Le blog d'Olivier FAURAX

Qu'elle est dure la vie de thésard ;)
J'ai été sélectionné pour une conférence nationale sur les bords du Lac d'Annecy, aux balcons du Lac d'Annecy.

SAR-SSI 2007 est une conférence sur la Sécurité des Architectures Réseaux et la Sécurité des Systèmes d'Information. Si vous voulez voir à quoi ça ressemble, accédez directement aux photos.

12 Juin

À l'arrivée, on nous remet le paquetage habituel : sac, stylo+bloc, actes de la conférence. Il y a eu une bonne surprise : on nous a offert un stylo qui fait pointeur laser et petite lampe. Ça tombe bien, j'en avais pas.

La conférence est plutôt jeune, style JNRDM. Il y a des gens d'un peu partout mais pas mal de Supélec.

Les présentations ont commencées l'après-midi par la session 1 sur la sécurité des réseaux adhoc. Ça n'a rien à voir avec Tintin, on désigne par adhoc les réseaux qui n'ont pas de structure physique, c'est-à-dire quand les liens ne sont pas connus à l'avance. C'est le cas par exemple pour un certain type de wifi (sans point d'accès) ou pour les réseaux de capteurs.

La première présentation parlait de confiance dans du routage OLSR. Il y avait plein de formules, ça m'a perdu.

La deuxième présentation était sujet des protections contre les réplications et clones de noeuds dans les réseaux de capteurs. Le principe était de dire que chaque nouvelle génération de capteurs était déployée à heure fixe.
Une autre information intéressante : une signature RSA, c'est 5132 octets transmis par le capteur, une signature ECDSA, c'est 385 octets. La transmission est l'une des opérations les plus gourmandes en consommation électrique : les signatures consomment trop pour un capteur.

La troisième présentation était sur la confiance. L'état de l'art a été très intéressant : PKI, Kerberos, PGP, Cryptographie à Seuil. La présentation était très graphique, c'était vraiment sympa.
J'ai aussi appris la cryptographie à seuil : on a un secret, on en fait N morceaux, et avec K de ces morceaux on peut le reconstituer. L'exemple donné, c'était un polynome de degré K-1, et on distribue N points de la courbe correspondante.

Ensuite, on a eu la session 2 sur la détection d'intrusion. En résumé, plusieurs travaux ont été présentés : graphes des flux d'informations, détection d'incohérence dans les messages OLSR, un genre de truc bayésien (écrit trop petit, avec des formules partout) et une classification des attaques pour tester les IDS.

13 juin

On a commencé la journée par une conférence invitée avec Serge Vaudenay de l'EPFL. Il nous a parlé du passeport électronique, c'était très accessible. Un passeport électronique, c'est un carte contactless (RFID), de la biométrie et une PKI. La capacité de stockage va de 32 à 512 Ko.
Pour savoir si votre passeport est « MRTD compliant », il suffit de voir s'il y a un logo d'un rond entre 2 rectangles (qui représente la puce prise en sandwich dans le passeport).
J'ai été surpris d'apprendre que les passeports pouvaient utiliser du SHA-1, DES, Triple-DES en CBC, RSA, DSA, ECDSA, mais pas AES. Sur un passeport, le MRZ est la ligne visible qui contient des '<' et qui commence ce France par 'P<FRA'. Sur la cartes d'identité, on a 'IDFRA'. Le LDS est la structure de données lisible par RFID et qui contient le MRZ, la photo et pleins d'autres choses. Quand j'ai reçu mon passeport électronique, on m'a donné une petite carte avec la liste des infos qui sont stockées dans le passeport.
Une des sécurités du passeport est de demander le MRZ pour autoriser l'accès au LDS : le passeport demande le MRZ et chiffre ensuite la communication pour donner le LDS. Malheureusement, si vous regardez votre MRZ, vous vous rendrez compte qu'il est facile à deviner : pays, nom, prénom, etc. C'est ce qui a permis à un expert en sécurité de copier un passeport anglais enfermé dans un enveloppe portant le nom du destinataire en seulement 4 heures.

La session 3 était sur la métrologie. Je me suis rendu compte qu'il y avait pas mal de présentations qui utilisaient le modèle par défaut de Beamer (c'est un logiciel pour faire des présentations en LaTeX).

L'après-midi, la section 4 était sur les politiques de sécurité. Je n'ai rien noté de spécial

La section 5 était sur la gestion d'identité : j'ai appris l'existence de la Sybil attack dans les réseaux structurés en anneau.

La journée s'est terminé par un « Keynote Speaker » sur les RFID.

On a eu la chance de tomber en même qu'un groupe de retraités qui jouait aux jeux apéro. À chaque bonne réponse, on avait un jeton, et à 3 jetons, un apéro. Avec tous les jetons qu'on a gagné, on a pu boire l'apéro jusqu'à la fin de la conf :)

14 juin

La session invitée a commencé la journée par la sécurisation des accès sans fils avec des cartes à puces. Là où c'était drôle, c'est que même le serveur d'authentification était sur des cartes à puces.

Ensuite, c'était la session 6A (il y avait la 6B en parallèle) sur la cryptographie appliquée. La première présentation était sur les virus polymorphes et métamorphes. Le principe est de générer une représentation canonique des virus pour détecter toute une famille à la fois. C'est la première fois que je voyais des transparents avec le modèle par défaut de powerpoint 2007.

Il y a eu une présentation sur les automates cellulaires pour le chiffrement et la compression.

Et à ce moment là, c'était mon tour. Le début a plutôt été apprécié, j'avais fait des transparents très graphiques, et j'ai choisi de présenter directement à l'écran avec mes mains plutôt qu'avec un pointeur laser. Une personne m'a félicité sur ce point.
Par contre, pour la deuxième partie, ça a été difficile de décrire ce que je fais dans ma thèse à des informaticiens pas du tout électroniciens. Peut être que je devrai insister plus sur le modèle de circuit.

La session s'est terminé sur la performance des protocoles de gestion de clé dans les MANETs.

Ensuite, l'après-midi, on a visiter Annecy, pris le bateau et fini par un repas amélioré aux balcons du lac. Cliquez sur une des miniatures pour accéder à la galerie photo.

15 juin

La session 7B était sur le contrôle d'accès. Je n'ai retenu de cette session que la 3ème présentation où on essayait de détecter les conflits entre règles de routage.

La conférence s'est terminée par une session sur le marquage et la protection de données. La première présentation a été sur l'interopérabilité des DRM et la dernière a présenté 2 modèles de gestion de droits.

L'année prochaine, ils prévoient d'aller au Canada, je crois. C'est dommage, je ne serai plus thésard ;)