Progamme

Evolutions récentes des architectures matérielles
pour les cartes à puces multifonctions

L'industrie de la carte à puce après des années de stabilité dans la production de cartes traditionnelles (bancaires ou SIM) est en passe de se transformer radicalement. Les frontières deviennent de plus en plus floues entre les cartes à puce, les clés USB et les cartes mémoires. Tous les produits revendiquent une grande capacité de stockage, un niveau de sécurité important et une intégration aisée dans les systèmes d'information.
Notre exposé se propose de faire le point sur cette évolution en décrivant les architectures qui caractérisent ces nouveaux systèmes portables sécurisés. En ce qui concerne le matériel nous traiterons notamment de l'intégration des protocoles rapides comme USB, des mémoires flash haute capacité et des périphériques (écrans, boutons, capteurs). Pour la partie logicielle nous exposerons comment l'adoption de technologies standards venues du monde du web ou du PC facilitent l'intégration de ces nouveaux objets dans les infrastructures informatique existantes. Bien entendu toutes ces évolution posent de nombreux défi en matière de sécurité et nous en donnerons un aperçu.

Sécurité de la voix sur IP

De nouvelles opportunités de services utilisateurs, d'extension de couverture et de réduction des coûts apparaissent grâce aux technologies de Convergence Fixe-Mobile (FMC).

Cette présentation décrira les principales opportunités technologiques auxquelles les opérateurs font face telles que l'Unlicensed Mobile Access (UMA) et le protocole Session Initiation Protocol (SIP).

Elle s'efforcera de présenter les aspects sécurité de ces différentes technologies.

Biométrie, codage et cryptographie

Nous présentons tout d'abord les principes généraux de l'identification biométrique. Nous expliquons alors comment l'introduction de techniques cryptographiques pour renforcer la confidentialité des données entrant en jeu - et malgré la grande variabilité de leurs acquisitions - peut permettre d'augmenter le respect de la vie privée des utilisateurs des systèmes biométriques. Nous présentons ensuite différents schémas cryptographiques pour parvenir à nos fins. En particulier, l'utilisation de Secure Sketches est examinée sous un angle performances (codes correcteurs d'erreurs) et sous l'aspect sécurité (cryptographie).

Une partie du travail présenté a été effectuée lors du projet ANR BACH avec Julien Bringer, David Pointcheval, Malika Izabachène, Qiang Tang et
Sébastien Zimmer. Une autre partie a été réalisée avec Julien Bringer, Gérard Cohen, Bruno
Kindarji et Gilles Zémor.

Au cours de l'année 2007 les systèmes d'information occidentaux semblent avoir été victimes de vagues d'agressions sans précédent : les responsables de la sécurité du cyber-espace sont en émois. L'Estonie fut l'une des victimes les plus vindicatives, peu décidée à subir ces assauts qui mirent à mal les systèmes d'information de l'Etat. Les autorités désignèrent rapidement un coupable : la Russie. Dans le même temps les Etats-Unis annonçaient avoir été victimes d'agressions de grande ampleur contre leurs systèmes de sécurité et de défense. Eux aussi désignèrent leur coupable : l'armée chinoise. Puis ce fut au tour du Royaume-Uni, de la France, de l'Allemagne, de reconnaître des agressions similaires contre leurs propres systèmes. Sans être aussi directs que les américains, les européens à la recherche de coupables tournèrent leurs regards vers l'Asie.

La médiatisation de ces évènements ne doit cependant pas faire oublier qu'ils ne sont pas les premiers (et certainement pas les derniers non plus) qu'ait subis le cyber-espace. Mais ce qui semble faire la différence c'est aujourd'hui la nature des coupables désignés. Hier on parlait volontiers de « pirates informatiques », de vagues de cybercriminalité, de cyberdélinquance. Dans les évènements de 2007 le vocabulaire a changé, on parle ouvertement d' « attaques », on insiste sur la nature des cibles touchées (systèmes liés à la défense), et l'on n'hésite plus à accuser les forces armées d'une nation comme étant de potentiels coupables des agressions. Les enjeux ne sont alors plus les mêmes. Il ne s'agit plus de s'amuser (le jeune pirate qui lance un virus sur les réseaux pour faire la preuve de ses capacités), il ne s'agit pas de faire de l'argent en trompant des millions d'internautes (phishing, spamming, etc.) mais il s'agirait bel et bien d'attaquer un Etat perçu comme un adversaire et de chercher à le faire vaciller. Alors, plutôt que de parler de cybercriminalité, faudrait-il qualifier ces agressions d'actes de « guerre » ? Nous sommes tout au moins autorisés à parler d'actes de « guerre de l'information ».

L'objet de cette présentation sera d'introduire le concept de « guerre de l'information » : qu'est-ce que la guerre de l'information ? Qui en sont les acteurs dans le monde ? Quelles sont les doctrines militaires, leurs mises en œuvre ? Comment distinguer un acte de cybercriminalité d'un acte relevant de la guerre de l'information ? Quel est l'impact de cette distinction sur le droit applicable ? L'exposé s'appuiera sur l'analyse du concept dans quelques pays phares du nouvel ordre économique mondial qui est en train de se dessiner en ce début de 21° siècle : la Chine, l'Inde, le Japon, la Russie, Singapour et les Etats-Unis.