Scurit et vie prive centres sur lutilisateur dans lIoT

MOTS-CLES :
Internet des objets, Scurit, Confidentialit, Intgrit, Authentification, Vie prive, Contexte
utilisateur, Contraintes denvironnement.
CONTACT :
Francine KRIEF (francine.krief@labri.fr)
MOTIVATIONS ET OBJECTIFS :
Linternet des objets (IoT : Internet of Things) est un nouveau concept (Figure 1) qui dsigne
linterconnexion des mondes physique et virtuel travers des objets physiques. Ces objets sont
gnralement capables de communiquer et dchanger des donnes dans le cadre de diffrents
domaines dapplications comme la e-sant et la maison intelligente. Cependant, les nombreuses
menaces de scurit et le manque de mcanismes de scurit adapts ces applications pourraient
rduire considrablement leur dveloppement. Malgr la commercialisation de certaines applications, la
scurit et la protection de la vie prive ont rarement t considres et nombreuses sont les attaques
qui ont russi compromettre leur fonctionnement. Ainsi, la priorit aujourdhui doit tre donne la
scurit des nombreuses donnes collectes, changes, stockes et accessibles dans le cadre des
applications de lIoT. Par ailleurs, laspect mobile et sans fil caractrisant la grande majorit des
communications dans lIoT ncessite la mise en place de dispositifs de scurit adapts. Dans ce
contexte, lobjectif de cette thse est de proposer des mcanismes de scurit centrs sur lutilisateur
afin de pallier les diffrentes attaques de scurit menaant le bon fonctionnement des applications
impliquant des objets communicants.

Figure 1. Les principales composantes de lIoT [1]

DEFIS ET INNOVATIONS :
La scurit dans lIoT a fait lobjet dun certain nombre de travaux centrs, notamment, sur
lidentification et la gestion didentit des objets communicants [2]. Concernant la scurit sensible au
contexte de lutilisateur (context-aware), nous trouvons galement de nombreux travaux. Par exemple,
dans [3], un mcanisme de scurit context-aware appel CASA (Context-Aware Security
Architecture) a t dfini. Ce mcanisme permet dassurer une authentification et un contrle daccs
aux applications disponibles dans le contexte des maisons intelligentes. Dans [4], les auteurs proposent
un systme appel CAISMS (Context-Aware Integrated Security Management System for Smart
Home). Ce systme garantit une authentification et un contrle daccs sensibles au contexte travers
un accs diffrenci via diffrentes mthodes dauthentification. Ainsi, la grande majorit des travaux
actuels de recherche sest intresse lauthentification et au contrle daccs dans le cadre dune

application donne. Pourtant, non seulement des services de scurit indispensables tels que lintgrit,
la confidentialit, ou encore la protection de la vie prive, ne sont pas pris en compte, mais aussi ces
solutions de scurit spcifiques sont gnralement statiques et non adaptes aux besoins des
utilisateurs. Une des solutions possibles consiste renseigner ces utilisateurs sur la faon dont leurs
donnes sont collectes, utilises, traites, accdes et stockes, afin quils puissent prendre leurs
propres dcisions concernant ces donnes. Ceci leur permettra davoir confiance dans leurs interactions
avec lIoT, ce qui est essentiel pour favoriser ladoption de cette technologie. Ainsi, la dfinition dune
scurit centre sur lutilisateur dans un domaine aussi htrogne que lIoT reprsente un des dfis
majeurs de cette thse. Les mcanismes viss par cette thse permettront de garantir la scurit et la
protection de la vie prive sur deux plans : (1) lchange de donnes, et (2) le stockage et laccs aux
donnes. De mme la scurit mettre en place doit rpondre aux besoins de lutilisateur tout en tant
suffisamment robuste et en respectant les contraintes lies aux : performances de lapplication,
caractristiques des communications, capacits des objets communicants, etc. Ltude des solutions de
scurit existantes dans lIoT dmontre que la majorit de ces solutions sont statiques et spcifiques
un domaine dapplication bien dtermin. Or, le niveau de scurit requis dpend de lapplication et
ainsi de la nature des donnes changes ou stockes. Il doit galement dpendre des utilisateurs
communicant ou accdant aux donnes stockes. Ainsi, dans cette thse nous proposons de :
Identifier les informations lies lutilisateur et ses interactions avec lIoT. Ces informations sont
en effet indispensables la dfinition dune scurit adapte,
Dfinir avec prcision les droits daccs des acteurs et objets impliqus ainsi que les niveaux de
scurit,
Dfinir les diffrents mcanismes de scurit devant tre dploys afin de rpondre aux besoins de
scurit (authentification, intgrit, confidentialit et vie prive),
Proposer ou adapter des mcanismes de scurit pour fonctionner correctement dans un
environnement IoT caractris par les fortes limitations matrielles des objets,
Concevoir les outils qui permettront de dfinir le niveau de scurit requis ainsi que les
mcanismes mettre en place pour atteindre ce niveau. Ceci se fera sur la base du contexte actuel
de lutilisateur et de son interaction avec lIoT (prfrences de lutilisateur, contraintes de
performances, caractristiques de lapplication, capacits des objets, etc.).
Permettre la mise jour dynamique et automatique des mcanismes de scurit suite une
modification du contexte de lutilisateur.
APPROCHE ET TACHES :
En se basant sur les travaux mens dans le domaine de la scurit de lIoT, cette thse doit dfinir
un systme permettant de garantir la scurit et la vie prive des utilisateurs dans le cadre
dapplications de lIoT. Dans un premier temps, le doctorant doit raliser une tude approfondie des
solutions de scurit. Ceci permettra didentifier les services de scurit que le systme doit garantir
ainsi que les diffrents mcanismes utiliser ou adapter, ou encore proposer. Ensuite, le systme vis
doit tre dfini et implment. Ce systme doit rpondre aux besoins dfinis auparavant. En effet, pour
chaque accs, stockage ou transmission de donnes, le systme doit dfinir et dployer
automatiquement la scurit ncessaire. Ainsi, cette thse doit couvrir les tches suivantes :
Tche 1 : Etat de lart des solutions de scurit dans lIoT pour identifier les besoins en matire de
scurit et les limitations des solutions existantes.
Tche 2 : Dfinition / adaptation des mcanismes de scurit pour garantir les services requis
(authentification, intgrit, confidentialit, vie prive, etc.) dans un environnement IoT.
Tche 3 : Dfinition dun systme de scurit centr sur lutilisateur. Ceci passe par la dfinition
des informations contextuelles pertinentes.
Tche 4: Implmentation du systme dfini et exprimentation pour prouver son utilit et son
efficacit dans le cadre de lIoT.
REFERENCES
[1]
[2]
[3]
[4]

"Security needs context in IoT", SC Magazine, Posted by Paul on "the security ledger" website, November 2014
"Identity Management Framework for IoT", P.C. Mahalle, PhD thesis, Aalborg University, Denmark, November 2013.
"CASA: Context-Aware Scalable Authentication", E. Hayashi et al., 9th Symposium on Usable Privacy and Security, New
York, USA, July 2013.
"CAISMS: A Context-Aware Integrated Security Management System for Smart Home", J.S Cho et al., 9 th International
Conference on Advanced Communication Technology, Gangwon, South Korea, February 2007.