1.4 Détection d’anomalies appliquée au véhicule connecté
1.4.3 Le réseau cellulaire
Enfin, nous nous intéressons aux méthodes employées pour détecter des anoma- lies dans les communications des véhicules sur le réseau cellulaire.
Levi et al. [69], étudient les anomalies sur l’ensemble du véhicule à savoir le bus-CAN, les communications via le réseau cellulaire ainsi que le système d’info- tainment. Leur système de détection est basé sur un modèle de Markov caché. Ils utilisent des règles afin de construire une abstraction des événements observés sur les différents composants. Ainsi, les événements produits à partir de ces règles sont par exemple :
— Au niveau du bus-CAN : Ouverture, fermeture des portes.
— Au niveau du réseau : Processus d’authentification, ports ouverts.
36 Chapitre 1. Contexte Scientifique et État de l’art
jour des applications.
Ils utilisent ensuite un modèle de Markov caché entraîné de manière supervisée pour détecter des événements anormaux sur l’un des systèmes surveillés. L’approche est accompagnée d’un mécanisme de partage de ces anomalies détectées via un SIEM (pour Security Information and Event Management) déployé dans un serveur distant auquel accèdent les véhicules.
Enfin, un autre exemple non directement lié au domaine du véhicule est pré- senté par Al Mamun et Valimaki [8]. Ces travaux se concentrent sur la détection d’anomalies dans les réseaux cellulaires au niveau du réseau opérateur et de sa ges- tion. Ils utilisent une machine à vecteur de support pour détecter les anomalies et appliquent un réseau de neurones récurrent (LSTM) aux anomalies détectées afin de comprendre l’évolution de l’anomalie au cours du temps. Ils étudient les anoma- lies à partir des attributs clé des réseaux 4G comme le nombre d’établissement de connexion entre les mobiles et le réseau-cœur 4G ou le ratio de transfert intercellu- laire (ou handover6) ayant eu lieu avec succès. Ils comparent leur solution avec une méthode de classification automatique. Cette dernière définit à partir d’un corpus d’entraînement, les différentes valeurs possibles des attributs des communications réseau. Al Mamun et Valimaki constatent que cette méthode est plus efficace que celle basée sur la détection d’anomalies et qu’elle reste applicable pour de larges corpus de données.
Enfin, les travaux présentés par Aloqaily et al. [10] présentent l’utilisation d’un algorithme basé sur un arbre de décision pour la détection d’intrusions. Ils proposent un cadre dans lequel les véhicules accèdent aux services proposés par des services cloud en communiquant avec un véhicule intermédiaire (cluster head) élu au sein d’un groupe (cluster) de véhicules proches.
Leur corpus de données est construit à partir d’informations tirées d’une simu- lation de trafic générée grâce à NS3 [101] qui sert d’entraînement à l’algorithme. Ils utilisent NSL-KDD [115] comme corpus pour la détection d’anomalies. Ils ob- tiennent 99.92% de taux de détection pour 0.96% de faux positifs. L’utilisation de l’outil de simulation permet aux chercheurs de générer un corpus d’entraînement dans lequel les propriétés des communications des véhicules sont proches de ce que l’on pourrait rencontrer dans un cas réel. D’autre part, l’utilisation d’un corpus d’attaque connu permet aussi de vérifier que l’algorithme est capable de détecter chaque type d’attaques.
Cependant, les attaques présentes dans le corpus NSL-KDD sont des attaques spécifiques aux réseaux classiques et qui datent de plus de 20 ans. Par conséquent, un biais est ainsi introduit dans l’évaluation de leur système de détection puisque de nombreuses attaques présentes dans le corpus ne sont pas pertinentes dans le contexte des réseaux véhiculaires actuels. Par exemple, la réalisation d’une attaque par Teardrop suppose d’envoyer des paquets fragmentés malformés à un hôte de ma- nière à faire échouer le processus de ré-assemblage. Or, cette attaque n’est réalisable
6. Lorsqu’un téléphone mobile passe d’une cellule géographique à une autre. Celle-ci étant gérée par une autre antenne un transfert intercellulaire a lieu entre les deux antennes pour assurer la continuité de connexion entre le téléphone et le réseau.
1.4. Détection d’anomalies appliquée au véhicule connecté 37
que sur de vieux systèmes d’exploitation (Windows 95, NT et 3) et sur d’anciens noyaux linux (antécédent au 2.1.63).
De plus, les communications dites normales présentes dans NSL-KDD sont de
facto très différentes des communications véhiculaires car les réseaux sont destinés
à des usages très différents. Par exemple, le corpus contient du trafic issu du pro- tocole Finger7, qui était utilisé au début d’internet pour obtenir des informations sur des personnes à partir de leur adresse mail. Il est donc difficile de juger si leur méthode est réellement capable de détecter les attaques avec grande précision ou si elle est simplement capable de différencier le trafic issu de la simulation NS3 de celui présent dans le corpus NSL-KDD. En effet, des événements semblables dans les applications d’apprentissage automatique ont démontré que le biais introduit pendant la phase d’apprentissage pouvait avoir un impact négatif lors de l’utilisa- tion du même modèle en conditions réelles. Nous faisons référence par exemple à l’utilisation de la reconnaissance d’images pour la classification de tanks par l’ar- mée américaine. L’objectif était de pouvoir distinguer des tanks camouflés dans des forêts. Il s’est avéré que l’ensemble des images utilisées pour entraîner le modèle contenaient uniquement des photographies de tanks prises sous un temps nuageux et des photographies de forêts prises par beau temps. L’algorithme a donc «appris» à reconnaître un ciel bleu plutôt que les contours de tanks [128].
1.4.4 Conclusion
Nous constatons que peu de travaux se sont concentrés sur l’application de la détection d’anomalies dans les communications véhiculaires cellulaires. Pourtant, Parkinson et al. [94], dans leur l’état de l’art des vulnérabilités déjà découvertes sur les véhicules connectés et véhicules autonomes, présentent de nombreux verrous scientifiques qu’il convient de traiter afin de minimiser les risques identifiés. Notam- ment, ils estiment que des attaques à grande échelle seront réalisables de plus en plus facilement au cours des années à venir. Cette facilité entraînera une augmenta- tion de la fréquence des attaques puisqu’elles nécessiterons moins de connaissances de la part des attaquants. En effet, jusqu’à présent, les attaques sont souvent des tentatives de chercheurs qui agissent sur des véhicules d’expérimentation et dans des environnements contenus, au nom du bien commun afin d’améliorer la sécurité des véhicules connectés. Si les véhicules deviennent facilement identifiables sur le ré- seau les attaques pourraient causer de sérieux dégâts. C’est pourquoi de nombreux chercheurs [41] ainsi que la NHTSA recommandent la mise en place de politiques de réponses à incidents qui permettront :
— De se préparer aux attaques éventuelles par la mise en place d’équipes dédiées à la gestion des événements de sécurité.
— D’identifier les attaques lorsqu’elles ont lieu.
— D’être en mesure de contenir ces attaques et éviter toute perte de contrôle du véhicule par le conducteur ou le système de conduite automatisé. — De restaurer les systèmes des véhicules touchés par ces attaques.
38 Chapitre 1. Contexte Scientifique et État de l’art
En ce sens, un système de détection d’anomalies pourrait assister les industriels dans leur lutte contre la prolifération de nouvelles attaques. L’utilisation de méca- nismes capables d’identifier rapidement les attaques permet ainsi aux industriels de concevoir des correctifs afin de protéger les véhicules n’ayant pas encore été affectés. Pour autant, nous considérons que la mise en place de ces mécanismes doit impérativement prendre en compte les moyens de communication externes aux vé- hicules et en particulier le réseau cellulaire. En effet, celui-ci représente un vecteur d’attaque considérable puisqu’il permet aux attaquants d’accéder aux véhicules à distance dans le but d’interagir avec leur réseau interne.
Ainsi, nous proposons dans cette thèse de fournir une ligne de défense supplé- mentaire au véhicule afin de rompre la chaîne d’exploits en détectant les anomalies et tentatives d’intrusions directement dans les échanges du véhicule avec le monde extérieur. Pour ce faire, nous analysons les propriétés des communications effectuées sur le réseau cellulaire grâce à un algorithme d’apprentissage automatique.