Détection d’intrusions réaliste dans les maisons connectées à l’aide d’indicateurs physiques volatiles

Abstract

Au sein de l’Internet des Objets, le secteur de la maison connectée est en plein essor. Pour quelques dizaines d’euros, chacun peut s’équiper de solutions domotiques intelligentes commandables à distance. Ces écosystèmes sont cela dit vulnérables à des attaques variées en raison A) d’une conception essentiellement guidée par le coût, générant des objets contraints sans implémentation de sécurité viable possible, B) de l’utilisation par ces objets de protocoles de communication sans-fil hétérogènes, dispersant les efforts de sécurisation, et C) de la gestion de ces objets par des consommateurs non-experts, adeptes du « setup and forget ».Contrairement à l’informatique traditionnelle où les solutions de protection sont répandues, nous faisons le constat de l’absence de proposition commerciale équivalente dans la maison connectée. Dans cette thèse, nous nous interrogeons sur les conditions de l’adoption à grande échelle de solutions de sécurité de type Systèmes de Détection d’Intrusion (IDS), visant à protéger les objets contraints déjà déployés. Ainsi, une première contribution recense les caractéristiques des maisons connectées pour les croiser avec des taxonomies d’IDS, afin de proposer les critères qualitatifs d’une solution de sécurité domestique réaliste.Par la suite, afin de faciliter la conception d’IDS, une deuxième contribution met à disposition de la communauté scientifique un jeu de données Zigbee, participant à la fourniture d’outils couvrant les principaux protocoles de la maison connectée. Toutes les trames échangées par 10 objets pendant 10 jours ont été capturées par 4 sondes distribuées dans un domicile-test. Des attaques ont été introduites afin d’établir et comparer différentes stratégies de détection. Outre une redondance des données de couche MAC, le jeu de données tire son originalité de l’extraction par chaque sonde du RSSI (Received Signal Strength Indicator) de chaque trame. Cette grandeur de couche physique, accessible à peu de frais dans les technologies sans-fil, permet de participer à l’identification de nœuds fixes. Par la suite, on peut imaginer d’identifier robustement chaque objet par une empreinte de couche physique faite d’un tuple de RSSI, complexe à imiter par un attaquant.Enfin, dans une troisième contribution, nous exploitons le jeu de données pour proposer un IDS détectant les attaques d’usurpation d’identité, favorisées par le fait que des piles de protocoles n’intègrent que peu ou pas d’authentification sur leur couche MAC. Pour les détecter, la cohérence de l’identifiant de couche MAC et de l’empreinte précédente à base de RSSI peut être considérée mais ce n’est plus possible quand les environnements sont sans cesse redessinés par les habitants qui y évoluent, les RSSI devenant volatiles. En fournissant des séries temporelles de RSSI en entrée d’un algorithme d’apprentissage non supervisé, nous établissons pour chaque couple (objet, sonde) un modèle des séquences RSSI normales. Les déviations par rapport au modèle permettent de détecter une attaque. Les métriques de détection obtenues, très intéressantes en regard de la faible complexité de l’architecture initiale envisagée, ainsi que les évaluations de l’autonomie et du coût de la solution laissent entrevoir une diffusion de tels systèmes dans les maisons connectées.