Modélisation d’attaques

T ^I IA I2 .. . In

(a) Bloc leurré recevant une informationIA falsifiée T ^IA I1 I2 .. . In

(b) Bloc malveillant envoyant une informationIA falsifiée

4

Divers moyens peuvent être mis en place pour protéger le système

d’infor-mation d’un navire dans sa globalité ou au niveau de chacun de ses constituants :

authentification, contrôle d’accès, confidentialité des échanges . . . Ces solutions ont

néanmoins leurs limites dans le cas où l’un des éléments est leurré ou malveillant.

En effet, lorsqu’un bloc est leurré, celui-ci reçoit en entrée une information

falsi-fiée. Un attaquant souhaitant leurrer un bloc lui envoie des informations modifiées,

c’est-à-dire qui ne reflètent pas la réalité. Par exemple, un fichier PDF malicieux,

un document office piégé, une injection de code, des données capteurs modifiées

etc. Au contraire lorsqu’un élément du système est malveillant, c’est-à-dire

directe-ment contrôlé par l’attaquant, ce sont les informations qu’il émet qui sont falsifiées

(par lui-même). Dans ce cas, c’est donc sa sortie qui est modifiée. Un leurre affecte

également la sortie d’un bloc car celle-ci dépend des entrées du bloc. Cependant,

un attaquant ne contrôle pas précisément la sortie d’un bloc leurré. Ces deux types

d’attaques, leurre et malveillance d’un bloc, sont représentés sur la figure 3.11.

Figure 3.11 – Types d’attaques pouvant cibler un bloc

Dans le contexte d’un système de navigation, une attaque consiste à modifier

une information de façon à ce que celle-ci ne représente plus la réalité. Cette

fal-sification vise à perturber le fonctionnement normal du système, par exemple en

influençant les décisions du pilotage automatique via les informations fournies par

les capteurs. Nous modélisons dans ce travail trois attaques reposant sur la

modi-fication des informations manipulées par un SI. Ces attaques ont des paramètres

communs mais également des paramètres qui leur sont spécifiques. Par exemple,

toute attaque doit avoir une cible et agit pendant une certaine durée mais

cha-cune dépend également de paramètres propres : puissance, incrément, séquence à

enregistrer.

D’après le modèle présenté en section 3.3, les informations forment une suite

numérique dépendante du temps. À un instant t, de multiples informations sont

produites ou reçues par les blocs fonctionnels. Une attaque qui altère des

infor-mations dépend donc du bloc qui les a produites (la cible), du temps (début et

durée de l’attaque) mais également de la transformation appliquée à l’information

falsifiée. Nous présentons ci-après trois transformations distinctes.

Attaque par offset La première transformation est un offset. L’information

I

(t) falsifiée par un attaquant A est l’information I

(t) produite par le bloc

B à l’instant t augmentée d’une constante a qui est la puissance de l’attaque :

∃t I

(t) = I

(t) + a où a est une constante. L’information I

(t) est ensuite

diffusée dans le système au lieu deI

(t).

La figure 3.12 montre un exemple d’attaque par offset sur une mesure de vitesse.

La mesure réelle est en trait plein et la mesure falsifiée est en pointillés. L’attaque

a été menée sur les informations 30 à 40 qui indiquent une vitesse plus élevée d’un

nœud que la vitesse réelle. Cette attaque peut notamment servir à ralentir le navire

pour l’intercepter (e.g. par des pirates). En effet, si la vitesse paraît plus élevée

qu’elle ne l’est en réalité, les décisions basées sur cette information vont chercher à

contrebalancer en ralentissant afin d’atteindre une vitesse limite. Par exemple, si

le navire souhaite naviguer à une vitesse de 10 nœuds, l’augmentation artificielle

de la vitesse par l’attaquant poussera le navire à réduire son allure à 9 nœuds.

Par symétrie, cette attaque peut aussi pousser le navire à accélérer en réduisant

sa vitesse. L’utilisation de ce type d’attaque contre des navires a déjà été utilisée

(Bhattiet Humphreys, 2014).

Figure 3.12 – Exemple d’une attaque par offset sur 10 informations

Attaque incrémentale La seconde transformation est un offset incrémental,

exemple, celle-ci peut être une répétition d’offset modélisée sous la forme d’une

suite récurrente : ∀t > 0 a(t) = a(t−1) +a(0) = (t+ 1)∗a(0). L’information

I

(t) falsifiée par un attaquant A est l’information I

(t) produite par le bloc

B à l’instant t augmentée d’une constante a qui est la puissance de l’attaque :

∀t I

(t) = I

(t) +a(t). L’information I

(t) est ensuite diffusée dans le système

au lieu de I

(t).

La figure 3.13 présente un exemple d’attaque incrémentale. A l’instar de l’exemple

d’attaque par offset, la coure en trait plein est la vitesse réelle tandis que la courbe

en pointillés est celle qui est altérée. L’attaque présentée altère progressivement les

informations de vitesse. Elle commence à partir de la 30

information et continue

jusqu’à la 40

laquelle indique une vitesse d’un nœud supérieur à la vitesse réelle.

L’intérêt de cette attaque réside dans son évolution progressive qui la rend plus

difficile à déceler (Bhattiet Humphreys, 2017).

Figure 3.13 – Exemple d’une attaque incrémentale sur 10 informations

Attaque par rejeu La dernière attaque est uneattaque par rejeu : elle consiste à

Figure ^{3.11 – Types d’attaques pouvant cibler un bloc}

(_Bhattiet _Humphreys, 2014).

Figure ^{3.12 – Exemple d’une attaque par offset sur 10 informations}

difficile à déceler (_Bhattiet _Humphreys, 2017).

Figure ^{3.13 – Exemple d’une attaque incrémentale sur 10 informations}

Figure ^{3.14 – Exemple de rejeu de 10 informations}