Service Communautaire d'Information sur la Recherche et le Développement - CORDIS

Harmoniser la sécurité entre les divers appareils

Pour remédier à l'hétérogénéité des solutions de protection des appareils mobiles, un projet financé par l'UE propose de déplacer les applications de sécurité depuis les appareils vers des nœuds du réseau.
Harmoniser la sécurité entre les divers appareils
L'essor rapide des appareils mobiles a ouvert de nombreuses failles de sécurité problématiques: faiblesses dans les systèmes d'exploitation, problèmes de configuration, et vulnérabilités des applications et des réseaux publics. Globalement, on estime qu'au moins 75 % des applications mobiles échoueraient aux tests de sécurité de base. Par ailleurs, les vulnérabilités des systèmes d'exploitation font plus que doubler chaque année.

Au vu de ces statistiques alarmantes, les consommateurs n'ont d'autre solution que d'utiliser des outils de protection, qui n'existent pas forcément pour tous les systèmes, dont les capacités sont très variables d'un appareil à l'autre, et qui consomment souvent trop de ressources. Ces problèmes pourraient être résolus par une seule évolution technique, qui consiste à décharger l'exécution des applications de sécurité en la confiant à un appareil programmable situé en périphérie du réseau, tel une passerelle chez un particulier ou un routeur professionnel.

Le projet SECURED (SECURity at the network EDge) conçoit une solution de ce type depuis octobre 2013. À quelques mois de la fin du projet, son coordinateur, le professeur Antonio Lioy, de l'université polytechnique de Turin, présente en détail les résultats obtenus jusqu'à présent, en précisant comment ils s'inscrivent dans le contexte technique actuel, et leurs domaines d'application potentiels.

Quels sont les principaux problèmes rencontrés par les systèmes actuels de sécurité des appareils mobiles?

Aujourd'hui, la sécurité des appareils mobiles dépend principalement de l'appareil: les utilisateurs doivent installer la solution adéquate en local sur chacun de leurs appareils, par exemple un antivirus pour les protéger des menaces ou un pare-feu pour bloquer les connexions indésirables. La tâche est complexe puisque l'utilisateur moyen possède plusieurs appareils, et certaines applications de sécurité ne sont pas disponibles pour tous les types d'appareils, ou n'offrent pas les mêmes performances ou fonctionnalités.

Les grandes entreprises ont tendance à résoudre ce problème en limitant le type d'appareils mobiles utilisés par leurs employés, ou en adoptant un système de gestion de ces appareils. Cependant cette solution n'est pas à la portée du grand public qui est donc de plus en plus exposé aux risques. En bref, la sécurité des appareils mobiles est variable et généralement insuffisante, car elle dépend des produits disponibles et de l'appareil utilisé.

Comment l'architecture de SECURED aide-t-elle à résoudre ces problèmes?

Le projet SECURED propose de déléguer la protection, totalement ou en partie, à un nœud fiable et sécurisé sur le réseau, spécialement conçu pour exécuter les applications de sécurité choisies par l'utilisateur et configurées en fonction de la politique de protection qu'il aura indiquée.

Nous avons nommé ce nœud un «appareil de périphérie du réseau» (NED pour Network Edge Device), car pour atteindre les meilleures performances, il est préférable de le placer le plus près possible de l'appareil mobile, bien qu'il soit aussi possible de l'utiliser à distance ou dans le Cloud.

Lorsque l'utilisateur connecte son appareil mobile au NED, une preuve de l'identité et de l'intégrité du NED lui est envoyée afin qu'il ait l'assurance que le NED assurera bien sa sécurité. Ensuite, un domaine d'exécution virtuel dédié est créé pour l'utilisateur. Le NED télécharge alors les fonctions de sécurité sélectionnées à partir des référentiels indiqués par l'utilisateur, puis les configure en fonction du profil de protection extrait du référentiel.

Peut-il être utilisé sur les réseaux actuels? De quelle manière?

Oui, cela est possible, en insérant des NED dans le réseau et en demandant aux utilisateurs de se connecter au NED sélectionné par le biais d'un VPN. Bien entendu, si le point d'accès réseau de l'utilisateur, c'est-à-dire la passerelle domestique, le point d'accès Wi-Fi ou le nœud d'accès 3G/4G, est déjà un NED, il n'est pas nécessaire d'utiliser de VPN pour bénéficier de performances améliorées.

Dans tous les cas, le fait de disposer d'un NED en première ligne sur le réseau ou à distance apporte beaucoup de souplesse de déploiement. Il facilite notamment l'adoption progressive de la solution, en la rendant aussi accessible aux environnements qui n'adoptent pas directement la solution SECURED. Autrement dit, l'utilisateur contrôle sa propre sécurité. Le seul paramètre variable est la vitesse du réseau: les performances augmentent lorsque le NED est en local, et diminuent s'il est distant. Confiance et sécurité sont garanties dans les deux cas.

Qu'en est-il de l'Internet du futur, et plus particulièrement de l'Internet des objets?

Le concept développé par le projet SECURED est également adapté à l'Internet des objets (IoT). Généralement, les nœuds de ces environnements ont une puissance et des capacités limitées, avec une protection faible voire inexistante car ils ne peuvent pas exécuter de commandes de sécurité complexes. Il est possible s'assurer une bonne protection des nœuds de l'IoT en les reliant au réseau externe via un NED qui se charge de leur sécurité.

Votre système permet aussi d'appliquer des politiques de sécurité inter-réseaux. Comment y êtes-vous parvenu?

Selon son propriétaire, le NED peut avoir un impact sur de nombreuses parties prenantes. Ainsi, les NED proposés par un fournisseur de services Internet (ISP) ou un opérateur de réseaux mobiles appliqueront la politique de sécurité de l'utilisateur, mais aussi celle de l'opérateur. SECURED a développé des algorithmes permettant de combiner et d'appliquer ces différentes politiques. Bien sûr, si la politique de l'opérateur est plus stricte que celle de l'utilisateur, le NED informe ce dernier des restrictions supplémentaires et lui donne le choix de se déconnecter.

Les commandes et les politiques de sécurité sont téléchargées à la demande sur le NED lorsque l'utilisateur se connecte au réseau, et elles sont automatiquement appliquées sur les différents réseaux. En outre, la solution gère la mobilité de manière transparente: si un utilisateur se déplace d'un point d'accès à un autre, son domaine d'exécution virtuel est automatiquement connecté au nouveau point d'accès.

Pouvez-vous nous en dire plus sur la boutique que vous avez créée?

Nous ciblons les utilisateurs de base n'ayant pas nécessairement d'expertise technique en matière de sécurité. Nous avons donc essayé de simplifier le plus possible l'utilisation de SECURED. Nous avons d'abord créé une interface de haut niveau permettant de paramétrer la politique de sécurité dans un langage quasi-naturel, c'est-à-dire se limitant à des verbes liés à la protection comme «autoriser», «refuser» ou «enregistrer».

L'utilisateur a alors accès à une boutique reposant sur les mêmes principes que les autres boutiques habituelles sur smartphone, et plusieurs applications de sécurité. Les utilisateurs avancés peuvent sélectionner directement les applications souhaitées, et les débutants se voient proposer une sélection automatique en fonction de la politique définie.

Par exemple, si l'utilisateur a demandé à bloquer l'accès aux sites web ne convenant pas aux enfants et à bénéficier d'une protection contre les menaces, le système suggère d'acquérir une application de contrôle parental et un antivirus. Si plusieurs applications d'un même type sont disponibles, la boutique indique les critères qui les distinguent, telles que le prix, les performances et les recommandations par les autres utilisateurs.

Le projet arrivera bientôt à son terme. À votre avis, comment sera-t-il accueilli sur le marché?

Au début du projet, en 2013, nous visions principalement les fournisseurs de réseau et de service, et les hotspots Wi-Fi. Nous continuons de penser que ces secteurs devraient être intéressés, mais nous avons identifié d'autres nouveaux domaines d'application.

Outre l'IoT précédemment mentionné, les réseaux modernes définis par logiciel constituent une cible privilégiée: les concepts de SDN (Software-Defined Networking) et de NFV (Network Function Virtualization) ont un rôle clé dans l'évolution rapide de la mise en réseau, de plus en plus axée sur le logiciel et non sur le matériel. Cela signifie que le secteur des réseaux lui-même pourrait tirer parti de la solution SECURED, puisqu'elle propose des fonctions de sécurité à la demande, configurées en fonction de politiques spécifiques et exécutées dans un environnement de confiance. En février 2016, nous avons organisé une présentation et une démonstration à l'occasion d'une rencontre du groupe de travail ETSI NFV, et la solution SECURED a soulevé beaucoup d'intérêt. Je pense donc que dans un avenir proche elle aura un rôle dans divers marchés.

SECURED
Financé au titre de FP7-ICT
site web du projet
page du projet sur CORDIS

Source: Entretien extrait du magazine research*eu consacré aux résultats, n° 53 p.40-41

Informations connexes

Programmes

Pays

  • Italie
Numéro d'enregistrement: 125625 / Dernière mise à jour le: 2016-06-27
Catégorie: Entretiens
Fournisseur: ec