La sécurité dans les réseaux mobiles
4.4 Coopération entre les nœuds
4.4.5 Protocoles de routage à base de confiance
Chapitre 3 La sécurité dans les réseaux mobiles Ad hoc
4.4.4.2
𝐶𝑂𝑅𝐸Une des motivations principales qui peuvent pousser un nœud à ne pas participer au routage est l’économie d’énergie. Celle-ci étant parfois une ressource critique, certains nœuds peuvent être tentés de l’épargner en adoptant un comportement égoïste. Pour lutter contre ce phénomène, [109] ont mis au point le protocole CORE (a COllaborative REputation mechanism to enforce node cooperation in mobile Ad hoc networks). L’objectif est ici non plus d’exclure définitivement les nœuds mais au contraire de les encourager à participer en rejetant leurs paquets jusqu’à ce qu’ils coopèrent au processus de routage. CORE prend entre autres comme hypothèses que : les identités des nœuds sont uniques et non modifiables, qu’un mécanisme de routage adapté est à même de sécuriser la phase de découverte de voisins et enfin, que le trafic à l’intérieur du réseau est suffisamment dense. Le fonctionnement est très similaire à celui de Confidant à savoir des moniteurs qui analysent le trafic et qui transmettent les résultats à un système de gestion des réputations. L’échange des réputations entre les nœuds est ici optionnel. Les auteurs ont en outre validé leur approche à la fois par la simulation et la théorie des jeux.
CORE souffre malheureusement de défauts importants [42]. Tout d’abord, il ne résout pas réellement le problème de non-participation. Certes, les nœuds égoïstes voient leurs paquets systématiquement rejetés et en ceci, le protocole est efficace. Mais en contrepartie de grandes quantités de données demeurent perdues, diminuant significativement le rendement du réseau. Enfin, le protocole repose sur des hypothèses très fortes (routage sécurisé, adresses uniques et non usurpables) qui restent encore à concrétiser. Il s'agit en fait d'un inconvénient commun à tous les protocoles basés sur la réputation. En effet, ceux-ci reposent sur l'information observée sur les nœuds et par conséquent requièrent un mécanisme d'authentification forte afin d'affecter les valeurs aux nœuds légitimes. D'autre part, il est difficile d'éviter le problème de "dénonciation calomnieuse" dans lequel un nœud malicieux génère de fausses alertes pour mettre sur liste noire des nœuds honnêtes. Ce type de mécanisme est en outre potentiellement très vulnérable face à des nœuds complices qui se mettent d'accord entre eux pour s'attribuer de bonnes valeurs et affecter en contrepartie, de mauvaises valeurs aux nœuds honnêtes.
4.4.5 Protocoles de routage à base de confiance
La notion de confiance est souvent confondue abusivement à la réputation même s'il existe des associations entre les deux. On peut définir la confiance comme étant la croyance et la conviction dans l'honnêteté, la sincérité, la franchise, la compétence, la fiabilité et la crédibilité d'une entité ou d'un service. Cette notion est omniprésente dans les protocoles de routage Ad hoc où les nœuds se font mutuellement confiance et se basent sur l'hypothèse d'un comportement honnête. Ainsi, les solutions à base de systèmes de gestion de confiance tirent avantage des propriétés intrinsèques des protocoles afin de détecter les comportements malhonnêtes. Dans un sens, comme pour les systèmes de gestion
Chapitre 3 La sécurité dans les réseaux mobiles Ad hoc
93 Un modèle de confiance pour la sécurité des communications dans les réseaux mobiles Ad hoc.
de réputation, ces systèmes se comportent comme un système de détection d'intrusion essayant de créer une deuxième ligne de défense contre les attaquants internes.
Dans ce contexte, plusieurs protocoles de routage basées sur la confiance ont été proposées pour le routage Ad hoc.
Les auteurs de [105], ont introduit une approche pour mesurer la confiance entre les entités d’un réseau (DBLAR12), en se basant sur les statistiques de trafic du réseau, cette approche utilise la confiance directe et la recommandation de confiance pour éviter les nœuds malveillants de se joindre à l'expédition. Néanmoins, les propriétés présentées dans cette approche ne concernent que la vision locale et directe de chaque nœud et ne permettent pas de partager les observations. De plus, les auteurs n’ont pas spécifié les mesures à prendre pour stopper et isoler les nœuds malveillants.
Dans les travaux de [106], Xia et al., ont construit un modèle de confiance simple pour évaluer le comportement des paquets des voisins transitaires, en proposant un protocole de routage réactif multivoie fondé sur la confiance et l'extension du protocole AODV.
Sirotheau et al., [107] ont proposé un mécanisme d'évaluation qui visait à atténuer la mauvaise conduite de routage et d'autres défaillances du réseau. Quatre attributs des routes ont été envisagées : le niveau d'activité, la confiance, la mobilité et le nombre de sauts. Lors de la transmission d'un paquet vers une destination donnée, un nœud peut avoir deux voies : l'une est courte mais incrédible tandis que l'autre est longue mais crédible.
Les auteurs de [8], ont introduit un système de gestion de la confiance dans un protocole bien connu tel que le protocole S-AODV pour protéger l'acheminement contre les attaques de nœuds malveillants, y compris à la fois les attaques de Black-hole et Grey hole qui seront détectés sans perturber la communication. Par ailleurs, pour veiller à ce que la consommation d'énergie due à d'autres mécanismes de sécurité mis en œuvre, une analyse de l'énergie est également effectuée sur S-AODV avec et sans gestion de la confiance.
Dans le même contexte, [9] ont proposé un protocole nommé "Trust-based AODV" qui est basé sur un mécanisme de détection d'intrusion (IDM13) et d'un autre mécanisme fondé sur la confiance (TBM14), afin de pénaliser les nœuds égoïstes dans le protocole AODV.
Dans [108], les auteurs ont conçu une solution de routage qui permet au protocole DSR de trouver un itinéraire libre de nœuds de black-hole, en coopérant avec les voisins. Cette solution peut également
12 Distance-Based Location-Aided Routing.
13 Intrusion Detection mechanism.
Chapitre 3 La sécurité dans les réseaux mobiles Ad hoc protéger le réseau en présence d'attaquants de collusion sans la nécessité de surveiller la promiscuité des nœuds voisins.
4.5 Discussion
Dans le tableau 3.1, nous récapitulons les possibilités de défense qu’offrent les différentes solutions de sécurité décrites dans ce chapitre. On constate que les protocoles ont tendance à cibler certaines attaques en particulier, de sorte qu’aucun n’offre une protection efficace face à toutes les attaques décrites ici. La conclusion que l’on peut en tirer est que la solution la plus prometteuse est probablement dans l’utilisation d’un protocole combinant ces approches : un protocole basé sur la cryptographie pour assurer l’authentification des nœuds et l’intégrité des messages de contrôle et un protocole basé sur les modèles de confiance pour déceler puis ignorer les nœuds présentant un comportement malicieux.
Table 3.1 : Protocoles sécurisés, prévention des attaques.
4.6 Positionnement
La 4ème section de ce chapitre présente un aperçu presque détaillé des différentes solutions qui ont été mises en place pour sécuriser les protocoles de routage Ad hoc. Ces solutions sont classées en général en deux catégories principales :
Les solutions utilisant les mécanismes cryptographiques, ces solutions assurent l'authenticité et l'intégrité des messages. Toutefois, ces mécanismes sont assez lourds à mettre en place notamment lors de la distribution des clés, d’une part, et d'autre part, ils n'empêchent pas des nœuds ayant le matériel
Ecoute indiscrète Usurpation Grey-Hole Black-Hole Tunnel Non-coopération
ARAN Oui Non Oui Oui Oui Oui
Ariadne Oui Non Oui Oui Oui Oui
SRP Non Oui Non Non Oui Non
CORE
SAODV Non Non Oui Oui Oui Oui
Confidant Oui Non Non Non Oui Non
Packet leashes Oui Oui Oui Oui Non Oui
T-AODV Non Non Oui Oui Oui Oui
Chapitre 3 La sécurité dans les réseaux mobiles Ad hoc
95 Un modèle de confiance pour la sécurité des communications dans les réseaux mobiles Ad hoc.
cryptographique nécessaire de se comporter malhonnêtement. Ces solutions sont donc plutôt destinées à fournir une protection contre les attaques externes.
Les solutions basées sur la coopération entre les nœuds, notamment les régimes à base de réputation et les solutions basées sur la confiance, ces solutions tentent de profiter des propriétés intrinsèques des protocoles de routage pour chercher des incohérences entre les messages reçus. Ces solutions essaient de construire une opinion sur les autres nœuds sous forme de valeur numérique comparée à un seuil souvent obtenu par des méthodes heuristiques.
Nous nous intéressons plus particulièrement à la dernière catégorie (les solutions basées sur la confiance), dont la proposition d’un système de gestion de la confiance est l’objectif principal de cette thèse. La notion de confiance est plus sollicitée dans le contexte des réseaux Ad hoc vu les caractéristiques particulières de ce type de réseaux (mobilité, distribué, auto-organisé, etc.) où les nœuds communiquent entre eux sans connaissance préalable de l'identité ou même de la topologie. Il nous semble judicieux de permettre à chaque nœud du réseau de mettre en place un mécanisme qui lui permet de raisonner sur les comportements des autres. Ce raisonnement utilise les observations qu'il collecte au fur et à mesure d'échange de messages et en les corrélant, lui permet de détecter des incohérences caractéristiques d'actions malhonnêtes.
5. CONCLUSION
Dans un réseau Ad hoc, tous les nœuds doivent participer aux opérations de routage. Ils gèrent entre autre l'établissement des chemins, la dissémination de notifications de ruptures de chemins et la retransmission des données. Étant donné cette caractéristique, il devient relativement facile pour un nœud malveillant de mener divers types d'attaques, rendant ainsi le réseau inopérant. Qu'il s'agisse de nœuds malveillants internes ou bien de nœuds normaux compromis par un attaquant au cours de l'exploitation du réseau, ces nœuds déviants sont particulièrement difficiles à contenir. La raison en est qu'ils ont accès à toutes les clés cryptographiques nécessaires pour y participer, ce qui leur permet de mener des attaques sur par exemple les points les plus critiques des opérations du réseau ou sur les mécanismes de sécurité mis en œuvre.
L'expérience dans le domaine de la cryptographie a déjà montré que la conception de protocoles sécurisés est souvent sujette à des failles difficilement détectables même en admettant que le chiffrement est parfait. Ainsi, même si les protocoles détaillés dans ce chapitre permettent d'améliorer sensiblement la sécurité du processus de routage, ils offrent en contrepartie une vulnérabilité accrue aux attaques de type déni de service.
Quoi qu'il en soit, aucun protocole ne peut en l'état contrer toutes les attaques, la plupart se contentant de cibler une menace (non-participation, usurpation d'identité, détournement de trafic) et
Chapitre 3 La sécurité dans les réseaux mobiles Ad hoc de fournir une solution relativement adaptée. C'est pourquoi la tendance la plus probable est à une utilisation combinée de différentes approches (cryptographie symétrique/asymétrique, modèles de confiance) au sein d'un même protocole, pour sécuriser le réseau.
En ce sens, nous proposons de mettre en place un mécanisme permettant à chaque nœud participant à un réseau Ad hoc de distinguer les nœuds dignes de confiance des nœuds malhonnêtes en se basant sur des expériences et des recommandations préalables, afin de rendre les nœuds du réseau capables de recueillir des informations pour raisonner, apprendre et prendre leur propre décision. La solution envisagée est de faire reposer la prise de décision d’un échange sur la base de la confiance, sachant que chaque nœud ne pourra se protéger d’éventuels voisins malicieux qu’en faisant appel aux informations locales dont il dispose.