Thèse soutenue

Sécurité et protection de la vie privée dans les systèmes RFID, appliquées aux réseaux EPCglobal
FR
Accès à la thèse
Auteur / Autrice : Wiem Tounsi
Direction : Frédéric Cuppens
Type : Thèse de doctorat
Discipline(s) : Informatique
Date : Soutenance en 2014
Etablissement(s) : Télécom Bretagne
Ecole(s) doctorale(s) : École doctorale Mathématiques, télécommunications, informatique, signal, systèmes, électronique (Rennes)
Partenaire(s) de recherche : autre partenaire : Université européenne de Bretagne (2007-2016)

Résumé

FR  |  
EN

La thèse de Wiem Tounsi s'intéresse aux problèmes de sécurité que pose l'utilisation des étiquettes RFID (Radio Frequency IDentification). Ces étiquettes peuvent contenir plus d'information qu'un simple identifiant, comme les données médicales concernant le porteur de l'étiquette. Par conséquent, des protections sont nécessaires pour protéger la vie privée du porteur. La thèse propose de développer un contrôle de la vie privée à deux niveaux pour les réseaux EPCglobal (Electronic Product Code). Dans ce contexte, le standard EPCglobal est l'un des plus utilisés par la communauté RFID. Les principales contributions de la thèse sont développées en deux parties: - La première partie de la thèse est dédiée à la protection des échanges de données entre les lecteurs et les étiquettes RFID passives. Un protocole d'établissement et de dérivation de clés, appelé KEDGEN2 a été défini pour les réseaux EPC de deuxième génération (GEN2). KEDGEN2 assure la sécurité des échanges de données reposant sur un modèle de génération de clés adapté aux étiquettes RFID GEN2. Le modèle a été spécifié en utilisant le langage HLPSL (High Level Protocol Specification Language) et des propriétés de sécurité (authentification forte, forward secrecy et backward secrecy pour la persistance de la confidentialité) ont été prouvées grâce à des techniques de model checking via l'outil CL-AtSe (Constraint-Logic based Attack Searcher). Le mécanisme de dérivation de clés pseudo-alétaoires repose sur une adaptation du système de chiffrement Solitaire. - La deuxième partie de la thèse se focalise sur la protection des données contenues dans les étiquettes quand elles sont collectées par le composant d'intergiciel RFID (appelé, middleware). Ce composant se situe entre les lecteurs d'étiquettes et les bases de données applicatives. Il est en charge de collecter, filtrer et agréger des événements issus et remontés à des environnements RFID hétérogènes. L'approche est centrée sur l'utilisateur, qui peut définir la politque de vie privée s'appliquant aux données collectées et agrégées par le middleware. Elle intégre les éléments suivants: (i) mise en oeuvre d'une politique de vie privée sans interférer avec l'interface standard du middleware, (ii) expression des préférences de vie privée en utilisant le modèle PrivOrBAC et (iii) prise en compte des dimensions d'objectif déclaré de la requête, de précision des résultats produits et de consentement explicite de l'utilisateur. Un prototype a été développé pour illustrer la faisabilité de l'approche et a été appliqué à l'infrastructure Fosstrak, une implémentation open-source des spécifications du standard EPCglobal.