Le CNRS au Forum International de la Cybersécurité 2022
Le CNRS, à travers l'Institut des sciences de l'information et de leurs interactions (INS2I), participera au Forum International de la Cybersécurité du 7 au 9 juin 2022 à Lille. Découvrez le programme de cette année.
7 juin - 11h00-11h30 : Cryptographie post-quantique reposant sur les réseaux euclidiens
Adeline Roux-Langlois, chargée de recherche CNRS, membre de l'IRISA
La cryptographie permet par exemple de sécuriser nos communications, lors de transactions bancaires ou d’une connexion sur un site internet par exemple. Une partie des constructions cryptographiques utilisées aujourd’hui seraient possible à attaquer avec un ordinateur quantique suffisamment élaboré. Même si un tel ordinateur quantique n’existe pas encore, il est important d’anticiper sa possible construction et de préparer une transition vers des outils cryptographiques résistants aux attaques quantiques.
Parmi toutes les possibilités de constructions post-quantiques mises en avant par la compétition de standardisation post-quantique organisée par le NIST, la cryptographie reposant sur les réseaux euclidiens semble être la plus prometteuse. En effet, cinq des sept constructions finalistes reposent sur ce type d’hypothèses.
Dans cet exposé, Adeline Roux-Langlois va présenter la cryptographie reposant sur les réseaux euclidiens. Elle introduira les grands principes de cette branche de la cryptographie ainsi que les problèmes difficiles sur lesquels reposent la sécurité des constructions, puis donnera un aperçu du principe des constructions de chiffrement à clé publique et des signatures finalistes à la compétition du NIST.
Adeline Roux-Langlois, cryptographie post-quantique reposant sur les réseaux euclidiens
Adeline Roux-Langlois est chargée de recherche CNRS à l'Institut de recherche en informatique et systèmes aléatoires (IRISA - CNRS/ENS Rennes/Inria/INSA Rennes/IMT Atlantique/Université Bretagne Sud/Université de Rennes 1).
Audiodescription
7 juin - 11h30-12h00 : Authentification biométrique : comment (ré)concilier sécurité, utilisabilité et respect de la vie privée ?
Estelle Cherrier, professeure à l'ENSICAEN, membre du GREYC
Lorsqu’on s’intéresse à l’authentification biométrique, il est aujourd’hui fondamental de considérer les trois aspects complémentaires suivants : la sécurité, l’utilisabilité et le respect de la vie privée (ou la protection des données). Ceci, afin d’éviter les dérives sécuritaires et de préserver les libertés individuelles. Ainsi, la sécurité apportée par la biométrie implique une confiance élevée dans l’identité revendiquée par l’utilisateur et permet le déploiement d’applications d’authentification forte pour accéder à de nombreux services numériques. Ces services sont accessibles via une authentification forte, soit dans le cadre régalien, soit dans un cadre commercial privé. L’utilisabilité permet, quant à elle, une réelle acceptation de la biométrie par le grand public — on peut citer la reconnaissance du visage ou de l’empreinte digitale par exemple —, en complément ou même parfois en remplacement de moyens plus traditionnels d’authentification tels que les codes PIN ou les mots de passe qui encombrent nos mémoires. Enfin, la protection des données biométriques constitue une protection essentielle des libertés individuelles, dans le sens où il s’agit de données personnelles sensibles selon la CNIL. Plus largement, la protection des données personnelles est mise en lumière depuis un an par l’entrée en vigueur du RGPD dans tous les pays membres de l’Union Européenne, les plaçant de fait au premier rang des pays soucieux de protéger les données de leurs citoyens.
Estelle Cherrier, authentification biométrique : sécurité, utilisabilité et vie privée
Estelle Cherrier est maîtresse de conférences à l'ENSICAEN, membre du Groupe de REcherche en Informatique, Image, Automatique et Instrumentation de Caen (GREYC - CNRS/ENSICAEN/Université Caen Normandie).
Audiodescription
7 juin - 15h00-15h30 : Attaques et Mécanismes de protection dans l'Apprentissage Fédéré
Vlad Nitu, chargé de recherche CNRS au LIRIS
Grâce à l'apprentissage collaboratif (aussi appelé Apprentissage Fédéré), un grand nombre de dispositifs mobiles peuvent entraîner collectivement un modèle sur leurs données privées, sans envoyer les données brutes à des fournisseurs de services externes. À cette fin, les clients mettent à jour de manière itérative un modèle global en utilisant leurs données d'entraînement locales et n'envoient que ces mises à jour à un serveur central (appelée aussi serveur d’agrégation) qui orchestre le processus d'entraînement. L'apprentissage fédéré (FL) a été rapidement adopté dans de multiples domaines d'application émergents, tels que la prédiction du mot suivant dans le clavier Android, le domaine de la santé, les services bancaires, etc. Cependant, le protocole FL expose une surface d'attaque assez importante pour deux raisons principales. Premièrement, les clients Edge peuvent à la fois accéder aux paramètres du modèle et influencer leur valeur par le biais des mises à jour du modèle envoyées au serveur d'agrégation. Du côté du serveur, définissant à quoi ressemble une mise à jour malveillante et la manière de la distinguer des mises à jour bénignes n'est pas une tâche facile en raison de la faible interprétabilité des modèles Machine Learning (ML). Deuxièmement, de multiples attaques ont démontré que, dans certaines conditions, les modèles ML peuvent être inversés de sorte qu'un attaquant peut potentiellement récupérer des informations sensibles sur les données d'entraînement. Vlad Nitu discutera des attaques les plus récentes sur la confidentialité et la robustesse de l'apprentissage fédéré, ainsi que des mécanismes de protection visant à remédier à ces vulnérabilités.
Vlad Nitu, attaques et mécanismes de protection dans l'apprentissage fédéré
Vlad Nitu est chargé de recherche CNRS au Laboratoire d'Informatique en Images et Systèmes d'Information (LIRIS - CNRS/INSA de Lyon/Université Claude Bernard Lyon 1).
Audiodescription
7 juin - 16h30-17h00 : Développement rigoureux des architectures sécurisées : approches orientées objective et menaces de sécurité
Brahim Hamid, maître de conférences à l'Université Toulouse - Jean Jaurès, membre de l'IRIT
Les experts en sécurité, les praticiens et les chercheurs de différentes organisations internationales, associations et universités ont convenu que pour la sécurité, "ce n'est pas seulement le code". Les vulnérabilités de sécurité logicielle les plus populaires et les plus connues sont liées à des problèmes de conception. L'existence de menaces de sécurité dans les conceptions de logiciels peut avoir un impact significatif sur leur fonctionnement sûr et fiable. En conséquence, il existe des défis concernant les moyens d'identifier, d'analyser et de se préparer aux menaces, d'atténuer les vulnérabilités et de minimiser l'impact et les conséquences des faiblesses engendrées. Brahim Hamid travaille à relever ces défis en développant une approche intégrée pour spécifier, détecter et traiter les menaces de sécurité durant la phase de conception de l'architecture logicielle dans un effort d'intégration de la sécurité. Cet objectif peut aider les concepteurs de systèmes à retravailler leurs conceptions pour éliminer ou atténuer les menaces identifiées et/ou pour aider à sélectionner des contrôles de sécurité et de fiabilité appropriés pour garantir le fonctionnement sûr, sécurisé et fiable de leurs systèmes. Des notions telles que les modèles, les propriétés, les patrons, l'analyse et les évaluations expérimentales peuvent aider au développement de systèmes sécurisés bien conçus, correctement modélisés, correctement documentés et bien compris.
Brahim Hamid, développement rigoureux des architectures sécurisées
Brahim Hamid est maître de conférences à l'Université Toulouse - Jean Jaurès, membre de l'Institut de Recherche en Informatique de Toulouse (IRIT - CNRS/Université Toulouse 3 Paul Sabatier/INP Toulouse).
Audiodescription
8 juin - 11h30-12h00 : La sécurité des protocoles de communications de l'IoT - Exemple du BLE
Romain Cayre, doctorant et Vincent Nicomette, professeur à l'INSA Toulouse, membre du LAAS-CNRS
Le protocole Bluetooth Low Energy (BLE) s’est imposé comme l’un des protocoles de communication sans fil les plus populaires pour l’Internet des Objets (IoT). Malheureusement, diverses attaques visant le protocole ou ses implémentations ont ete publiées récemment, illustrant à la fois l’interêt croissant pour cette technologie mais aussi sa fragilité du point de vue de la sécurité. Cette présentation vise à présenter un panorama des attaques les plus connues ciblant ce protocole, mais aussi une nouvelle attaque, nommée InjectaBLE, permettant d’injecter du trafic malveillant dans une connexion établie, ce qui restait jusqu'à présent un défi technique. La vulnerabilité exploitée étant inhérente à la spécification du protocole, elle touche de fait l’ensemble des connexions BLE, indépendamment des équipements utilisés, la rendant particulièrement critique. Romain Cayre et Vincent Nicomette décrirons les fondements théoriques de l’attaque, son implémentation en pratique et quelques exemples de scénarios d’attaques.
Romain Cayre et Vincent Nicomette, sécurité des protocoles de communications de l'IoT
Romain Cayre est doctorant au Laboratoire d’Analyse et d’Architecture des Systèmes (LAAS-CNRS), et Vincent Nicomette est professeur à l'INSA Toulouse et membre du Laboratoire d’Analyse et d’Architecture des Systèmes (LAAS-CNRS).
Audiodescription
8 juin - 16h30-17h00 : Traçage par empreintes de navigateur : passé, présent et évolutions futures
Pierre Laperdrix, chargé de recherche CNRS au CRIStAL
Les empreintes de navigateur, ou "browser fingerprinting" en anglais, ont beaucoup évolué depuis leurs débuts en 2010. Grâce à un script qui collecte des données depuis un navigateur web, une société peut apprendre beaucoup d'informations sur un individu, son terminal et la configuration utilisée. Plusieurs études ont montrés que les empreintes de navigateur représentent une menace réelle pour la vie privée des utilisateurs car elles peuvent remplacer les cookies pour retracer des historiques de navigation. Dans cette présentation, Pierre Laperdrix donnera un aperçu de la recherche effectuée dans le domaine du fingerprinting en expliquant comment cette technique fonctionne, comment elle est utilisée aujourd'hui avant de se pencher sur son futur.
Pierre Laperdrix, traçage par empreintes de navigateur : passé, présent et évolutions futures
Pierre Laperdrix est chargé de recherche CNRS au Centre de Recherche en Informatique, Signal et Automatique de Lille (CRIStAL - CNRS/Université de Lille/ Centrale Lille).
Audiodescription
9 juin - 11h00-11h30 : Sécurité 6G adaptée au contexte : le rôle de la couche physique
Arsenia Chorti, professeure à l'ENSEA, membre d'ETIS
La qualité de la sécurité (QoSec) est envisagée comme un cadre flexible pour les futurs réseaux avec des exigences non fonctionnelles très diverses (délais, consommation d'énergie, connectivité massive / évolutivité, puissance de calcul, etc.). Parallèlement, l'intégration des communications et de la détection (sensing), ainsi que de l'intelligence artificielle embarquée, peuvent fournir les bases de l'élaboration de protocoles de sécurité autonomes et adaptatifs. À l'image du paradigme des réseaux à services différenciés (DiffServ), différents niveaux de sécurité pourraient être conceptualisés, s'éloignant ainsi des contrôles de sécurité statiques, actuellement pris en compte dans les architectures de sécurité à confiance zéro (zero-trust). En 6G, des contrôles de sécurité autonomes et adaptatifs son envisagés, orchestrés par un plan de sécurité vertical en coordination avec un plan sémantique vertical, appelé sécurité 6G contextuelle. C'est dans ce cadre que l'incorporation de schémas de sécurité de la couche physique (PLS) dans les protocoles de sécurité 6G est envisagée, introduisant pour la première fois des contrôles de sécurité à toutes les couches. Arsenia Chorti discutera de la manière dont la sécurité de la couche physique (PLS), naturellement adaptative, s'inscrit dans le cadre de la QoSec ; proposera une route pour son incorporation dans la 6G, en tirant parti de l'adaptation des paramètres de transmission aux hypothèses de sécurité sous-jacentes. Enfin, elle présentera des exemples d'authentification et de génération de clés secrètes (SKG) basées sur les empreintes RF dans des données réels et discutera de la possibilité d'une détection légère et distribuée des anomalies au niveau de la couche matérielle pour les réseaux à grande échelle de l'Internet des objets (IoT), composés de dispositifs contraints.
Arsenia Chorti, sécurité 6G adaptée au contexte : le rôle de la couche physique
Arsenia Chorti est professeure à l'ENSEA, membre du laboratoire Équipes Traitement de l'Information et Systèmes (ETIS - CNRS/ENSEA/CY Cergy Paris Université).
Audiodescription
Informations pratiques
Rendez-vous sur le stand du CNRS et de ses partenaires de la recherche au FIC :
- Lille Grand Palais, 1, bd des Cités Unies - 59777 – Euralille – Lille – France
- Stand D61-2
- Horaires :
- Mardi 7 juin 2022, de 08h30 à 19h
- Mercredi 8 juin 2022, de 08h30 à 19h30 (soirée networking EC2 jusqu’à minuit)
- Jeudi 9 juin 2022, de 08h30 à 18h
- Informations supplémentaires : https://www.forum-fic.com/