CASCAD was illustrated using the available information of the Tesla crash on May 2016.The three applications of this research show the potential of a STAMP-based approach to provide a suitable conceptual framework for the analysis of the implications of road safety on automated driving.

Véhicule autonome

Sécurité routière

Analyse de risque

Autonomous Vehicle

Road safety

Risk analysis

620

Comprendre les grands feux de forêt pour lutter en sécurité / Dangerous wildfire conditions for firefighters

Lahaye, Sébastien

22 October 2018

En dépit de moyens importants consacrés à la lutte, certains feux de forêt, en Europe méditerranéenne, en Australie ou en Amérique du Nord, parcourent de grandes surfaces et développent des comportements violents qui piègent les pompiers. L’étude de rapports internes aux services d’incendie révèle ici les conditions météorologiques et topographiques dans lesquelles se produisent ces feux dangereux. En France, alors que le vent violent est le principal contributeur des feux les plus grands et les plus dangereux, les températures élevées mènent à un autre type d’incendies violents qui se propagent rapidement. En Australie, les pompiers sont souvent piégés par une bascule brutale de la direction du vent mais aussi par des vents forts en terrain accidenté. Au-delà des disparités intercontinentales, la recherche des comportements dynamiques de feu impliqués dans plus de 100 accidents de pompiers à travers le monde amène à distinguer trois types d’incendie. Lors des feux topographiques, en zone de montagne, les accidents sont généralement causés par l’attachement de la flamme sur des pentes supérieures à 20°. Lors des feux guidés par le vent, les zones les plus propices aux accidents sont les pentes déventées où des effets de vortex peuvent se produire. Enfin, lors des feux convectifs, les plus violents, les accidents peuvent se produire loin de toute configuration dangereuse. Pour tenir compte de ces résultats et améliorer leur sécurité, les pompiers doivent adapter leur formation et de développer des compétences d’analyste du feu. Ces experts intègreront les retours d’expérience des incendies passés pour proposer les stratégies de lutte les plus efficaces et sécurisées. / Despite the large expenditure that is dedicated to forest fire suppression in Euro-Mediterranean countries, Australia and North-America, firefighters still face large and severe fire events which eventually entrap them. Investigation of Fire Services’ internal reports addresses here the weather and terrain leading to these dangerous fires. In France, strong wind is the main driver of the largest fires and of the fires that entrap firefighters. However, high temperature is also a key contributor as it influences violent fires with high rates of surface spread. In Australia, a lot of firefighters’ entrapments are due to shifts in wind direction, but others are associated to strong winds in rugged terrain. Whatever the regional specificities, more than 100 firefighters’ entrapments across the world were investigated to find the contribution of dynamic fire behaviors in these entrapments. The results return three different types of fires. During topography-influenced fires, in mountainous area, almost all the entrapments happen on slopes steeper than 20°, prone to flame attachment. During wind-driven fires, leeward slopes prone to vorticity-driven lateral fire spread are the most prominent configurations associated with entrapments. Finally, during convective fires, which are the most violent, entrapments can happen far away from any dangerous configuration. Firefighters should adjust their training courses and promote fire behavior analysts (FBAN) capabilities to benefit from the results of this work and improve their safety. FBAN may consider feedbacks from previous fires to suggest the most efficient and secure firefighting strategies and locations.

Incendies

Sécurité

Pompiers

Météorologie

Topographie

Accident

Wildfire

Forest fire

Firefighters

Safety

Fire behavior analyst

Entrapment

Simulation dynamique de perte d'équilibre : Application aux passagers debout de transport en commun / Dynamic simulation of balance recovery : Application to the standing passengers of public transport

Aftab, Zohaib

21 December 2012

La perte d'équilibre chez l'humain est un phénomène courant de la vie quotidienne. Plusieurs causes peuvent être identifiées, dont notamment des perturbations extérieures. Le scénario qui nous intéresse particulièrement est celui des passagers debout dans les transports en commun. La combinaison de plusieurs études accidentologiques fait ressortir un risque de blessure important pour ce type de situations, surtout pour des passagers debout et/ou âgées. Ces incidents en gendrent des blessures qui coûtent très cher au niveau du budget de la santé. La sécurité de ces passagers est donc à l’origine de ce travail. La perte et/ou le rattrapage d’équilibre est une question complexe qui met en jeu un ensemble de phénomènes tels que la perception de la perturbation, le traitement de l’information, la prise de décision et la mise en œuvre d’actions correctrices. Bien que les connaissances théoriques sur chacun de ces phénomènes soient avancées, il n’existe pas, à l’heure actuelle, de modèle global permettant de représenter la réaction des personnes dans des situations aussi concrètes et complexes que celle des passagers debout de transport en commun.Dans ce contexte, l’objectif principal de ce travail était de développer un outil de simulation pour évaluer les risques associés à la perte d’équilibre des passagers de transport en commun. / Loss of balance is a common phenomenon in our society resulting in injuries and even deaths each year. Among other common sources of destabilization such as slips or trips from an obstacle, the public transportation vehicles are a major source of balance-related injuries to its passengers. Accidental data suggest that the passenger casualties in these vehicles are common, especially to the standing and the elderly passengers, mainly due to the sudden acceleration/deceleration changes of the vehicle. These injuries as well as associated discomfort may discourage people from using these means of transport resulting in adverse economic and societal effects. In this context, the security of the standing passengers in these vehicles constitutes the main motivation of this work.Recovering balance from an external disturbance is a complex process which involves a set of phenomenon such as the perception of the disturbance, information processing, decision making and its implementation. Even though experimental research in the fields of biomechanics and neurosciences provide us with a fair understanding of these phenomena separately, we are unaware of a global model which represents the reaction of people in response to the external disturbances to their equilibrium. In this context, the objective of this work is to develop such a numerical tool which can be used for the assessment of risks associated with the loss of balance of the standing passengers. The essential feature of this tool is the prediction of the post-disturbance kinematics of the subjects depending upon the disturbance characteristics (magnitude, duration etc.) as well as the active recovery response. Another key feature is the representation of the reaction of different populations, especially the elderly, by integrating age effects in the model. For the development of the tool, mathematical modeling (e.g. simplified body representations) and control ideas are borrowed from the field of biped robotics which explicitly deals with the balance issues of bipeds. Further development is done in view of human balance recovery (BR) characteristics. The resulting BR tool shows reasonable predictive capacity of a human balance recovery response confirmed by the comparison of model predictions with experimental balance recovery data.

Perte d’équilibre

Commande Prédictive

Sécurité des transports

Biped balance recovery

Model predicitive control

Stepping

612.7

De la gestion des risques à la gestion des ressources de l’activité : étude de la résilience en anesthésie pédiatrique / From risks management to activity resources management : a study of resilience in pediatric anesthesia

Cuvelier, Lucie

06 June 2011

Cette recherche s’inscrit dans le domaine de la fiabilité des soins en médecine et vise à développer une nouvelle approche de la sécurité : l’ingénierie de la résilience. La thèse défendue est que la résilience d’un système, c'est-à-dire son aptitude à fonctionner dans des conditions variables prévues ou non, réside dans la capacité des opérateurs de ce système à articuler la gestion des risques avec la gestion de leurs propres ressources. Les analyses, menées en collaboration avec des anesthésistes en pédiatrie, cherchent à comprendre comment ceux-ci agissent pour permettre aux patients de bénéficier de soins dans des conditions optimales de confort et de sécurité, en dépit des aléas liés à la complexité et à l’incertitude du fonctionnement du corps humain. Trois études empiriques ont été conduites pour défendre cette thèse. Outre les méthodes d’observation de l’activité réelle, elles s’appuient sur des techniques d’entretien (technique des incidents critiques et techniques des protocoles verbaux) et sur des analyses d’activité sur simulateur. La première étude permet de caractériser les aléas et les perturbations que doivent gérer les anesthésistes dans leur pratique quotidienne. Elle met en évidence deux types de situations imprévues (les situations possibles et les situations impensées) et montrent que la façon dont ces situations sont prises en charge n’est pas seulement liée à la nature des perturbations en elles-mêmes mais dépend surtout de leur anticipation par les opérateurs en situation réelle. La seconde étude s’intéresse alors aux mécanismes d’anticipation des « situations possibles » par les anesthésistes. Elle montre que la définition d’une enveloppe de situations possibles repose non seulement sur l’évaluation des risques pour le patient, à partir des règles et des connaissances générales du domaine, mais aussi sur l’évaluation et la gestion des ressources de l’équipe. L’objectif des anesthésistes est en fait plutôt de concevoir des situations ajustées aux ressources des différents opérateurs qui interviennent et interviendront. L’anticipation prend donc en compte les ressources du collectif. De plus, iI semble que cette gestion ne vise pas uniquement à maîtriser la situation à court terme, mais aussi le développement des ressources à plus long terme. La troisième étude concerne l’occurrence, pendant l’intervention, d’une « situation impensée » qui sort de l’enveloppe des situations possibles conçue a priori. Trois modalités de prise en charge de ces situations impensées ont été identifiées : la gestion « prudente », la gestion « déterminée » et la gestion « débordée ». L’analyse comparative de l’activité des équipes sur simulateur montre que ces trois types de prise en charge relèvent de modalités de gestion différentes des ressources cognitives. Les actions menées par les équipes face aux perturbations impensées ne visent pas seulement à gérer dans l’immédiat les risques encourus par le patient, mais aussi à conserver une « maîtrise durable » de la situation, en évitant d’accumuler des incompréhensions au sein du groupe et en adaptant la prise en charge aux ressources cognitives des coéquipiers. Ainsi, la gestion de leurs propres ressources (compétences, savoirs, savoir-faire, règles de métiers, etc...) par les opérateurs est un élément clef de la résilience. Ces résultats permettent d’une part, d’identifier des conditions organisationnelles favorables à la mise en oeuvre de ces processus de gestion des ressources développés par les opérateurs et, d’autre part, de proposer des méthodes de prévention innovantes des risques liés aux soins, tels des systèmes de formation sur simulateur. Alors que la gestion des risques est généralement abordée sous l’angle des compromis de but entre « objectifs de performance » et « objectifs de sécurité », la discussion de ces résultats invite à dépasser cette opposition classique et à questionner les modèles de performance dans lesquels s’inscrivent les démarches de prévention. / This research, which addresses patient safety, aims to develop a new approach to safety: resilience engineering. The thesis assumes that the resilience of a system, that is to say its ability to function under varying conditions expected or not, lies in the operators’ ability to articulate the management of risk with the management of their own resources. The analysis,conducted in the context of pediatric anesthesia and in collaboration with anesthetists, seeks to understand how professionals act in order to provide care in optimal conditions of comfort and safety, despite the uncertainties related to the complexity and the uncertainty of the human body. Three empirical studies were conducted to investigate this thesis. In addition to the observation of real work activity, interview techniques (critical incident technique and verbal protocols technique) and analyses of simulations were used. The first study allows the uncertainties and disruptions to be managed by anesthetists in their daily practice to be described. Two types of unexpected situations (possible situations and unthought situations) can be met. The way in which these situations are handled is not only related to the nature of the disturbances themselves, but mainly depends on their anticipation by operators in real conditions. The second study concerned the anticipation mechanisms of "possible situations" by the anesthetists. Results indicate that the definition of an envelope of possible situations is not only based on an assessment of patient’s risks, supported by rules and general knowledge in the field, but also on the evaluation and management of the team’s resources: the goal of anesthetists is to design situations adjusted to the resources of the various operators involved (themselves included) and/or that will be involved. Therefore, the anticipation takes into account the resources of the collective. Furthermore, this management aims not only at mastering the situation in the short term, but also at developing resources in the longer term. The third study concerns the management of an “unthought situation” which trespasses the envelope of a priori possible situations. Three ways to handle these unthought situations were identified: “cautious” management, “determined” management and “overwhelmed” management. The comparative analysis of the teams’ activities shows that the management of cognitive resources varies according to the way in which situations are handled. When facing unthought situations, teams not only attempt to manage the immediate risks to the patient but also to maintain a “sustainable control” of the situation, by avoiding misunderstandings within the group and by adapting care to teammates’ cognitive resources. Thus, the management of their own resources (skills, knowledge, know-how, rules of the trade, etc...) by operators is a key element for resilience. These results allow, on one hand, to identify organizational conditions favorable to the implementation of these processes of resource management developed by the operators and, on the other hand, to propose innovative methods for risk management in healthcare such as simulator training. While risk management is generally discussed in terms of “goals trade-off” between performance objectives and safety objectives, these results challenge this traditional opposition and question the models of performance underlying prevention methodologies.

Risque

Résilience

Sécurité des patients

Collectif

Situation dynamique

Développement

Risk

Resilience

Patient safety

Collective

Dynamic situation

Development

Méthodes algébriques pour la formalisation et l'analyse de politiques de sécurité / Algebraic methods for specifying and analyzing security policies

Bourdier, Tony

07 October 2011

Concevoir et mettre en oeuvre des méthodes pour la spécification, l'analyse et la vérification de logiciels et de systèmes sont les principaux moteurs des activités de recherche présentées dans ce manuscrit. Dans ce cadre, nos travaux se positionnent dans la catégorie dite des méthodes formelles appartenant à la communauté plus large du génie logiciel. A l'interface des travaux théoriques et applicatifs, notre objectif est de contribuer aux méthodes permettant d'assurer la correction et la sûreté des systèmes (fonctionnalité, sécurité, fiabilité, ...) en développant ou en améliorant des langages de spécification, des techniques et des outils permettant leur analyse formelle. Dans ce but, nous nous sommes attaché dans cette thèse à proposer et à étudier un cadre formel permettant la définition de politiques de sécurité et la vérification de leurs propriétés. A cet effet, nous avons proposé un cadre pour la spécification de politiques de sécurité basé sur une approche modulaire dans laquelle une politique est vue comme la composition d'un modèle de sécurité et d'une configuration. Nous avons investigué les possibilités offertes par de telles spécifications lorsque les modèles sont exprimés au moyen de contraintes du premier ordre et les configurations au moyen de programmes logiques. En particulier, nous avons proposé un algorithme permettant de transformer une politique exprimée dans un modèle donné vers une autre politique équivalente (au sens où elle engendre les mêmes autorisations) exprimée dans un autre modèle. Dans un second temps, nous nous sommes proposé de tenir compte des aspects dynamiques de la configuration d'une politique vue comme un état du système sur lequel la politique est mise en oeuvre et où chaque action est associée à une procédure de modification des états. Nous avons proposé un langage formel simple pour spécifier séparément les systèmes et les politiques de sécurité puis avons donné une sémantique des spécifications exprimées dans ce cadre sous la forme de systèmes de réécriture. Nous nous sommes ensuite attachés à montrer que les systèmes de réécriture obtenus permettent l'étude de propriétés de sécurité. Dans une troisième partie, nous nous sommes focalisé sur les mécanismes permettant la mise en oeuvre de politiques de sécurité dans les réseaux. Dans ce cadre, nous avons proposé une spécification des firewalls et de leurs compositions basée sur les automates d'arbres et les systèmes de réécriture puis avons montré en quoi ces spécifications nous permettent d'analyser de façon automatique les politiques de sécurité sous-jacentes. / Designing and applying formal methods for specifying, analyzing and verifying softwares and systems are the main driving forces behind the work presented in this manuscript. In this context, our activities fall into the category of formal methods belonging to the wider community of software engineering. At the interface between theoretical and applied research, our aim is to contribute to the methods ensuring the correction and the safety of systems (security, reliability, ...) by developing or by improving specification languages, techniques and tools allowing their formal analysis. In this purpose, we became attached in this thesis to propose and to study a formal framework allowing the specification of security policies and the verification of their properties. We first proposed a framework for specifying security policies based on a modular approach in which policies are seen as a composition of security models and configurations. We investigated the possibilities opened by such specifications when models are expressed by means of first order constraints and configurations by means of logical programs. In particular, we proposed an algorithm allowing the transformation of a security policy expressed in a given model towards another equivalent policy expressed in another model. Secondly, we suggested taking into account dynamic aspects of policy configurations which can be seen as states of the system on which the policy is applied and where each action is associated with a procedure of states modification. We proposed a simple formal language to specify separately systems and security policies and then gave a semantics of specifications expressed in this framework under the form of rewriting systems. We then attempted to show that the obtained rewriting systems allow the analysis of security properties. In the third part, we focused on mechanisms enforcing security policies in networks. In this context, we proposed a specification of firewalls and their compositions based on tree automata and rewriting systems and then showed how these specifications allow us to analyze in an automatic way the underlying security policies.

Systèmes de réécriture

Spécifications algébriques

Logique

Automates d'arbres

Analyse formelle

Politiques de sécurité

005.8

Conceptual Approaches for Securing Networks and Systems / Des approches conceptuelles pour sécuriser des réseaux et des systèmes

Becker, Sheila

16 October 2012

Les communications pair-à-pair en temps réel ainsi que les applications de transmissions multi-média peuvent améliorer leurs performances en utilisant des services d'estimation de topologie au niveau d'application. Les systèmes aux coordonnées virtuelles représentent un tel service. A l'aide d'un tel système les noeuds d'un réseau pair-à-pair prédisent les latences entre différents noeuds sans nécessiter des mesures étendues. Malheureusement, prédire les latences correctement requis que les noeuds soient honnêtes et coopératifs. La recherche récente propose des techniques pour atténuer des attaques basiques (inflation, déflation, oscillation) où les attaquants conduisent un type d'attaque seulement. Dans ce travail, nous définissons et utilisons un modèle basé sur la théorie des jeux pour identifier la meilleure solution pour défendre le système en supposant que les attaquants utilisent l'attaque la plus pire. Ce modèle nous aide à démontrer l'impact et l'efficacité des attaques et défenses en utilisant un système de coordonnées virtuelles répondu. De même, nous explorons des techniques de l'apprentissage automatique supervisé pour détecter des attaques plus lentes et subtiles, comme l'attaque à l'inflation-lente et l'attaque de dégroupage de réseau qui sont capable de contourner des techniques de défenses existantes. Nous évaluons nos techniques sur le système Vivaldi contre des stratégies d'attaques plus complexes sur des simulations ainsi que des déploiements Internet / Peer-to-peer real-time communication and media streaming applications optimize their performance by using application-level topology estimation services such as virtual coordinate systems. Virtual coordinate systems allow nodes in a peer-to-peer network to accurately predict latency between arbitrary nodes without the need of performing extensive measurements. However, systems that leverage virtual coordinates as supporting building blocks, are prone to attacks conducted by compromised nodes that aim at disrupting, eavesdropping, or mangling with the underlying communications. Recent research proposed techniques to mitigate basic attacks (inflation, deflation, oscillation) considering a single attack strategy model where attackers perform only one type of attack. In this work, we define and use a game theory framework in order to identify the best attack and defense strategies assuming that the attacker is aware of the defense mechanisms. Our approach leverages concepts derived from the Nash equilibrium to model more powerful adversaries. We apply the game theory framework to demonstrate the impact and efficiency of these attack and defense strategies using a well-known virtual coordinate system and real-life Internet data sets. Thereafter, we explore supervised machine learning techniques to mitigate more subtle yet highly effective attacks (frog-boiling, network-partition) that are able to bypass existing defenses. We evaluate our techniques on the Vivaldi system against a more complex attack strategy model, where attackers perform sequences of all known attacks against virtual coordinate systems, using both simulations and Internet deployments

Sécurité

Réseaux

Théorie des Jeux

Apprentissage automatique

Security

Network

Game Theory

Machine Learning

005.8