Chapitre II

La Sécurité dans les

Réseaux Ad Hoc

Résumé

Dans un réseau ad hoc tout voisin ou passant se trouvant dans la zone de couverture du
réseau peut potentiellement s'y raccorder. Cette faculté est d'autant plus gênante qu'à l'inverse
de ce qui se passe en filaire, l'intrus n'est pas forcément visible. Ce qui rend la sécurité de ce
type de réseau contre les différentes attaques, une tache très difficile à gérer. Pour ce faire des
techniques ont été abordé tels que les systèmes de détection, et de prévention d’intrusions et la
cryptographie.

Mot clés : la sécurité, les attaques, systèmes de détection d’intrusions, systèmes de prévention
d’intrusions, cryptographie
Chapitre II La Sécurité dans les Réseaux Ad Hoc

II.1 INTRODUCTION
La sécurité est un sujet essentiel pour favoriser le développement des échanges dans tous
les domaines. Elle Consiste à assurer un accès partagé à des ressources centralisées ou
distribuées et des services pour les utilisateurs autorisés.

Contrairement aux réseaux câblés, les réseaux ad hoc n'ont aucune sécurité physique de
bureaux ou de bâtiments confinés avec l'isolement du medium de communication sous forme
de fils, ainsi les moyens cryptographiques de la sécurité jouent un rôle important.

Il est clair que dans les réseaux ad hoc, on ne peut pas faire de telles hypothèses car les
messages peuvent être perdus, ou arriver avec différents délais pour différents récepteurs.

Les systèmes d'information sont aujourd'hui de plus en plus ouverts sur Internet. Cette
ouverture, a priori bénéfique, pose néanmoins un problème majeur, il en découle un nombre
croissant d'attaques. La mise en place d’une politique de sécurité autour de ces systèmes est
donc primordiale.

Outre la mise en place de pare-feux et de systèmes d'authentification de plus en plus

sécurisés, il est nécessaire, pour compléter cette politique de sécurité, d'avoir des outils
de surveillance pour auditer le système d'information et détecter d'éventuelles intrusions.

II.2 DEFINITION DE LA SECURITE

C’est l’ensemble des techniques qui assurent que les ressources du système d’information
(matérielles ou logicielles) d’une organisation donnée sont utilisées uniquement dans le cadre
où il est prévu qu’elles le soient. [Gui 09]

II.3 PROPRIETES DE SECURITE

Les propriétés de sécurité sont :

II.3.1 IDENTITE
II.3.1.1 Identification : Permet de discriminer par l'association d'une identité unique à un
élément, à un ensemble d'éléments (groupe) ; nécessaire seulement pour des communications
ciblées.

2
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

II.3.1.2 Authentification : Vérification que l'identité courante est bien associée/dérivée à

une/d’une identité de confiance, et aussi pour vérifier que le rôle est bien attribué. [Rig 05]

II.3.1.3 Non-répudiation : Assure qu’un message envoyé ne sera pas nié par son expéditeur
mais si un adversaire réussit à compromettre la clé d’un nœud légitime, cette propriété ne sera
plus vérifiée. [Gui 09]

NB : Sécuriser les données, c’est garantir : la non-répudiation pour éviter la contestation par
l'émetteur de l'envoi de données et l'authentification pour être sûr de son interlocuteur et La
confidentialité et l’intégrité.

II.3.2 LA CONFIDENTIALITE

Vise à assurer que seuls les sujets (les personnes, les machines ou les logiciels) autorisés
aient accès aux ressources et aux informations auxquelles ils ont droit. La confidentialité a
pour objectif d’empêcher que des informations secrètes soient divulguées à des sujets non
autorisés. L’objectif des attaques sur la confidentialité est d’extorquer des informations.

II.3.3 L’INTEGRITE

Vise à assurer que les ressources et les informations ne soient pas corrompues, altérées ou
détruites par des sujets non autorisés. L’objectif des attaques sur l’intégrité est de changer,
d’ajouter ou de supprimer des informations ou des ressources ;

II.3.4 LA DISPONIBILITE

Vise à assurer que le système soit bien prêt à l’emploi, que les ressources et les
informations soient en quelque sorte consommables, que les ressources ne soient pas saturées,
que les informations, les services soient accessibles et que l’accès au système par des sujets
non autorisés soit prohibé. L’objectif des attaques sur la disponibilité est de rendre le système
inexploitable ou inutilisable [Rig 05].

II.4 LES RISQUES LIES A LA SECURITE INFORMATIQUE

Les risques liés à la sécurité informatique sont :

II.4.1 L’ANALYSE DE RISQUE EN SECURITE

3
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

L’analyse de risque est nécessaire pour bien appréhender la problématique de la sécurité

dans les réseaux sans fil ad hoc.

La figure suivante retrace les différentes phases de ce processus

Figure II.1 Les étapes de l’analyse de risque : Les différentes phases d’analyse de risque qui
mènent au résultat de l’analyse

II.4.1.1 FONCTIONS ET DONNEES SENSIBLES

Les fonctions sensibles des nœuds d'un réseau sans fil Ad Hoc sont le routage, la
configuration, la gestion d'énergie, et les mécanismes de sécurité. Les données sensibles sont
directement liées via ces fonctions

II.4.1.2 EXIGENCES DE SECURITE DES RESEAUX AD HOC

Déterminer les exigences de sécurité d’un système nécessite d’appréhender l’ensemble

des contraintes qui pèsent sur ce système. On peut les répartir en six grands thèmes
traitant des/de la :

II.4.1.2.1 CARACTERISTIQUES DES NŒUDS

- Les participants peuvent posséder des systèmes hétérogènes qui doivent

s'interconnecter facilement.
- Certains éléments peuvent avoir de faibles capacités de calculs.

II.4.1.2.2 GESTION DE L’ENERGIE

- L'énergie doit être conservée au maximum pour éviter d'incessantes recharges du

système qui diminuent sa mobilité.

4
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

- Les nœuds chercheront donc à se mettre en veille le plus souvent possible, ce qui
provoquera une diminution de réactivité de l'ensemble du réseau.

II.4.1.2.3 CARACTERISTIQUES DU RESEAU

- La charge du réseau doit être distribuée équitablement entre les éléments en tenant
compte de leur capacité respective.

- Chaque élément d'un réseau ad hoc est autonome et possède à la fois les
fonctionnalités de relais et de point de communication.

- L'absence d'infrastructure centralisée sera une contrainte très forte pour la gestion des
accès aux ressources du réseau.

II.4.1.2.4 TECHNOLOGIE SANS FIL

Les perturbations dues à l'environnement radio peuvent entraîner des diminutions de

débit et bande passante.

II.4.1.2.5 MOBILITE

 Les éléments étant fortement mobiles, leur sécurité physique est moins assurée.

 La topologie du réseau peut changer d'autant plus rapidement que les nœuds sont
mobiles.

 lorsqu'un élément muni d'un récepteur particulièrement sensible est capable de capter
les émissions d'un autre nœud qui est hors de portée du premier élément.

II.4.1.2.6 CONFIGURATION

Elle facilite la gestion du réseau car l'interconnexion des éléments ne nécessite qu'un
minimum d'intervention technique externe. Cette fonctionnalité est de plus en plus
nécessaire pour un déploiement à grande échelle des réseaux Ad Hoc.

II.4.1.3 VULNERABILITES

5
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

Le récepteur adéquat peut potentiellement écouter ou perturber les messages échangés.

Les nœuds eux-mêmes sont des points de Vulnérabilités du réseau car un attaquant peut
compromettre un élément laissé sans surveillance.

II.4.1.4 MENACES

On distingue les menaces de type passif, où l'attaquant est limité à l'écoute et l'analyse du
trafic échangé, des menaces de type actif où l'attaquant se donnera les moyens d'agir sur la
gestion, la configuration et l'exploitation du réseau.

II.4.1.5 RESULTAT DE L'ANALYSE DE RISQUE

Après l'étude des besoins et exigences des réseaux ad hoc en terme de sécurité, puis les
vulnérabilités et menaces s'appliquant à ces réseaux nous avons pu dresser une liste des
attaques fortement probables ou faisables et qui constituent un risque non négligeable.

II.4.2 LISTE DES ATTAQUES

 Les dénis de services, apparaissent comme les attaques les plus faciles à réaliser par un
attaquant. La criticité de telles attaques dépend fortement du contexte d'utilisation
mais n'est jamais complètement négligeable.

 Les modèles de dénis de services qui suivent se dégagent plus particulièrement dans le
cas de réseau ad hoc :

 Brouillage du canal radio pour empêcher toute communication.

 Tentative de débordement des tables de routages des nœuds servant de relais.

 Dispersion et suppression du trafic en jouant sur les mécanismes de routage.

 Les attaques passives d'écoute et d'analyse du trafic constituent une menace certaine
pour la confidentialité et l’anonymat.

 L’usurpation de l’identité d’un nœud en leurrant les mécanismes de contrôle d’accès

permet de nombreuses attaques actives rendant particulièrement critiques la protection
des mécanismes de routage.

 L’attaque physique d’un élément valide d’un réseau sans fil ad hoc, entraînant la
compromission du nœud, se révèle comme étant un point faible de ces réseaux.

6
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

II.5 LA CRYPTOGRAPHIE

II.5.1 QUELQUES DEFINITIONS

II.5.1.1 LE CHIFFREMENT

Consiste à transformer une donnée lisible (ou clair) en une donnée illisible (ou
incompréhensible par un humain logiciel, ou cryptogramme) sans posséder la clé qui permet
de déchiffrer la donnée. [EXP 08]:

II.5.1.2 LE DECHIFFREMENT

C’est logiquement l’opération inverse du chiffrement. [EXP 08]

II.5.1.3 CRYPTAGE

C’est un anglicisme ambigu issu d’Encryption qui signifie en français… Chiffrement. [EXP
08]

II.5.1.4 DECRYPTAGE

Désigne l’acte de rendre clair un message chiffré sans en posséder la clé. [EXP 08]

II.5.2 DEFINITIONS COMPLEMENTAIRES UTILES

II.5.2 .1 CRYPTOGRAMME : message chiffré.

II.5.2 .2 CRYPTO-ANALYSE

Technique qui vise à étudier les messages chiffrés ou cryptogrammes en vue de les rendre
lisible (ou de les décrypter) Cryptographie : science qui vise à créer des cryptogrammes à
partir d’algorithmes de chiffrage. [EXP 08]

II.5.3 L’UTILITE DE LA CRYPTOGRAPHIE

Tous ces mots ont pour vocation, en vrac à :

 Empêcher la diffusion d’information sensible ou confidentielle = confidentialité

 Mettre en évidence si un document a été modifié (une commande de client, un

virement bancaire,…) = intégrité

 Faire en sorte que la compromission d’une donnée coûte trop chère à l’attaquant au
regard du contenu de la donnée = confidentialité & intégrité

 Protéger des mots de passe = confidentialité & intégrité

7
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

 Rendre illisible des bandes de sauvegardes, si elles devaient êtres perdues ou volées =
confidentialité

 Identifier une personne ou un système = authentification

 Empêcher la répudiation : c’est faire en sorte qu’un correspondant récepteur recevant

une donnée (mail, fichier,…) peut vérifier qu’il provient bien du destinataire annoncé ;
de même qu’un correspondant émetteur envoyant une donnée sera assuré que le
récepteur a bien reçu le document envoyé = non- répudiation[EXP 08]

II.5.4 - HACHAGE ET SIGNATURE

Le paradigme de signature électronique (appelé aussi signature numérique) est un

procédé permettant de garantir l'authenticité de l'expéditeur (fonction d'authentification) et de
vérifier l'intégrité du message reçu.

La signature électronique assure également une fonction de non-répudiation, c'est-à-dire

qu'elle permet d'assurer que l'expéditeur a bien envoyé le message (autrement dit elle
empêche l'expéditeur de nier avoir expédié le message).

Une fonction de hachage (parfois appelée fonction de condensation) est une fonction
permettant d'obtenir un condensé (appelé aussi condensat ou haché ou en anglais message
digest) d'un texte, c'est-à-dire une suite de caractères assez courte représentant le texte qu'il
condense. La fonction de hachage doit être telle qu'elle associe un et un seul haché à un texte
en clair (cela signifie que la moindre modification du document entraîne la modification de
son haché). D'autre part, il doit s'agir d'une fonction à sens unique (one-way function) afin
qu'il soit impossible de retrouver le message original à partir du condensé. S’il existe un
moyen de retrouver le message en clair à partir du haché, la fonction de hachage est dite « à
brèche secrète ».

8
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

Figure II.2 fonction de hachage : transformation d’un message en clair en message condensé
selon la fonction de hachage

Ainsi, le haché représente en quelque sorte l'empreinte digitale (en anglais finger print) du
document.

Les algorithmes de hachage les plus utilisés actuellement sont :

• MD5 (MD signifiant Message Digest). Développé par Rivest en 1991, MD5 crée une
empreinte digitale de 128 bits à partir d'un texte de taille arbitraire en le traitant par
blocs de 512 bits. Il est courant de voir des documents en téléchargement sur Internet
accompagnés d'un fichier MD5, il s'agit du condensé du document permettant de
vérifier l'intégrité de ce dernier)
• SHA (pour Secure Hash Algorithm, pouvant être traduit par Algorithme de hachage
sécurisé) crée des empreintes d'une longueur de 160 bits
• SHA-1 est une version améliorée de SHA datant de 1994 et produisant une empreinte
de 160 bits à partir d'un message d'une longueur maximale de 264 bits en le traitant par
blocs de 512 bits. [site1]

Dans les deux cas, il s’agit de générer une empreinte quasiment unique d’une donnée
(mail, fichier, …) afin de s’assurer que le contenu n’a pas été modifié sinon l’empreinte serait
différente.

L’empreinte peut être appelée aussi condensat, hash, ou encore somme de contrôle.

On retrouve ce mécanisme de prise d’empreinte dans la gestion de mot de passe associé aux
mécanismes d’authentification, dans certains protocoles de communication, l’échange de
mails, l’échange de fichiers (notamment les exécutables) [EXP 08]

9
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

Il y a quelques différences importantes entre ces deux techniques qu’on les résume dans le
tableau ci-après:

Hachage Signature

Vérifier que le contenu n’a pas été modifié Identifier l’auteur d’un document
(intégrité). (identité).

Produit toujours la même empreinte S’assurer que le document na pas été

numérique. modifie (intégrité).

Utiliser une variable complémentaire telle Nécessite une clé.

qu’une clé de sel telle que date/heure.

Tableau II.1 hachage vs signature : ce tableau illustre la différence entre l’hachage et la

signature

II .5.6 FONCTIONNEMENT DE HACHAGE

Un algorithme va digérer un message ou document, puis en sortir une suite numérique
d’une certaine longueur, qui sera l’empreinte du document.

Un algorithme donné produira toujours la même longueur de l’empreinte numérique. La

fonction de Hachage ne permet de reproduire le message d’origine (en principe), ce n’est donc
pas une fonction de cryptage. [EXP 08]

II.6 LE PROBLEME DE ROUTAGE DANS LES RESEAUX AD HOC

Il apparait clairement que les attaques sur les mécanismes de routage sont particulièrement
critiques. Donc on étudier cette problématique comme suit.

II.6.1 LE ROUTAGE DE PAQUETS

Afin de comprendre les attaques sur les protocoles de routage, il est nécessaire de
comprendre leur fonctionnement global.

Lorsqu'un nœud dans un réseau veut émettre un message vers un autre nœud, il regarde
dans sa table de routage si une route existe pour ce nœud. Si elle n'existe pas, il initie une
découverte de route, “ route discovery“, en diffusant sur le réseau, dans les airs pour les accès
sans fil, un message de type “route request“.

10
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

Le message de “route request“ contient l'adresse du nœud émetteur, l'adresse du nœud

destinataire, un marqueur permettant d'identifier la découverte de route et une liste
initialement vide à remplir par les nœuds intermédiaires.

Lorsqu'un nœud intermédiaire reçoit ce paquet, s'il n'en est pas le destinataire et si sa table
de routage n'indique pas de chemin pour le nœud recherché, il diffuse à son tour le paquet de
type “route request“ en rajoutant son adresse à la liste de nœuds intermédiaires.

Dans le cas ou le nœud intermédiaire possède dans sa table de routage un chemin pour le
nœud destinataire, la majorité des protocoles prévoit que le nœud intermédiaire renvoie
directement un message de type “route reply “ à l'émetteur en indiquant ce chemin.

Lorsqu'un paquet de requête atteint son destinataire, ce dernier émet un paquet de réponse
du type “route reply“. Ce paquet transite par les nœuds intermédiaires de la liste, Lorsque la
réponse atteint l'initiateur de la découverte de route, ce dernier met à jour sa table de routage
avec cette nouvelle route, qui consiste en la liste des nœuds intermédiaires avec un coût
associé.

Le coût sert aux nœuds à effectuer un choix entre deux routes menant à la même
destination. Il peut être basé sur le nombre de nœuds intermédiaires traversés ou sur des
critères plus complexes comme le débit, la fiabilité des liaisons ou la taille des paquets. Si
l'initiateur reçoit ultérieurement une indication comme quoi cette destination peut-être jointe
avec un coût plus faible par un autre chemin, la table sera mise à jour avec la route ayant le
coût le plus faible.

Une fois une route établie, un protocole de routage doit aussi mettre en œuvre un
mécanisme de maintenance des routes pour gérer les événements comme la coupure d'un lien
entre deux nœuds par lesquels transitent des messages. Lorsqu'un nœud reçoit un paquet de
données pour une destination vers laquelle il ne peut plus émettre, il renvoie un message
d'erreur de type “route error vers la source du paquet de données.

La route doit alors être supprimée de la table de routage. [Meh 07]

II.6.2 LES ATTAQUES LIEES AUX PROTOCOLES DE ROUTAGE

Si aucun contrôle n'est fait sur la provenance et l'intégrité des messages de routage du
réseau ad hoc, un nœud malicieux pourra facilement causer des perturbations au réseau.

11
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

Si un nœud malicieux a la capacité de retenir l'identité d'un nœud valide du réseau, il peut
lors du mécanisme de découverte de route répondre au nœud initiateur avec un message de
type route reply en annonçant un chemin, avec un coût minimal, vers le nœud demandé.

Le nœud émetteur mettra alors sa table de routage a jour avec cette fausse route. Les
paquets de données du nœud émetteur vers le nœud destinataire transiteront par le nœud
malicieux qui pourra tout simplement les ignorer. Cette attaque est appelée black hole.

Les paquets sont captes et absorbes par le nœud malicieux.

La figure 2 illustre cette attaque. [Meh 07]

M
S
Diffusion par S d’une route Route
reque D
Request pour trouver un st
Chemin vers le nœud D

Chaque nœud rediffuse

Chaque
son nœud
paquet rediffuse son
en rajoutant S
son adresse D
paquet en rajoutant

son adresse

Route reply
de M
M

le nœud malicieux M renvoie S

une route reply a S plus optimisée en D

nœuds intermediaires que

la route reply du nœud D

Route reply
de D

12
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

Figure II.2 Attaque black hole :Le noeud malicieux M capte le trac dédié au noeud D

II.6.3 CLASSIFICATION DES ATTAQUES

II.6.3.1 Attaque interne ou externe :si l’adversaire compromet un nœud déjà existant pour
accéder au réseau l’attaque sera interne.dans le cas ou il se connecte de l’exterieur on parlera
d’attaque externe.

II.6.3.2Attaque passive ou active :le but d’une attaque active est de modifier le protocole
pour que le trafic passe par un nœud controlé par l’adversaire‚par contre une attaque passive
prive le réseau de la confidentialité des messages échangés.

II.6.3.3Attaque individuelle ou attaque distribuée : dans une attaque individuelle;une seule

entitéest utilisée. Des attaques plus évoluées appelés attaque distribuée invoquent plusieurs
station et proviennent de plusieurs sources.ce genre d’attaque est plus dangereux et difficile
à detecter.

On cite quelques fameuses attaques liées en particulier au routage ad hoc

- Black hole

- Green hole

- Replay ou rejeu…...[Gui 09]

II.7 LES SYSTEMES DE DETECTION D’INTRUSIONS (IDS)

Afin de détecter les attaques que peut subir un système, il est nécessaire d’avoir un logiciel
spécialisé dont le rôle serait de surveiller les données qui transitent sur ce système, et qui
serait capable de réagir si des données qui semblent suspectes. Plus communément appelé
IDS (Intrusion Detection Systems).

II.7.1 DEFINITION

C’est l’ensemble de composants logiciels et matériels dont la fonction principale est

de détecter et analyser toute tentative d’effraction (volontaire ou non).

II.7.2 FONCTIONS

13
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

Détection des techniques de sondage (balayages de ports, finger printing), des

tentatives de compromission de systèmes, d’activités suspectes internes, des activités virales
ou encore audit des fichiers de journaux (logs).

Remarque : théoriquement, il s’agit d’un système capable de détecter tout type d’attaque.

Certains termes sont souvent employés quand on parle d’IDS :

• Faux positif : une alerte provenant d’un IDS mais qui ne correspond pas à une
attaque réelle.

• Faux négatif : une intrusion réelle qui n’a pas été détectée par l’IDS [Dav 06]

II.7.3 LES DIFFERENTS TYPES D’IDS

II.7.3.1 LES SYSTEMES DE DETECTION D’INTRUSIONS DE TYPE HOTE (HIDS)

Un HIDS se base sur une unique machine, n’analysant cette fois plus le trafic réseau mais
l’activité se passant sur cette machine. Il analyse en temps réel les flux relatifs à une machine
ainsi que les journaux.

Un HIDS a besoin d’un système sain pour vérifier l’intégrité des donnés. Si le système a été
compromis par un pirate, le HIDS ne sera plus efficace.

II.7.3.2 LES SYSTEMES DE DETECTION D’INTRUSIONS DE TYPE RESEAU

(NIDS)
* Un NIDS écoute donc tout le trafic réseau, puis l’analyse et génère des alertes si des
paquets semblent dangereux.

* Les NIDS étant les IDS plus intéressants et les plus utiles du fait de l’omniprésence des
réseaux dans notre vie quotidienne.

II.7.3.3 LES SYSTEMES DE DETECTION D’INTRUSIONS « HYBRIDES »

Généralement utilisés dans un environnement décentralisé, ils permettent de réunir les
informations de diverses sondes placées sur le réseau. Leur appellation « hybride » provient
du fait qu’ils sont capables de réunir aussi bien des informations provenant d’un système
HIDS qu’un NIDS.

II.7.4 DETECTION D’INTRUSION ET REPONSE DISTRIBUEES

14
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

La progression et l’évolution à grande échelle des réseaux informatiques posent plus que
jamais le problème de leur sécurité. L’objectif principal d’un système informatique sécurisé
est de se conformer aux spécifications de la politique de sécurité établie pour le système.
Celle-ci consiste en un ensemble de règles définissant les droits, autorisations et obligations
d’accès aux données et ressources du système par des agents (humains ou logiciels).
L’intrusion à un système informatique consiste en un ensemble d’actions permettant de violer
des règles établies dans la politique de sécurité telle que :
• la règle de confidentialité qui peut être violée si un agent intrus accède illégalement à
une information (comme le mot de passe par exemple) ;
• la règle d’intégrité des données, qui peut être violée si l’intrus peut créer, modifier ou
détruire une donnée ;
• la règle d’accessibilité, qui peut être violée, si une ressource ou un service du système
devient inaccessible à un utilisateur (déni de service) suite a une intrusion. [SAH 03]
II.7.4.1 PROBLEMATIQUE ET ETAT DE L’ART DU DOMAINE
Le champ des recherches dans le domaine de la détection d’intrusion est très actif. les
premières implémentations voient le jour, toutes basées sur l’utilisation de systèmes experts.
En effet, beaucoup d’approches modernes proposent encore de tels modèles centralises,
malgré une évidente fragilité et une forte inadéquation avec les exigences des systèmes
distribués actuels. Malgré ces nombreux efforts, la technologie des systèmes de détection
d’intrusion reste encore immature et inefficace actuellement. Ses faiblesses tiennent en partie
à:
 la difficulté d’identification des attaques : de nouvelles formes d’attaques émergent
continuellement, avec l’´evolution des systèmes informatiques. Actuellement il existe
deux approches de détection d’intrusion: la première se base sur la détection
d’anomalies dans le comportement des usagers (Anomaly Based Detection). Elle se
base sur le calcul d’une déviation entre un nouveau comportement et un ensemble de
comportements considérés comme normaux, collectés lors d’un fonctionnement
normal du système ; la seconde se base sur l’analyse de signatures d’attaques (Misuse
Based Detection). Le principe de cette détection, consiste à analyser un fichier d’audit
pour rechercher des formes d’attaques similaires a des signatures d’attaques
répertoriées dans une base de données ;
 la croissance sans cesse grandissante des réseaux : qui rendent les architectures
classiques monolithiques complètement impraticables. La distribution est devenue une

15
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

nécessité. Récemment, les travaux dans ce domaine se sont intéressés a l’exploitation

de la technologie des agents mobiles pour le développement des systèmes de détection
et de réponse hautement distribués.
 la croissance de la complexité des attaques : l’´evolution du niveau de connaissances
des attaquants et la multiplication des points d’attaques, nécessitent de mettre en
œuvre des stratégies de détection plus élaborées. On a vu émerger dernièrement des
travaux s’intéressant à combiner différents niveaux d’attaques ou à établir des
corrélations entre différents types d’attaque. Ceci afin d’affiner le processus de
détection et d’´eviter les fausses alertes (false positives), tout en ne laissant pas passer
les vraies attaques (false négatives). [SAH 03]

II.7.4.2 EXEMPLE DE CONTRIBUTION

Afin d’appréhender les faiblesses évoquées ci-dessus, nous proposons un exemple de
contribution qui a déjà été étudié et qui consiste en :
La proposition d’un Système Distribué de Détection d’Intrusion et de Réponse (SD-DIR)
fondé sur une approche naturo-inspirée pour la détection d’intrusion et la réponse distribuée.
Le SDDIR proposé est composé d’un système multi-agents situés et mobiles combinant la
métaphore des systèmes immunitaires pour la détection et la métaphore de fourragement des
insectes sociaux pour la réponse. Ce système utilise la notion d’intelligence en essaim
(swarm intelligence), tant au niveau des phases de détection (système immunitaire) et de
réponse (insecte sociaux) qu’au niveau de leur combinaison.
Les objectifs qui ont été poursuivis par une telle proposition sont :
 l’efficacité d’un système de détection. Le but étant d’exploiter autant l’intérêt
de la détection multi-points (équilibrage de la charge et de la latence réseau,
l’adaptation a des environnements hétérogènes, la tolérance aux fautes) que les
caractéristiques offertes par la métaphore des systèmes immunitaires
(apprentissage adaptatif, autodéfense, déviation des comportements standards

 la réactivité d’un système de réponse collectif. Les comportements de réponse

sont implantés en exploitant les gradients d’information dynamiques mappés
sur le réseau. Chaque agent de réponse perçoit seulement ces gradients
construits pendant le processus de détection ;

16
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

 la robustesse et la furtivité d’un système basé sur la technologie des agents

mobiles. Les agents de détection et de réponse dont les comportements
incluent une part d’aléatoire, réduisant la probabilité d’interaction avec du code
potentiellement hostile.
Cette contribution à ce système a concerne principalement la partie portante sur la mise en
œuvre de l’alerte et sa prise en compte par le système de réponse. Elle se déclines-en :
 la combinaison de la détection d’intrusion et de la réponse dans un même système
distribué et réactif ;
 un mécanisme de traçage et de la source d’une attaque, fondé sur la stigmergie et la
réification de l’alerte par une structure contenant les informations nécessaires à son
contrôle ;
 un mécanisme de régulation de la réaction des agents de réponse à la prise en compte
d’une alerte ; [SAH 03]

II.7.4.3 LA COMBINAISON DE LA DETECTION D’INTRUSION ET DE LA

REPONSE
Une proposition de l’usage de la stigmergie via une structure phénoménale pour la diffusion
d’une alerte et sa prise en compte par les agents de réponse a été mise en place. Les agents de
détection et de réponse, communiquent donc par stigmergie via cette structure phénoménale.
Le système générique à base de serveurs de phéromones utilisé pour le problème
d’équilibrage multicritères, a été aussi utilisé dans ce cadre. La sédentarité des serveurs de
phéromones constitue une faiblesse dans le cadre de la sécurité. En effet, les attaques dirigées
sur ces serveurs, peuvent faire s’écrouler tout le système de contrôle.
Traçage de la source d’une attaque Afin de répondre à la faiblesse de la sédentarité des
serveurs de phéromones, un mécanisme de traçage de la
source de l’attaque a été donc proposé. Ce mécanisme est fondé sur la réification de l’alerte
par une structure phénoménale contenant les informations suivantes :
 l’identifiant IdA de l’agent détecteur (AD) ayant détecté l’activité suspecte et qui a
construit la phéromone ;
 l’indice de suspicion de l’alerte SI, qui correspond à la déviation calculée par le
système de détection entre une activité normale et l’activité considérée comme
suspecte.

17
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

 le nombre de saut Hop, qui correspond à la distance de diffusion de l’alerte, à partir du

nœud source ;
 gradient phénoménal Gd qui correspond à la valeur du gradient de la phéromone.
Cette information est utile pour les agents de réponse ;
 la date t0, qui correspond à la date de détection de l’attaque sur le nœud initial (date de
construction de la phéromone) ;
 la date ti, qui correspond à la date de dépôt de la phéromone sur le nœud intermédiaire
i durant la propagation de la phéromone.
Pour la suite de cette description, nous considérons i comme le numéro du ieme nœud atteint
par la phéromone au cours de sa propagation, i variant de 0 (premier nœud) à n (dernier
nœud).
Une population d’agents de propagation de la phéromone diffuse la phéromone construite par
les agents de détection (AD). Ils se déplacent aléatoirement à partir du nœud où la détection a
eu lieu, le long d’un chemin de longueur Hop spécifié dans la phéromone digitale. La
phéromone déposée à un nœud i, contient la date ti, de son dépôt qui sert au calcul du temps
au bout duquel elle s’évapore.
Le processus d’´evaporation commence au dernier nœud ou à ´été déposée la phéromone.
Ceci afin de maintenir le lien entre la source et un nœud intermédiaire i, au cours du processus
d’´evaporation. Pour ce faire, on définit un indice ∆, correspondant a la durée de vie de la
phéromone sur le dernier nœud n. Apres l’´ecoulement de la durée ∆, la phéromone disparait
du dernier nœud, puis successivement des nœuds intermédiaires, après une durée calculée
comme la somme de trois paramètres :
• la durée de la diffusion de la phéromone entre le nœud i et le dernier nœud n, notée
Diff ;
• l’indice d’´evaporation ∆;
• la durée de l’´evaporation entre le dernier nœud n et le nœud i, notée Disp.
Comme nous considérons que la phéromone s’évapore le long du chemin inverse a la même
vitesse a laquelle elle a été diffusée, Disp est égale a Diff. [SAH 03]:
Le temps Tevap(i) d’évaporation de la phéromone a un nœud i est alors donné par :

18
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

II.7.4.4 REGULARISATION DE LA REACTION DES AGENTS DE REPONSE

Lorsqu’un agent de réponse AR, prend en compte une alerte provenant d’une source donnée,
il faut éviter que tous les agents qui perçoivent l’alerte, remontent vers la source, pour y
répondre. Par ailleurs, pour des raisons de robustesse et de tolérance aux fautes, il faut éviter
que la réponse a une alerte, ne soit prise en compte que par un agent de réponse unique. Pour
ce faire, un mécanisme d’atténuation de la persistance d’une alerte a été introduit. Cette
atténuation intervient comme une rétroaction négative en accélérant le processus
d’évaporation. Pour ce faire, nous avons introduit un mécanisme d’inhibition de la phéromone
a chaque nœud visité par un agent de réponse AR. [FAH 02]

II.7.4.5 LIMITATION DE NOMBRE D’AGENTS DE REPONSE

Un premier agent de réponse AR1, arrivant sur un nœud i doit agir entre le temps ti et le
temps Tevap(i). On appelle tA1(i) la date d’intervention de cet agent. La durée d’intervention
de cet agent est égale a :

Donc, après la date tA1(i), le temps restant avant que la phéromone ne s’évapore
complètement au nœud i, est :

Supposons qu’un deuxième agent AR2, atteint le nœud i durant cette période. Comme le
premier agent AR1 a déjà commencé à tracer le chemin vers la source de l’attaque,l’inhibition
agit en diminuant le temps restant pour l’AR suivant AR2, d’un certain taux (pourcentage)
noté Ƭ (0 <Ƭ < 1), que nous appellerons indice d’inhibition.
Le temps restant pour l’intervention du deuxième agent AR2 est alors égal a :

19
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

L’agent AR2 doit alors atteindre le nœud i a la date tA2(i) tel que :

Ce processus d’inhibition est répété pour tout agent de réponse AR détectant la même
phéromone au même nœud i, jusqu’a la disparition complète de la phéromone. Le mécanisme
d’évaporation classique reste actif en dehors du mécanisme d’inhibition. [FAH 02]

II.7.5 POINTS NEGATIFS DES IDS

- Technologie complexe.

- Nécessite un degré d’expertise élevé.

- Long à optimiser.

- Réputer pour générer de fausses alertes.

- Encore immature. [Ale 09]

II.8 LES SYSTEMES DE PREVENTION D’INTRUSIONS (IPS)

II.8.1 DEFINITION

C’est l’ensemble de composants logiciels et matériels dont la fonction principale est

d’empêcher toute activité suspecte détectée au sein d’un système. [Dav 06]

II.8.2 OBJECTIFS

• Interrompre une connexion.

• Ralentir la connexion.

• Black lister les sources.

II.8.3 LES DIFFERENTS TYPES D’IPS

II.8.3.1 LES SYSTEMES DE PREVENTION D’INTRUSIONS « KERNEL »
(KIDS/KIPS)

20
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

Prenons l’exemple d’un serveur web, sur lequel il serait dangereux qu’un accès en
lecture/écriture dans d’autres répertoires que celui consultable via http, soit autorisé. En effet,
cela pourrait nuire à l’intégrité du système. Grâce à un KIPS, tout accès suspect peut
être bloqué directement par le noyau, empêchant ainsi toute modification dangereuse
pour le système.

Le KIPS peut reconnaître des motifs caractéristiques du débordement de mémoire, et peut

ainsi interdire l’exécution du code. Le KIPS peut également interdire l’OS d’exécuter un
appel système qui ouvrirait un Shell de commandes.

Puisqu’un KIPS analyse les appels systèmes, il ralentit l’exécution. C’est pourquoi ce
sont des solutions rarement utilisées sur des serveurs souvent sollicités.

Exemple de KIPS : SecureIIS, qui est une surcouche du serveur IIS de Microsoft.

a) avantages
 Attaque bloquée immédiatement

b) inconvénients
 Il bloque toute activité qui lui semble suspecte. Or, il est impossible d’assurer une
fiabilité à 100% dans l’identification des attaques.

 Un pirate peut utiliser sa fonctionnalité de blocage pour mettre hors service un

système.

 Un IPS est peu discret. En effet, à chaque blocage d’attaque, il montre sa présence.
Cela peut paraître anodin, mais si un pirate remarque la présence d’un IPS, il tentera
de trouver une faille dans celui-ci afin de réintégrer son attaque mais cette fois en
passant inaperçu.

Voilà pourquoi les IDS passifs sont souvent préférés aux IPS. Cependant, il est
intéressant de noter que plusieurs IDS (Ex : Snort, Real Secure, Dragon, ...) ont été
dotés d’une fonctionnalité de réaction automatique à certains types d’attaques. [Dav 06]

II.9 LES FIREWALLS

21
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

Ne sont pas des IDS à proprement parler mais ils permettent également de stopper des
attaques. Nous ne pouvions donc pas les ignorer.

Les firewalls sont basés sur des règles statiques afin de contrôler l’accès des flux. Ils
travaillent en général au niveau des couches basses du modèle OSI (jusqu’au niveau 4), ce qui
est insuffisant pour stopper une intrusion. Par exemple, lors de l’exploitation d’une faille
d’un serveur Web, le flux HTTP sera autorisé par le firewall puisqu’il n’est pas capable de
vérifier ce que contiennent les paquets.

Il existe trois types de firewalls :

II.9 .1 LES SYSTEMES A FILTRAGE DE PAQUETS SANS ETAT

Analyse les paquets les uns après les autres, de manière totalement indépendante.

II.9 .2 LES SYSTEMES A MAINTIEN D’ETAT (STATEFUL)

Vérifient que les paquets appartiennent à une session régulière. Ce type de firewall
possède une table d’états où est stocké un suivi de chaque connexion établie, ce qui permet
au firewall de prendre des décisions adaptées à la situation.

Ces firewalls peuvent cependant être outrepassés en faisant croire que les paquets
appartiennent à une session déjà établie.

II.9 .3 LES FIREWALLS DE TYPE PROXY

Le firewall s’intercale dans la session et analyse l’information afin de vérifier que les
échanges protocolaires sont conformes aux normes.

II.10 LES METHODES DE DETECTION

Pour bien gérer un système de détection d’intrusions, il est important de comprendre
comment celui-ci fonctionne. Une question simple se pose alors : comment une intrusion est-
elle détectée par un tel système ? Quel critère différencie un flux contenant une attaque d’un
flux normal ?

De là, nous en avons déduit deux techniques mises en place dans la détection
d’attaques. La première consiste à détecter des signatures d’attaques connues dans les
paquets circulant sur le réseau. La seconde, consiste quant à elle, à détecter une
activité suspecte dans le comportement de l’utilisateur.

22
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

II.10.1 L’APPROCHE PAR SCENARIO (MISUSE DETECTION)

Cette technique s’appuie sur la connaissance des techniques utilisées par les attaquants
pour déduire des scénarios typiques. Elle ne tient pas compte des actions passées de
l’utilisateur et utilise des signatures d’attaques (ensemble de caractéristiques permettant
d’identifier une activité intrusive : une chaîne alphanumérique, une taille de paquet
inhabituelle, une trame formatée de manière suspecte, …).

II.10.1.1 Recherche de motifs (PATTERN MATCHING)

La méthode la plus connue et la plus à facile à comprendre. Elle se base sur la recherche
de motifs (chaînes de caractères ou suite d’octets) au sein du flux de données. L’IDS
comporte une base de signatures où chaque signature contient les protocoles et port utilisés
par l’attaque ainsi que le motif qui permettra de reconnaître les paquets suspects.

Cette technique est également utilisée dans les anti-virus.

Avantage

 Pour les IDS utilisant cette méthode, il est nécessaire d’adapter la base de
signatures en fonction du système à protéger. Cela permet non seulement de
diminuer les ressources nécessaires et donc augmenter les performances ; mais
également réduire considérablement le nombre de fausses alertes et donc
faciliter le travail des administrateurs réseaux qui analyseront les fichiers d’alertes.
[Dav 06]

 Simplicité de mise en œuvre.

 Rapidité de diagnostic [Ale 09]

Inconvénients

 Ne détecte que les attaques connues.

 les motifs sont en général fixes. Or une attaque n’est pas toujours identique à
100%‚Le moindre octet différent par rapport à la signature provoquera le non
détection de l’attaque. [Dav 06]

II.10.2 L’APPROCHE COMPORTEMENTALE (ANOMALY DETECTION)

23
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

Cette technique consiste à détecter une intrusion en fonction du comportement passé de

l’utilisateur. Pour cela, il faut préalablement dresser un profil utilisateur à partir de ses
habitudes et déclencher une alerte lorsque des événements hors profil se produisent.

Cette technique peut être appliquée non seulement à des utilisateurs mais aussi à des
applications et services. Plusieurs métriques sont possibles : la charge CPU, le volume
de données échangées, le temps de connexion sur des ressources, les heures de
Connexion… Cependant elle possède quelques inconvénients :

• Peu fiable : tout changement dans les habitudes de l’utilisateur provoque une alerte.

• Nécessite une période de non fonctionnement pour mettre en œuvre les mécanismes

d’auto-apprentissage : si un pirate attaque pendant ce moment, ses actions seront

assimilées à un profil utilisateur, et donc passeront inaperçues lorsque le système de
détection sera complètement mis en place.

• l’établissement du profil doit être souple afin qu’il n’y ait pas trop de fausses alertes : le
pirate peut discrètement intervenir pour modifier le profil de l’utilisateur afin d’obtenir

II.10.3 LES METHODES REPANDUES

En général, les IDS mélangent les différentes techniques de détection par scénario en
proposant du pattern matching, de l’analyse protocolaire et de la détection d’anomalies.

De nombreuses techniques et algorithmes sont utilisés dans la détection d’intrusions :

 Pattern Matching :

 algorithmes de recherche de motifs (ex : Boyer-Moore)

 algorithmes de comptage

 algorithmes génétiques

 Analyse Protocolaire : conformité aux RFC

 Détection d’anomalies : méthodes heuristiques

 Analyse statistique : modèles statistiques

24
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

 Analyse probabiliste : réseaux bayésiens [Dav 06]

II.11 OU PLACER UN IDS IPS ?

 Voir les attaques (HoneyPot).

 Connaitre les failles de sécurité.

 surveiller les attaques sur un réseau

• Extérieur

• Intérieur

Cette figure illustre où on place un IPS IDS. [Ale 09]

Figure II.3 : les position où on place un IPS IDS

II.12 CONCLUSION

Ce chapitre montre à quel point les réseaux Ad hoc constituent, de par leur nature, un
formidable challenge pour la sécurité informatique. D’après le chapitre précédent nous avons

25
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis
Chapitre II La Sécurité dans les Réseaux Ad Hoc

vu toutes les contraintes (caractéristiques de réseau ad hoc) concourent à rendre la sécurité des
réseaux ad hoc difficile et complexe à appréhender.

Il apparaît clairement que les mécanismes de routage constituent un point sensible pour la
sécurité des réseaux Ad hoc, car un attaque d’un nœud malicieux a la capacité de retenir
l'identité d'un nœud valide du réseau, ces attaques distribuées seront toujours dangereux si
la plupart des machines personnelles ne sont pas protégées, alors pour cela les
chercheurs ont découvert deux solution (IPS,IDS) pour répondre à la question : comment
détecter et empêcher ces attaques? Sachant que les outils essentiels : surveillent un réseau et
connaissent les attaques.

La prise en compte de problème de l'authentification des nœuds et des messages échangés

d’un coté et le problème des mécanismes du routage sécurisés de l'autre, doit se faire
rapidement afin d'assurer un déploiement des réseaux ad hoc fiables et sécurisés.

Nous avons éventuellement abordé un domaine très vaste qui s’agit de l intelligence en
essaim, ce domaine qui se base sur le comportement des animaux pour résoudre les
problèmes rencontrés surtout dans des environnements mobiles.

26
Sécurité des Réseaux Ad Hoc en utilisant les Algorithmes des Fourmis