Modèles de menaces des systèmes des télécommunications

Chapitre 1 Sécurité, Risques et Attaques

3.

3.1 Le rôle des systèmes des télécommunications

En tant que dénominateur commun de toute interconnexion de systèmes d’informations modernes, les systèmes des télécommunications sont au cœur de l’ère numérique. Ils forment ainsi l’interface cruciale et se retrouvent au point critique du point de vue de sécurité.

Historiquement formés par une infrastructure fermée sous le contrôle de l’état, ce sont les systèmes des télécommunications qui ont subi le changement le plus radical durant ces dernières décades. Aujourd’hui, les systèmes des télécommunications sont considérés comme des infrastructures critiques. Leur protection devient même une préoccupation politique [14] plus que commerciale et personnelle. Tout acteur impliqué (État, entreprise, particuliers) doit assumer les responsabilités autour des systèmes des télécommunications qui se trouvent au centre de leurs usages quotidiens. Ces responsabilités peuvent être dues aux risques perçus (et dépendent dans ce cas du positionnement de l’acteur par rapport au système en question) mais aussi d’une nature légale.

Les réseaux (optique, filaires et sans fil) sont des composants principaux des systèmes des télécommunications. Ces réseaux et leurs utilisateurs sont exposés à plusieurs risques. Nous classifions ici ces risques selon un modèle qui distingue les rôles des propriétaires des données et des propriétaires des infrastructures les traitant.

3.2 Modèles de menaces des systèmes des télécommunications

Les modèles des menaces décrivent le système, les acteurs de ce système, et leur position dans le système (par exemple lien, nœud). Enfin, le modèle introduit un attaquant dans le système et démontre son positionnement topologique et ses capacités potentielles.

Le modèle classique des menaces pour un canal de communications se base sur le modèle de communications minimaliste, définissant deux participants, dénommés par exemple Alice et Bob, et un canal de communications. (Figure 1.2)

Figure 1.2 : Le modèle des communications.

Dans ce modèle, on présume normalement une confiance initiale mutuelle entre Alice et Bob. Ce modèle est souvent utilisé dans la cryptographie, il ne peut modéliser que des attaques contre le

Chapitre 1 Sécurité, Risques et Attaques

Un modèle de confiance pour la sécurité des communications dans les réseaux mobiles Ad hoc. ¹⁹

canal de communications entre Alice et Bob. Or, dans le contexte des systèmes des télécommunications, ce modèle n'est pas exhaustif, car d'autres éléments et des vulnérabilités sont présents.

Dans la figure 1.3, on introduit alors un modèle plus approprié, distinguant les deux communicants (Alice et Bob) et au moins une infrastructure traversée et son autorité. En effet, dans le cas général, cette autorité est une personne tierce à Alice et Bob.

C'est l'apparition de cette tierce partie qui augmente la complexité du système, introduit des nouvelles interfaces et des vulnérabilités, peut nécessiter d'une chaîne de confiance plus compliquée et élargit ainsi le spectre des menaces possibles pour un attaquant "Eve".

Le modèle de confiance de la figure 1.3 peut avoir des formes très différentes, mais en pratique on présume un des cas suivants :

Figure 1.3 : Le modèle des communications avec un système des télécommunications.

 Alice et Bob se font mutuellement confiance, et Alice et Bob font confiance au système des télécommunications utilisé (réseau privé).

 Alice et Bob se font mutuellement confiance, mais n'ont pas confiance en infrastructure traversée (réseau public).

 Alice et Bob font confiance à l'infrastructure mais pas l'un à l'autre, ils s'en servent comme d'un tiers de confiance pour établir une confiance mutuelle.

Dans la figure 1.4, on présente de gauche à droite les menaces directes contre les parties du modèle :

Eve peut attaquer un des communicants (Alice, dans l'exemple) en utilisant les vulnérabilités présentes dans les logiciels et les protections d'Alice. Strictement vue, cette menace n'est pas liée au système des télécommunications. Toutefois, un terminal disposant d'une interface de connexion à un système des télécommunications est un système plus ouvert et donc plus vulnérable. Souvent, des attaques

Chapitre 1 Sécurité, Risques et Attaques sont possibles à cause des vulnérabilités présentes dans le terminal et par la visibilité du terminal qui participe dans un service des télécommunications. Un exemple typique est l'exécution du code malicieux sur la plate-forme utilisée par Alice par le biais d'un virus, ou par le débordement de tampons de réception.

Alternativement, Eve peut attaquer le canal de communications reliant Alice au système des télécommunications. Cette attaque peut être non intrusive (la lecture des données échangées) ou intrusive (modification des données échangées, injection des données, rejeu des données anciennes). La possibilité d'une telle attaque dépend des propriétés du canal. Par exemple, un canal sans fil est potentiellement plus vulnérable contre l'écoute passive par une tierce personne qu'un câble, qui normalement exige au minimum l'accès physique au medium.

Figure 1.4 : Le modèle des menaces d’un système des télécommunications.

Une autre possibilité d'attaque contre le canal existe au sein du système des télécommunications. Pour cela, une forme d'accès au système des télécommunications est normalement nécessaire. Si Eve n'est pas le propriétaire du système, Eve peut essayer de se faire passer pour une partie légitime de l'infrastructure pour attirer Alice (ou Bob) d'utiliser ses services. Dans certains cas, Eve peut obtenir l'accès physique aux canaux de communications faisant partie du système ou utiliser des vulnérabilités pour obtenir l'accès aux composants du système. Ces formes d'accès peuvent permettre à Eve de collectionner des informations sur les communications entre Bob et Alice et de manipuler le flux des données échanges entre les deux.

Les intrusions dans l'infrastructure utilisée permettent de monter notamment des attaques du type "man-in-the middle". Dans ce scénario, Eve s'installe à la coupure du canal entre Alice (ou Bob) et l'infrastructure. Sans authentification mutuelle et fiable entre Alice (ou Bob) et l'infrastructure, Alice et l'infrastructure ne peuvent pas généralement s'apercevoir de ce genre d'intrusions. Mais les scénarios du type "man-in-the middle" sont également possibles, si Eve se fait respectivement passer pour le

Attaquant (Eve)

Chapitre 1 Sécurité, Risques et Attaques

Un modèle de confiance pour la sécurité des communications dans les réseaux mobiles Ad hoc. ²¹ communicant adversaire. Pour contrer ces attaques, une authentification mutuelle est fiable entre Alice et Bob devient alors nécessaire.

Dans chaque scénario décrit, l'attaque peut avoir un caractère d'une intrusion ou un caractère purement destructif visant l'indisponibilité (au moins temporaire) de l'élément attaqué. Un attaquant se sert typiquement d'une combinaison d'attaques destructives et ciblées pour arriver à son but.

Enfin, le canal de communications d'Alice et Bob passe typiquement par plus qu'un seul système des télécommunications, opéré par des autorités différentes, et souvent par une superposition de systèmes d'informations et d'autorités différentes. Dans chaque système traversé, toutes les menaces décrites auparavant sont imaginables. De plus, les interconnexions des systèmes introduisent des nouvelles interfaces et compliquent à nouveau la chaîne de confiance.