Gestion de confiance dans les MANETS

La méfiance est la mère de la sûreté

-Jean De Lafontaine (162_1695)

La question de la confiance a été appliquée dans le monde des télécommunications avec des modèles reposant sur la connaissance au préalable des identités. Si aucune information n‟est transmise au préalable, la confiance ne s‟établit pas, elle n‟est pas adaptative [112]. C‟est bien cette condition qui rend ces modèles contraignants et binaires, imposant aux entités communicantes qu‟elles soient d‟abord connues puis reconnaissables (identifiées et authentifiées) tout au long de l‟échange (maintien de la confiance). Si la connaissance préalable des identités est possible pour des réseaux maîtrisés, elle ne peut pas naturellement s‟imposer à des réseaux dont les caractéristiques sont le contraire : topologie réseaux fortement dynamique, passage à l‟échelle incontrôlé et population anonyme [113].

5.3.4.1. Positionnement bibliographique

Un cadre de gestion de la confiance doit permettre à une entité de prendre une décision en fonction de son expérience et d‟une analyse des risques encourus. L‟idée principale est d‟évaluer le trait prévisible d‟une autre entité et d‟établir le niveau de confiance qui lui est porté, c‟est-à-dire paraît-il digne de confiance ? Est-il honnête dans les réponses aux requêtes? Dans [114] les auteurs montrent qu‟un tel cadre de gestion de la confiance peut revêtir trois formes :

 Les systèmes de créance (à base de certificats).

 Les systèmes de réputation et de recommandation.

 Et les systèmes développés à partir du réseau social de l‟utilisateur.

Les deux premiers systèmes reposent en général sur une infrastructure à clés publiques et sont les plus répandus. Ils garantissent l‟identité de chaque entité par l‟émission d‟un certificat. L‟autorité peut se répartir suivant deux modèles : centralisé ou distribué. Comme déjà discuté dans la première partie de ce chapitre, Le modèle distribué offre une meilleure disponibilité du service du fait de la décentralisation des informations de confiance, mais se heurte cependant à la difficulté de la répartition cohérente entre chaque membre. Dans le modèle distribué, l‟autorité est distribuée en plusieurs entités de certification, La cryptographie à seuil est en charge de la problématique de la distribution des clés.

Les modèles partagés ne gèrent pas l‟identité des entités, et sont statiques. Le secret, distribué au préalable, identifie le groupe et se partage entre l‟ensemble des membres. L‟authentification s‟effectue sur la connaissance du secret partagé. La compromission d‟un seul membre met en danger l‟ensemble du groupe.

Les modèles coopératifs ne nécessitent pas la présence du tiers de confiance. Chaque entité contribue au calcul du secret du groupe.

Chapitre 6 Gestion de la confiance

130

 Les systèmes de créance

Ces systèmes reposent sur la mise en place d‟une ou plusieurs politiques de sécurité et d‟un système de certificats : les nœuds utilisent la vérification des certificats pour établir un lien de confiance les uns avec les autres [115]. Le principal but de tels systèmes est de permettre le contrôle d‟accès. En conséquence, leur concept de gestion de la confiance se limite aux règles de politiques définies par chaque application [116].

Un nœud rendra accessible à un autre nœud un service dont l‟accès est normalement restreint seulement si ce dernier peut lui prouver la validité d‟un certificat.

 Les systèmes de réputation et de recommandation

Dans ces systèmes, la gestion de la confiance repose sur un modèle de réputation et/ou de recommandation. La réputation peut-être vue comme l‟espérance portée dans la réalisation d‟un objectif fictif. La recommandation serait la qualité supposée d‟un nœud qu‟il détiendrait d‟un tiers et qu‟il présenterait à un autre nœud. De tels systèmes fournissent un mécanisme pour lequel un nœud demandant une ressource peut évaluer la confiance qu‟il porte au fournisseur. Chaque nœud établit ainsi des relations de confiance avec les autres nœuds et assigne des valeurs de confiance à ses relations [117]. La valeur assignée à la relation de confiance est fonction d‟une combinaison entre la réputation globale du nœud et l‟évaluation de la perception du nœud, c‟est-à-dire basée sur son expérience propre.

 Confiance à partir d’un réseau social

Enfin dans ces systèmes, le réseau social sous-jacent conditionne le cadre de gestion de la confiance. Les relations sociales sont utilisées pour calculer les valeurs de réputation et de recommandation entre les nœuds. De tels systèmes analysent le réseau social qui représente les relations existantes dans chaque communauté dans le but de tirer des conclusions sur les niveaux de confiance à accorder aux autres nœuds. Ils reposent sur des mécanismes de réputation, de crédibilité, d‟honnêteté et également des procédés de recommandations. Les exemples de tels systèmes de gestion inclus Regret [118] qui identifie les différents groupes en utilisant directement le réseau social et NodeRanking [119] qui tente d‟identifier des experts par le biais du réseau social.

5.3.4.2. Modèle de confiance adopté

Pour sécuriser les réseaux Ad hoc, nous avons utilisé l‟architecture en cluster pour distribuer le rôle de l‟autorité de certification sur les nœuds têtes de clusters qui vérifient certaines caractéristiques. En plus des caractéristiques que nous avons vues dans le chapitre 4 pour élire les représentants de groupes, ces derniers doivent bénéficier d‟un certain niveau de confiance et d‟une certaine stabilité pour optimiser la charge du réseau et augmenter sa durée de vie. Notre architecture est composée d‟un modèle de confiance sur lequel est basée la sélection des têtes des clusters. Pour atteindre cet objectif, nous avons utilisé une métrique de confiance attribuée à chaque nœud dans le réseau. Cette métrique est utilisée dans le processus d‟élection des têtes de clusters et pendant la phase de validation de certificats.

Partie 2 Contributions

131  Métrique de confiance et seuil de confiance

Le modèle de confiance proposé consiste à fournir les mécanismes nécessaires pour associer un niveau de confiance à chaque nœud dans le réseau. Ce niveau de confiance est associé à chaque élément sous forme d‟une métrique de confiance.

La métrique est une valeur numérique dans l‟intervalle [0,1] attribué à chaque nœud par ses voisins. Chaque nœud attribue et stocke une MC7 pour chacun de ses voisins.

Un seuil de confiance est utilisé pour valider les échanges entre les nœuds dans le réseau. Il est représenté par une valeur numérique dans l‟intervalle [0,1].

Après réception d‟un message, chaque nœud l‟accepte ou le refuse suivant la MC de son émetteur et met ainsi à jour la liste des MC

La MC initiale est attribuée après une phase d‟authentification et de prise de confiance en face à face.

 Attribution de la métrique de confiance

Comme nous l‟avons déjà discuté, les nœuds présents lors de la phase du premier démarrage du réseau, s‟échangent en face à face une clé physique de session qui sert à démarrer l‟établissement sécurisé du réseau. En ce moment, chaque nœud attribue une valeur maximale pour la métrique de confiance de chacun des nœuds du réseau. Au cours du fonctionnement du réseau, tout échange entre ces nœuds se fera à la base de cette valeur de métrique de confiance.

Si un nœud arrive dans le réseau après la phase de démarrage, il est obligé de contacter un membre du conseil de PKI pour lui fournir un certificat physique pour entrer dans le réseau et il va lui attribuer une valeur de confiance inférieure à celle attribuée aux membre présents lors du démarrage du réseau. Ainsi ce dernier nœud sera moins favorisé à participer dans les opérations de gestion des clés.

 Utilisation de la métrique de confiance

La métrique de confiance est utilisée dans deux situations différentes. La première situation concerne la phase d‟élection de tête de cluster. Pendant la phase d‟implémentation de la solution de distribution de clés, l‟algorithme de clustering doit être modifié de sorte que la tête de cluster sera représentée par le nœud ayant la densité la plus élevée et la métrique de confiance la plus grande.

La deuxième situation concerne le cas de validation de certificat. Dans ce cas, quand un membre du conseil de PKI envoie une demande de validation de certificat auprès des autres membres (Partie 4.3.1 du chapitre 5), le certificat est validé si k réponses favorables arrivent au membre demandeur. Si ce dernier reçoit plus que k réponses, il va favoriser les réponses des membres qui ont la plus grande valeur de métrique de confiance. Si k réponses proviennent de membres ayant la plus grande valeur de métrique de confiance, le nœud à authentifier peut devenir membre du conseil lors d‟une élection de tête de cluster.

Chapitre 6 Gestion de la confiance

132

Une réponse de validation de certificat est prise en considération si la valeur de métrique de confiance est supérieure au seuil de confiance du réseau. Ce paramètre représente la barrière à partir de laquelle un nœud peut être soit accepté soit rejeté du réseau.

5.4. Conclusion

Dans une infrastructure de gestion de clés, l'élément le plus important est l‟AC (Certificate Authority), l'entité de confiance dans le système qui garantit la validité des certificats numériques. Le succès de la PKI dépend de la disponibilité de la PKI aux nœuds dans le réseau puisque chaque nœud doit souvent correspondre avec l‟AC.

Malheureusement, le maintien de la connectivité est l'un des principaux défis dans les réseaux ad hoc. A cause de l‟absence d‟infrastructure dans ces réseaux , il est difficile de garantir tout type de connectivité.

Dans ce chapitre, nous avons présenté une solution de gestion des clés de chiffrement pour les réseaux ad hoc, basée sur une architecture en cluster. En fait, la difficulté de trouver une entité stable et permanente pour assurer la fonction de l‟AC exige la distribution de ce rôle sur tous les nœuds du réseau. Mais le problème de la disponibilité de tous les nœuds en même temps peut provoquer l'indisponibilité des services de l‟AC. Pour cela, nous nous sommes inspirés de la cryptographie à seuil et nous avons proposé la création d'un conseil de PKI. Ce conseil est composé d'un sous-ensemble parmi l‟ensemble des nœuds du réseau.

Ensuite, pour choisir les membres du conseil, nous avons proposé trois solutions. La première solution consiste à désigner un ensemble de nœuds qui constituent le conseil de PKI. Ces membres sont choisis au hasard, ils peuvent se déplacer dans le réseau suivant le modèle de mobilité adopté, et ils restent les mêmes tant que le réseau existe. C'est ce que nous avons mentionné dans les mesures par architecture à membres fixe mobiles.

La deuxième solution ressemble à la première, sauf que les membres du conseil ne peuvent pas se déplacer, et ils sont agencés de sorte qu‟ils couvrent la plus grande superficie de la surface de simulation. C'est ce que nous avons mentionné dans les mesures par architecture à membres fixe immobiles.

Dans la troisième solution, le réseau est organisé en clusters suivant l‟algorithme proposé dans le chapitre 4, et chaque cluster est représenté par sa tête de cluster. Toutes les têtes des clusters du réseau forment le conseil de PKI. C'est ce que nous avons mentionné par architecture à base de clusters.

Nous avons comparé ces trois architectures et nous avons fait une série de mesures par lesquelles nous avons montré que l'architecture en cluster fournit un meilleur résultat et elle est la mieux adaptée à l'environnement dynamique des réseaux mobiles ad hoc.

Comme perspective à ce travail, nous envisageons le développement de certains aspects, en mettant le point sur le choix des valeurs du paramètre de seuil (k), et le nombre des membres du conseil (n).

Chapitre 7 Conclusion et perspectives

133

Chapitre 7

Conclusion générale et perspectives

Le problème de la sécurité dans le domaine des réseaux est un problème décisif car les données transmises sont potentiellement sensibles et il est souvent aisé de les intercepter ou de les manipuler, notamment dans un réseau pourvu d‟une composante sans fil, ou pour lequel tout nœud joue le rôle supplémentaire de routeur. Particulièrement, dans les MANETs où au lieu d‟utiliser des routeurs pour transmettre les données comme dans les réseaux traditionnels, il faut que chaque nœud participe dans le processus de routage.

De plus, à cause de plusieurs contraintes telles que l‟absence d‟infrastructure, l‟absence d‟une relation de confiance préalable, les contraintes des ressources des nœuds, la mobilité, etc., deux aspects sont critiques et importants : la sécurité des données transmises et en particulier la sécurité du routage ad hoc qui est vulnérable à plusieurs attaques. Comme la majorité des travaux dans ce domaine, les architectures proposées présentement présuppose que tous les nœuds coopèrent et sont « de bonne foi ». Cette décision est, en quelque sorte, culturelle car la sécurité est souvent considérée comme auxiliaire dans un premier temps, et ajoutée par la suite.

La sécurité des données transmises pourrait être garantie en intégrant une signature garantissant l‟intégrité des données et l‟authentification de l‟émetteur, et si besoin il y a, un chiffrement des données. Mais, nos propos traitent principalement les problèmes de sécurité au niveau des mécanismes de routage, car ils sont les plus vulnérables et les plus sensibles dans des environnements ouverts et aussi sensibles tels que les réseaux ad hoc.

Vu leurs spécificités, les réseaux ad hoc présentent des challenges difficiles dans la sécurisation du routage. Il faut non seulement éviter de nombreuses attaques causées par les attaquants externes et les nœuds compromis, mais aussi assurer que la dégradation des performances du réseau causées par les mécanismes de sécurité soit raisonnable devant les effets des attaques sur le comportement du réseau.

Les réseaux mobiles ad hoc, se distinguent par leur indépendance de toute infrastructure fixe. Et vu la nature du média de transport qu‟ils utilisent, ils héritent tous les avantages et les inconvénients des réseaux sans fil qui se rattachent à des infrastructures fixes.

Dans un premier temps, et d‟après l‟étude que nous avons faite dans la première partie de cette thèse, les réseaux ad hoc se caractérisent par des qualités qui les distinguent des réseaux filaires. Certaines de ces qualités peuvent représenter des avantages dans des cas, comme ils peuvent constituer un handicap dans d‟autres situations. Comme exemple, si l‟on considère l‟absence d‟infrastructure fixe, on voit bien qu‟elle favorise la spontanéité du réseau ; mais en même temps elle provoque des difficultés pour bâtir une structure de certification aussi stable que l‟on le désire. Il convient néanmoins de définir comment

Chapitre 7 Conclusion et perspectives

134

mettre en place une infrastructure de clés. La difficulté majeure réside dans le fait que cette infrastructure doit pouvoir fonctionner de manière décentralisée.

Pour aborder la problématique, nous avons divisé notre étude en trois grands axes que nous avons traités séparément et conjointement. Nous avons commencé par trouver des solutions pour assurer l‟authentification et l‟intégrité du trafic de contrôle. Ensuite nous avons proposé une solution d‟auto-organisation des réseaux ad hoc. Cette dernière solution nous a servie pour bâtir nos propositions de gestion des clés et de confiance dans des réseaux ad hoc à base du protocole de routage OLSR.

Les protocoles de routage ad hoc sont spécifiés sans aucune mesure de sécurité. Pourtant, les services de sécurité sont identifiés comme essentiels pour assurer un déploiement large de ces réseaux et susciter leurs intérêts dans la recherche et les domaines militaires. Des solutions différentes de sécurité sont proposées ; soit sous forme d‟un protocole de routage sécurisé ; soit sous forme d‟une solution commune pour tous les protocoles de routage. Néanmoins, les protocoles de routage ad hoc se divisent en deux catégories principales: réactives et proactives. Il est inapproprié de considérer les mêmes techniques de sécurité pour les différents protocoles de routage ayant des fonctionnements différents et des besoins de sécurité différents.

Dans notre proposition de sécurité du protocole de routage OLSR, nous avons commencé par trouver une solution de signature qui protège le trafic de contrôle contre las attaques d‟authentification et d‟intégrité du contenu. Notre solution est allégée par rapport aux autres solutions proposées car, d‟une part elle sépare les signatures des messages de contrôle suivant leurs natures locale ou de diffusion; d‟autre part elle sépare les champs de chaque message en champs mutables et champs non mutables.

Dans les approches de sécurité du protocole OLSR, aucune approche n‟a mesuré effectivement l‟effet des mécanismes de sécurité sur les performances du réseau et du protocole. Dans notre travail, nous avons pu implémenter des algorithmes cryptographiques dans la structure du protocole OLSR, et nous avons pu déduire le comportement du protocole suite aux traitements cryptographiques additionnels.

Dans le deuxième axe de notre travail, nous avons pensé à organiser le réseau ad hoc de telle sorte qu‟il soit préparé à acquérir une solution efficace de distribution de clés cryptographiques. C‟est ainsi que nous avons pensé à une auto-organisation en clusters.

Le mécanisme de clustering permet de diviser le réseau ad hoc en plusieurs zones pour en faciliter la gestion. La solution que nous avons proposée, permet de clustériser un réseau OLSR sans porter des changements dans la structure des messages de contrôle. Notre solution se base sur une métrique de densité du voisinage multi-sauts. D‟après les résultats des mesures que nous avons effectués, nous remarquons une très grande amélioration et une meilleure stabilité du système avec la solution que nous avons proposée.

Comme perspective d‟extension de cet algorithme, nous proposons de passer d‟une profondeur de niveau 2 vers une étendue de niveau 3. C'est-à-dire que pour calculer la métrique de densité d‟un nœud du réseau, nous prétendons de l‟améliorer pour atteindre les voisins à trois sauts. Nous proposons donc d‟augmenter l‟étendue d‟un cluster pour atteindre le voisinage à 3 sauts tout en gardant pour l‟élection des têtes de cluster le

Chapitre 7 Conclusion et perspectives

135 critère du voisinage le plus dense à deux sauts. Mais, cette amélioration va nécessiter soit une modification au niveau des messages de contrôle du protocole OLSR, soit de prévoir de nouveaux messages pour le processus de clustering.

D‟autre part, nous proposons d‟ajouter d‟autres critères dans le choix des têtes des clusters ; parce qu‟il ne suffit pas qu‟un nœud ait le plus dense voisinage pour qu‟il soit élu tête de cluster. Ainsi, dans une perspective d‟amélioration de notre algorithme de clustering, le critère d‟élection des têtes des clusters portera sur une métrique qui combinera entre autre, la densité, l‟énergie et la portée radio de chaque nœud dans le réseau.

Comme nous l‟avons déjà cité, l‟objectif de la phase de clustering consiste à parvenir à une auto-organisation du réseau ad hoc; ce qui représentera un fondement sur lequel sera bâtie la solution de certification et de distribution de clés cryptographiques.

Dans une infrastructure de gestion de clés, l'élément le plus important est l‟autorité de certification, l'entité de confiance dans le système qui garantit la validité des certificats numériques. Le succès de la PKI dépend de sa disponibilité aux nœuds dans le réseau.

Dans le troisième axe de notre travail, nous avons présenté une solution de gestion des