Systèmes de détection et prévention d'intrusion pour les réseaux de capteurs sans fil

Les systèmes de détection et prévention d'intrusion pour les réseaux de capteurs sans fil désignent l'ensemble des techniques et mesures prises pour détecter et protéger les réseaux de capteurs sans-fil des attaques informatiques.

Les réseaux de capteurs sans-fil sont des cibles vulnérables pour les hackers, qui peuvent interagir physiquement avec les réseaux et les objets.

Les organisations qui exploitent ces réseaux cherchent à mettre en place des solutions de détections d'intrusion pour se protéger contre les attaques communes. Les solutions existantes pour les réseaux traditionnels ne sont pas adaptées aux spécificités des réseaux de capteurs sans-fil, et il est nécessaire d'en développer de nouvelles. Des prototypes existent à l'état de projets de recherches.

Problématiques spécifiques à l'internet des objets[modifier | modifier le code]

L'internet des objets est caractérisé par une grande diversité de périphériques, de services, de protocoles et de matériels^[1].

En héritant des technologies IP et des liaisons sans fil à faible consommation énergétique, les systèmes composant l'internet des objets héritent des vulnérabilités et des problématiques de sécurité de ces technologies. De plus, ils sont la cible d'attaques spécifiques à l'architecture de leurs réseaux, notamment les protocoles de routage. L'utilisation de chiffrement et d'authentification ne suffit pas à garantir la sécurité du système^[2]^,^[3]^,^[4]

Les ressources des nœuds étant limitées, ils ne peuvent pas toujours se défendre seuls contre un attaquant plus fort, tels qu'un ordinateur portable^[5] Les terminaux composant l'internet des objets sont également vulnérables aux attaques physiques, c'est-à-dire pour lesquelles l'adversaire à un accès physique au périphérique^[6]^,^[7].

L’hétérogénéité, les faibles ressources de calcul et le caractère distribués des nœuds rendent difficiles le déploiement de système de détection d'intrusion classique^[6]^,^[8]. Les systèmes de détection existant ne sont pas conçus pour ces problématiques et il n'existe pas de système de détection d'intrusions universel à l'internet des objets^[2]^,^[9]

Analyse des risques[modifier | modifier le code]

Garcia-Morchon identifie les risques suivants pour l'internet des objets^[10]^,^[11].

	Fabrication	Déploiement	Opération
Objet	Clonage du périphérique. Porte dérobée	Substitution du périphérique	Vie privée. Extraction de valeurs secrètes
Couche applicative			Remplacement du firmware
Couche transport		Eavesdropping & Attaque de l'homme du milieu	Eavesdropping & Attaque de l'homme du milieu
Couche réseau		Eavesdropping & Attaque de l'homme du milieu	Attaque par déni de service. Attaque sur les protocoles de routages (Attaque Sinkhole, Attaque Sybil, Attaque Wormhole)
Couche physique			Attaque par déni de service

Architectures[modifier | modifier le code]

Les techniques de détections d'intrusions peuvent être classées en deux catégories, selon qu'elles soient centralisées ou non^[12].

Dans une architecture centralisée, les stations de bases sont utilisés pour détecter les attaques. Les stations récoltent les données des nœuds et déterminent les nœuds malveillants^[13].

À l'inverse, on peut distribuer la détection des attaques en collectant les informations dans des nœuds de confiance répartis sur le réseau^[14]^,^[15].

Les IDS distribués peuvent être classés suivant qu'ils déterminent les nœuds de confiance statiquement, ou dynamiquement. Dans le second cas, les nœuds chargés de la protection du réseau varient au cours du temps^[16].

Mécanismes de détection des attaques courantes[modifier | modifier le code]

Malgré l'absence de solution universelle, des techniques existent pour la détections d'attaques courantes.

Attaque Sinkhole[modifier | modifier le code]

L'attaque Sinkhole est une attaque où l'adversaire attire tout le trafic à lui. Dans une attaque Sinkhole, un nœud compromis étend sa sphère d'influence et tente d'attirer le trafic des nœuds voisins vers lui^[17]^,^[18]^,^[19]^,^[3]

Une attaque Sinkhole peut avoir pour conséquence une augmentation de la consommation réseau, ce qui augmente la consommation énergétique des périphériques et réduit la durée de vie du réseau^[18]

Détection[modifier | modifier le code]

L'architecture INTI (Intrusion detection for SiNkhole attacks over 6LoWPAN) propose un modèle de détection basé sur la réputation, et la confiance accordée à chacun des nœuds^[20]. Chacun des nœuds calcule un indice modélisant la réputation des autres nœuds. Les nœuds propagent ensuite leurs status, qui sont analysés par le système de détection d'intrusion. On applique la théorie de Dempster-Shafer pour réduire les faux positifs^[21].

La réputation de chaque nœud est comparée à un seuil, qui détermine si le nœud est bon ou s'il est considéré comme un attaquant^[22].

Réponse[modifier | modifier le code]

Cervantes propose un module qui diffuse un message de broadcast en guise d'alarme à tous les nœuds du réseau. Ils coupent les connexions avec les nœuds malveillants, ce qui les isole du réseau sain^[22].

Attaque Sybil[modifier | modifier le code]

Article détaillé : Attaque Sybil.

L'attaque Sybil est une attaque où l'attaquant manipule une ou plusieurs identités à un instant donné. L'adversaire apparait dans de multiples locations à un instant donné. Dans le cadre de l'internet des objets, l'attaquant est susceptible d'altérer les données produites par les nœuds, et d'atteindre à la confidentialité des données échangées par les utilisateurs^[23]^,^[24]^,^[3].

Le but de l'attaque Sybil est de corrompre la table de routage et réduire l'efficacité des mécanismes de tolérance aux fautes^[25]^,^[26].

Détection[modifier | modifier le code]

L'attaque Sybil est caractérisée par l'existence de nœuds ayant une identité différente, mais partageant la même location physique^[27].

L'approche de Sharma propose un modèle « léger » dans lequel le réseau définit un seuil de débit. Lorsqu'un nœud entre dans le réseau, les nœuds voisins calculent la valeur RSS (Received Signal Strength), c'est-à-dire la force du signal reçu.

Si la valeur RSS calculée est supérieure au seuil, alors le nœud est considéré comme Sybil^[24]. Tian propose de triangulariser la position réelle d'un nœud, et de la comparer à un écart acceptable^[28].

Attaque Wormhole[modifier | modifier le code]

L'attaque Wormhole est un scénario dans lequel un attaquant enregistre les paquets en un point, et les rejoue à un autre. Il peut utiliser un autre lien physique, avec une latence plus faible que celle utilisé par le réseau ciblé^[29]^,^[3].

Prévention[modifier | modifier le code]

Hu introduit un mécanisme de laisse : on ajoute à chaque paquet transmis une information limitant la distance que peut parcourir le paquet. Les laisses peuvent être de type géographique, ou temporel. Ainsi, le destinataire d'un paquet peut détecter si un paquet reçu a parcouru une distance supérieure à celle autorisée par sa laisse. Dans ce cas, une attaque Wormhole est peut-être en cours^[30].

Détection[modifier | modifier le code]

Buch propose une approche statistique pour la détection d'attaque Wormhole : après avoir mesuré les quantités de données émises et reçues par chacun des nœuds surveillés, on peut comparer ces valeurs avec celles des nœuds voisins. Idéalement, le nombre de paquets envoyés à un nœud est la somme des paquets à destination de ce nœud reçus par ses voisins. Lorsque cette équation n'est pas satisfaite, une attaque Wormhole est peut-être en cours.

Deni de service[modifier | modifier le code]

L'introduction d'objets connectés dans la vie courante, plus spécifiquement ceux intégrés dans des systèmes critiques, tels que des services médicaux ou industries énergiques, augmente l'impact que peut entrainer un déni de service dans un réseau d'objets connectés^[31]^,^[32].

Détection[modifier | modifier le code]

Le système de détection de déni de service doit être lui-même résistant au déni de service. Plus précisément, le système de détection de déni de service doit s'activer avant que l'attaque ne rende ledit réseau inopérant^[33].

Kasinathan propose une solution de détection dans laquelle des nœuds surveillent le trafic physique à l'aide de sondes dédiées, qui émettent des alertes à destination d'un centre de contrôle. Ce centre de contrôle corrèle les alertes reçues avec d'autres métadonnées pour analyser et confirmer une éventuelle attaque^[34].

Pour pouvoir communiquer efficacement en cas de déni de service, les sondes communiquent avec le centre de contrôle à l'aide d'un canal physique différent de celui des nœuds à surveiller^[35].

Prototypes[modifier | modifier le code]

Alors qu'il n'existe pas de solution adoptée par l'industrie, des universitaires ont proposé des prototypes de systèmes de détection d'intrusion qui intègrent certains des mécanismes de détection exposés précédemment.

INTI[modifier | modifier le code]

INTI (Instrusion detection for SiNkhole attacks over 6LoWPAN for InterneT of ThIngs) est une implémentation de système de détection d'intrusion pour le simulateur Cooja proposée par Cervantes. INTI regroupe les nœuds en clusters, puis les classe suivant leurs rôles dans le réseau; leader, associé (qui relaie le trafic entre clusters), ou simple membre. En plus des classiques stations de bases. Ce rôle peut changer au cours du temps, en cas de reconfiguration du réseau; panne d'un objet, réaction à une attaque^[36].

Dans son fonctionnement, les nœuds propagent leurs status aux nœuds leaders, lesquels classent les nœuds selon un indice modélisant leur bienveillance. Les leaders déterminent la réputation de chacun des nœuds. Si la réputation est inférieure à un seuil, le nœud est considéré comme malveillant, et est isolé du réseau ^[20].

Pour isoler un nœud du réseau, Cervantes détermine trois procédures, suivant que le nœud à isoler soit leader, associé ou bien membre.

SVELTE[modifier | modifier le code]

SVELTE est un prototype de système de détection d'intrusion pour le système d'exploitation Conkiti proposé par Raza. Il intègre notamment un mini pare-feu distribué pour répondre aux alertes. SVELTE est un système hybride, c'est-à-dire qu'il a des composantes centralisées et des composantes distribuées entre les nœuds. Notamment, il s'installe à la fois sur les nœuds, et sur le routeur qui fait le lien entre la zone interne des objets et le reste de l'internet^[37]. Il est conçu principalement pour détecter les attaques sur les protocoles de routages^[38].

SVELTE a pour objectif de détecter les attaques suivantes^[39] :

Sinkhole
Selective-Forwarding
Paquets forgés

De plus, SVELTE se veut extensible pour ajouter des modules de détections^[40].

Références[modifier | modifier le code]

↑ Gamundani 2015, p. 115
↑ ^{a et b} Kasinathan 2013, p. 601
↑ ^{a b c et d} Soni 2013, p. 30
↑ Raza 2013, p. 2663
↑ Sarigiannidis 2015, p. 2633
↑ ^{a et b} Fu 2011
↑ Chen 2009, p. 64
↑ Chen 2009, p. 53
↑ Raza 2013, p. 2664
↑ Garcia-Morchon 2014, p. 10
↑ Venckauskas 2015, p. 464
↑ Kasinathan 2013
↑ Chen 2009, p. 60
↑ Amaral 2014, p. 1798
↑ Chen 2009, p. 62
↑ Amaral 2014, p. 1797
↑ Krontiris 2008, p. 527
↑ ^{a et b} Singh-Tomar 2014, p. 799
↑ Salehi 2013, p. 362
↑ ^{a et b} Cervantes 2015, p. 608
↑ Cervantes 2015, p. 609
↑ ^{a et b} Cervantes 2015, p. 610
↑ Zhang 2014, p. 373
↑ ^{a et b} Sharma 2014, p. 477
↑ Sarigiannidis 2015, p. 2638
↑ Venckauskas 2015, p. 465
↑ Tian 2015, p. 295
↑ Tian 2015, p. 297
↑ Prasannajit 2010, p. 283
↑ Hu 2006, p. 372
↑ Mozzaquatro 2015
↑ Venckauskas 2015, p. 461
↑ Kasinathan 2013, p. 602
↑ Kasinathan 2013, p. 603
↑ Kasinathan 2013, p. 604
↑ Cervantes 2015, p. 607
↑ Raza 2013, p. 2662
↑ Raza 2013, p. 2668
↑ Raza 2013, p. 2665
↑ Raza 2013, p. 2672

Bibliographie[modifier | modifier le code]

(en) Rongrong Fu, Kangfeng Zheng, Dongmei Zhang et Yixian Yang « An intrusion detection scheme based on anomaly mining in internet of things » (novembre 2011) (DOI 10.1049/cp.2011.1014)
—4th IET International Conference on Wireless, Mobile Multimedia Networks (ICWMMN 2011)
— « (ibid.) », dans 4th IET International Conference on Wireless, Mobile Multimedia Networks (ICWMMN 2011), p. 315–320
(en) S.P. Singh Tomar et B.K. Chaurasia « Detection and Isolation of Sinkhole Attack from AODV Routing Protocol in MANET » (novembre 2014) (DOI 10.1109/CICN.2014.171)
—2014 International Conference on Computational Intelligence and Communication Networks (CICN)
— « (ibid.) », dans 2014 International Conference on Computational Intelligence and Communication Networks (CICN), p. 799–802
(en) H. Sharma et R. Garg « Enhanced lightweight sybil attack detection technique » (septembre 2014) (DOI 10.1109/CONFLUENCE.2014.6949365)
—Confluence The Next Generation Information Technology Summit (Confluence), 2014 5th International Conference -
— « (ibid.) », dans Confluence The Next Generation Information Technology Summit (Confluence), 2014 5th International Conference -, p. 476–481
(en) A.M. Gamundani « An impact review on internet of things attacks » (mai 2015) (DOI 10.1109/ETNCC.2015.7184819)
—2015 International Conference on Emerging Trends in Networks and Computer Communications (ETNCC)
— « (ibid.) », dans 2015 International Conference on Emerging Trends in Networks and Computer Communications (ETNCC), p. 114–118
(en) Bin Tian, Yizhan Yao, Lei Shi, Shuai Shao, Zhaohui Liu et Changxing Xu « A novel sybil attack detection scheme for wireless sensor network » (novembre 2013) (DOI 10.1109/ICBNMT.2013.6823960)
—2013 5th IEEE International Conference on Broadband Network Multimedia Technology (IC-BNMT)
— « (ibid.) », dans 2013 5th IEEE International Conference on Broadband Network Multimedia Technology (IC-BNMT), p. 294–297
(en) J.P. Amaral, L.M. Oliveira, J.J.P.C. Rodrigues, Guangjie Han et Lei Shu « Policy and network-based intrusion detection system for IPv6-enabled wireless sensor networks » (juin 2014) (DOI 10.1109/ICC.2014.6883583)
—2014 IEEE International Conference on Communications (ICC)
— « (ibid.) », dans 2014 IEEE International Conference on Communications (ICC), p. 1796–1801
(en) P. Sarigiannidis, E. Karapistoli et A.A. Economides « VisIoT: A threat visualisation tool for IoT systems security » (juin 2015) (DOI 10.1109/ICCW.2015.7247576)
—2015 IEEE International Conference on Communication Workshop (ICCW)
— « (ibid.) », dans 2015 IEEE International Conference on Communication Workshop (ICCW), p. 2633–2638
(en) B. Prasannajit, Venkatesh, S. Anupama, K. Vindhykumari, S.R. Subhashini et G. Vinitha « An Approach Towards Detection of Wormhole Attack in Sensor Networks » (août 2010) (DOI 10.1109/ICIIC.2010.54)
—2010 First International Conference on Integrated Intelligent Computing (ICIIC)
— « (ibid.) », dans 2010 First International Conference on Integrated Intelligent Computing (ICIIC), p. 283–289
(en) C. Cervantes, D. Poplade, M. Nogueira et A. Santos « Detection of sinkhole attacks for supporting secure routing on 6LoWPAN for Internet of Things » (mai 2015) (DOI 10.1109/INM.2015.7140344)
—2015 IFIP/IEEE International Symposium on Integrated Network Management (IM)
— « (ibid.) », dans 2015 IFIP/IEEE International Symposium on Integrated Network Management (IM), p. 606–611
(en) B.A. Mozzaquatro, R. Jardim-Goncalves et C. Agostinho « Towards a reference ontology for security in the Internet of Things » (octobre 2015) (DOI 10.1109/IWMN.2015.7322984)
—2015 IEEE International Workshop on Measurements Networking (M N)
— « (ibid.) », dans 2015 IEEE International Workshop on Measurements Networking (M N), p. 1–6
(en) S.A. Salehi, M.A. Razzaque, P. Naraei et A. Farrokhtala « Detection of sinkhole attack in wireless sensor networks » (juillet 2013) (DOI 10.1109/IconSpace.2013.6599496)
—2013 IEEE International Conference on Space Science and Communication (IconSpace)
— « (ibid.) », dans 2013 IEEE International Conference on Space Science and Communication (IconSpace), p. 361–365
(en) I. Krontiris, T. Giannetsos et T. Dimitriou « Launching a Sinkhole Attack in Wireless Sensor Networks; The Intruder Side » (octobre 2008) (DOI 10.1109/WiMob.2008.83)
—Networking and Communications, 2008. WIMOB '08. IEEE International Conference on Wireless and Mobile Computing,
— « (ibid.) », dans Networking and Communications, 2008. WIMOB '08. IEEE International Conference on Wireless and Mobile Computing,, p. 526–531
(en) P. Kasinathan, C. Pastrone, M.A. Spirito et M. Vinkovits « Denial-of-Service detection in 6LoWPAN based Internet of Things » (octobre 2013) (DOI 10.1109/WiMOB.2013.6673419)
—2013 IEEE 9th International Conference on Wireless and Mobile Computing, Networking and Communications (WiMob)
— « (ibid.) », dans 2013 IEEE 9th International Conference on Wireless and Mobile Computing, Networking and Communications (WiMob), p. 600–607
(en) Shahid Raza, Linus Wallgren et Thiemo Voigt, « SVELTE: Real-time intrusion detection in the Internet of Things », Ad Hoc Networks, vol. 11, n^o 8,‎ novembre 2013, p. 2661–2674 (ISSN 1570-8705, DOI 10.1016/j.adhoc.2013.04.014, lire en ligne, consulté le 4 janvier 2016)
(en) Kuan Zhang, Xiaohui Liang, Rongxing Lu et Xuemin Shen, « Sybil Attacks and Their Defenses in the Internet of Things », IEEE Internet of Things Journal, vol. 1, n^o 5,‎ octobre 2014, p. 372–383 (ISSN 2327-4662, DOI 10.1109/JIOT.2014.2344013)
(en) Yih-Chun Hu, A. Perrig et D.B. Johnson, « Wormhole attacks in wireless networks », IEEE Journal on Selected Areas in Communications, vol. 24, n^o 2,‎ février 2006, p. 370–380 (ISSN 0733-8716, DOI 10.1109/JSAC.2005.861394)
(en) Xiangqian Chen, Kia Makki, Kang Yen et N. Pissinou, « Sensor network security: a survey », IEEE Communications Surveys Tutorials, vol. 11, n^o 2,‎ 2009, p. 52–73 (ISSN 1553-877X, DOI 10.1109/SURV.2009.090205)
(en) Algimantas Venckauskas, Robertas Damasevicius, Vacius Jusas, Jevgenijus Toldinas, Darius Rudzika et Giedre Dregvaite, « A review of cyber-crime in internet of things technologies, investigation methods and digital forensics », IJESRT,‎ 2015 (ISSN 2277-9655, lire en ligne, consulté le 1^er décembre 2015)
(en) Vinay Soni, « Detecting Sinkhole Attack in Wireless Sensor Network », 2013 (consulté le 4 janvier 2016)
(en) Oscar Garcia-Morchon, Sandeep Kumar, Rene Struik, Sye Keoh et Rene Hummen, « Security Considerations in the IP-based Internet of Things » (consulté le 4 janvier 2016)

[gamundani-2015-1] Gamundani 2015, p. 115

[Kasinathan601-2] {a et b} Kasinathan 2013, p. 601

[Soni_p30-3] {a b c et d} Soni 2013, p. 30

[4] Raza 2013, p. 2663

[5] Sarigiannidis 2015, p. 2633

[Fu_2011-6] {a et b} Fu 2011

[7] Chen 2009, p. 64

[8] Chen 2009, p. 53

[9] Raza 2013, p. 2664

[10] Garcia-Morchon 2014, p. 10

[11] Venckauskas 2015, p. 464

[12] Kasinathan 2013

[13] Chen 2009, p. 60

[14] Amaral 2014, p. 1798

[15] Chen 2009, p. 62

[16] Amaral 2014, p. 1797

[17] Krontiris 2008, p. 527

[ST_p799-18] {a et b} Singh-Tomar 2014, p. 799

[19] Salehi 2013, p. 362

[Cervantes_p608-20] {a et b} Cervantes 2015, p. 608

[21] Cervantes 2015, p. 609

[Cervantes_p610-22] {a et b} Cervantes 2015, p. 610

[23] Zhang 2014, p. 373

[Sharma_p477-24] {a et b} Sharma 2014, p. 477

[25] Sarigiannidis 2015, p. 2638

[26] Venckauskas 2015, p. 465

[27] Tian 2015, p. 295

[28] Tian 2015, p. 297

[29] Prasannajit 2010, p. 283

[30] Hu 2006, p. 372

[31] Mozzaquatro 2015

[32] Venckauskas 2015, p. 461

[33] Kasinathan 2013, p. 602

[34] Kasinathan 2013, p. 603

[35] Kasinathan 2013, p. 604

[36] Cervantes 2015, p. 607

[37] Raza 2013, p. 2662

[38] Raza 2013, p. 2668

[39] Raza 2013, p. 2665

[40] Raza 2013, p. 2672

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]