Concepts et taxonomie des attaques

Les attaques se basent essentiellement sur une ou plusieurs actions élémentaires. Les travaux de Ning et Sun [131], Huang et Lee [132], et Ayachi et al [30] consolident cette perspective et proposent principalement deux approches d’analyse d’attaques basées sur la décomposition d’attaques. La première *131+ décompose l’attaque en un ensemble d’abus atomique (atomic misuse). Alors que la deuxième *132+ considère l’attaque comme un ensemble d’évènements basiques anormaux (anomalous basic events). La décomposition d’attaques permet de déceler l’incohérence de l’action du nœud malveillant vis-à-vis la spécification du protocole. Nous classifions les attaques en deux catégories: élémentaires et composées. Une attaque élémentaire peut être définie comme une succession indivisible d'opérations non conformes à la spécification du protocole sur un seul message. Les attaques composées peuvent être définies comme étant une collection d’attaques élémentaires.

4.1.1. Attaques élémentaires

Nous pouvons distinguer dans la littérature deux types d’attaques élémentaires. Les attaques qui violent la spécification du protocole de routage de manière directe, souvent appelée violation de la spécification (en anglais : specification violation). Les attaques qui ne violent pas la spécification du protocole de routage directement, mais qui violent la spécification des protocoles d’autres couche dont dépend le routage tels que les protocoles des couches MAC et physique.

65

4.1.1.1. Attaques élémentaires qui violent la spécification

 Suppression: effacer illégitimement un message reçu.

 Modification: modifier illégitimement un ou plusieurs champs du message avant de le

retransmettre.

 Fabrication: fabriquer illégitimement un message et l’injecter dans le réseau.

 Rejeu: retransmission non autorisé d’un message.

4.1.1.2. Attaques élémentaire qui ne violent pas la spécification

Dans cette catégorie nous distinguons principalement deux attaques : trou de ver et Rushing, que nous appelons attaques à retransmission rapide. Les deux attaques sont basées sur la retransmission rapide des messages de routage (en anglais: fast forwarding).

 Trou de ver: (wormhole attack *37+) nécessite la coopération de deux ou plusieurs nœuds

situés à des zones différentes du réseau. Les nœuds malveillants mettent en place un tunnel de communication privé entre eux où les paquets reçus d’un côté sont retransmis de l’autre côté. Le tunnel créé peut être une liaison physique directe ou une liaison virtuelle où les nœuds malveillants utilisent l’encapsulation des messages.

 Rushing: dans cette attaque le nœud malveillant exploite la propriété du routage à la

demande (réactif), qui consiste à retenir la route par laquelle la demande de route est parvenue en premier. Ainsi, en exécutant la Rushing attack [37], le nœud malveillant retransmet plus rapidement les messages pour que la route qui passe par lui soit choisie.

4.1.2. Attaques composées

Combinaison d’attaques élémentaires de différents types, ou répétition d’un seul type d’attaque élémentaire. Les attaques composées permettent au nœud malveillant d’avoir un impact plus important et persistant sur le réseau. Pour analyser les attaques composées, nous utilisons la méthode semi-formelle «arbre d’attaque» proposée dans *132+, et appliqué ensuite sur les réseaux MANETs par Ebinger et al. [133]. Dans cette méthode l'attaque est graphiquement représentée par un arbre, la racine représente le principal objectif de l'attaque. Les branches représentent les sous- objectifs de l’attaque ou les attaques qui la composent. Les sous objectifs sont reliés par les opérateurs logiques "AND" et "OR". Les feuilles représentent les attaques élémentaires. La figure 4.1 représente la structure schématique de l’arbre d'attaque. Seul les nœuds "AND" sont mis en évidence dans le schéma, tous les autres nœuds sont considérés comme "OR". Nous citons ci- dessous une liste non exhaustive des attaques composées les plus cités dans la littérature.

66 4.1.2.1. Invasion de route

Le nœud malveillant diffuse dans le réseau des messages de routage modifiés ou fabriqués proposant des routes plus fraiches et plus courtes, ou de nouvelles routes non-existantes. Le but de cette attaque est d’attirer et de rediriger tout le trafic vers le nœud malveillant. Elle permet au nœud malveillant d’être sélectionné sur la majorité des routes découvertes.

Figure ‎4.1 Structure schématique de l’arbre d’attaque

4.1.2.2. Isolation des nœuds

Dans cette attaque le nœud malveillant tente d’isoler un nœud ou un groupe de nœuds, en leurs fournissant des informations de routages incorrectes telles que des routes non-existantes. Le nœud malveillant peut même partitionner le réseau s’il est placé dans une position stratégique.

4.1.2.3. Usurpation d’identité et Sybil

L’usurpation d’identité peut être vue comme une modification non autorisée de l’identité (adresse IP ou MAC), ou la fabrication d’une nouvelle identité (adresse IP qui n’existe pas). Dans l’attaque Sybil *37+ le nœud malveillant usurpe plusieurs identités en même temps et se comporte comme s’il était un groupe de nœuds.

4.1.2.4. Privation de sommeil

Ou consommation des ressources, dans cette attaque le nœud malveillant s’attaque à la disponibilité des nœuds. Une technique consiste à inonder le réseau avec des messages fabriqués afin de générer un trafic inutile et provoquer ainsi de sévères congestions. Le nœud malveillant peut se contenté de modifier les messages reçus pour que ces derniers circulent dans le réseau le plus longtemps possible, et provoque des traitements additionnels consommant ainsi la bande passante du réseau et les ressources des nœuds.

4.1.2.5. Trou noir et trou gris

Dans cette attaque le nœud malveillant attire d’abord le trafic vers lui en utilisant les techniques décrites précédemment dans l’attaque invasion de route. Ensuite il supprime tous les paquets de

67

données reçus. Le trou gris est une version plus sophistiqué du trou noir, où le nœud malveillant effectue une suppression sélective pour ne pas être détecté par les mécanismes de sécurité.

Figure ‎4.2 Arbre d’attaque de l’attaque DoS

4.1.2.6. Déni de service DoS

Wood et Stankovic [23] définissent DoS comme tout événement qui diminue la capacité d'un réseau à remplir sa fonction correctement ou à la remplir dans les délais. DoS s’attaque à la disponibilité des services de routage fournis par le réseau. Pour atteindre son objectif le nœud malveillant tente d’isoler le nœud cible du réseau, ou consomme les ressources de ce dernier pour l’exclure du réseau. La figure 4.2 montre l'arbre d'attaque DoS, ainsi que toutes les attaques qui la compose.