En 2016, une cyber-attaque de grande ampleur de type déni de service utilisait le malware Mirai sur plus de 145 000 objets connectés comme des caméras de surveillance ou des routeurs de maison pour faire tomber des serveurs de grandes entreprises. Aujourd’hui, tous les objets connectés sont susceptibles d’être utilisés pour monter des cyber-attaques qui peuvent être dévastatrices. Il s’agit donc d’être capable d’assurer la sécurité informatique des usines intelligentes, villes intelligentes, capteurs, caméras, téléphones mobiles, montres, équipements de maison, de voiture, de santé.
C’est le cœur du projet DigiTrust, un des 3 nouveaux projets IMPACT, fer de lance de l'initiative Lorraine Université d’Excellence de l’Université de Lorraine.
La sécurité autour de quatre axes et un seul mot : la confiance
Porté par Marine Minier, professeure à l’Université de Lorraine et chercheuse au sein de l’équipe Caramba et Régis Lhoste, responsable de projet, le projet DigiTrust vise à construire la confiance digitale du citoyen autour de quatre axes de recherche. Il s’agit tout d’abord de renforcer la confiance et la sécurité pour les systèmes dits cyber-physiques, c’est-à-dire les systèmes informatiques qui sont en lien avec le monde réel comme les usines du futur, ou tous les organismes dits d’importance vitale comme les transports, les hôpitaux ou les fournisseurs d’énergie. Pour ce faire, le projet DigiTrust s’appuiera sur l’expertise du LORIA en matière de méthodes formelles et celle du CRAN en matière de théorie du contrôle et de diagnostic.
Il faudra également en parallèle s’assurer de la sécurité et de la confiance de chaque équipement constituant ces systèmes ainsi que de chaque équipement personnel. L’expertise du LORIA en matière de cryptographie et de malware sera donc essentielle pour mener à bien cette tâche. De plus, DigiTrust vise également à renforcer la confiance dans les systèmes numériques c’est à dire les services dans lequel l’utilisateur a une interaction quotidienne avec un système d’information comme le cloud ou les environnements collaboratifs. Le projet s’intéressera à la manière dont la technologie de stockage et de transmission d'informations à l’intérieur des services doit rester transparente, sécurisée, privée voire décentralisée.
Une fois la confiance assurée dans chaque équipement, il faut s’intéresser à la sécurité des réseaux interconnectant ces objets notamment en surveillant ces réseaux et aux protocoles de sécurité associés notamment les protocoles cryptographiques. La vérification des protocoles cryptographiques peut se faire en utilisant des méthodes formelles notamment pour des protocoles complexes comme le vote électronique. La surveillance du réseau concerne les menaces dites persistantes avancées qui sont en fait des attaques récurrentes. Pour cela, le projet DigiTrust utilisera notamment les outils du Big Data ou de l’intelligence artificielle tout en tenant compte des nouveaux paradigmes des réseaux comme les SDN (Software Defined Networks pour l’acronyme anglais) qui permettent la virtualisation des ressources réseaux en les dissociant des éléments physiques du réseau.
Enfin, DigiTrust s’intéressera aussi à la confiance et aux systèmes de réputation dans les réseaux et notamment les réseaux sociaux. Il s’appuiera sur des travaux de recherche portant sur la transparence des algorithmes, sur les systèmes de recommandation, sur la protection des données personnelles dans les réseaux sociaux via les méthodes formelles mais aussi grâce à l’apprentissage automatique ou machine learning ou au Big Data. Les sciences humaines et sociales seront également sollicitées en s’intéressant d’un point de vue juridique et économique aux notions de contrats, ceux portant par exemple sur les données personnelles et également d’un point de vue psychologique à la confiance en des organisations virtuelles.
Placé au cœur du projet DigiTrust, le citoyen doit ainsi comprendre ce qu’il utilise pour qu’il n’ait pas peur de vivre dans ce nouvel environnement qui peut parfois le submerger.
Un projet multipartenaire
Le projet DigiTrust se construit autour de six laboratoires partenaires : le LORIA, le CRAN, l’IECL, le BETA, l’IRENEE et le 2LPN et incluera les entreprises locales afin de faire du transfert vers entreprises et de collaborer avec notamment les agences gouvernementales et la CNIL. Les partenaires institutionnels de DigiTrust sont le CNRS, l'Inria et l'Université de Lorraine.
Le projet est également réalisé en collaboration avec l’université du Luxembourg et le Saarland car il représente la partie française de la collaboration franco-allemande entre CISPA et l’Université de Lorraine. Deux financements de thèse ont déjà été accordés dans le cadre du projet DigiTrust.
Au total, environ 45 membres permanents participent à ce consortium de projet, qui sera dans un second temps ouvert à d'autres chercheurs ou entreprises.
L'un des objectifs institutionnels de DigiTrust est de créer un Institut pour la confiance numérique dans la région du Grand Est de la France qui met l'accent sur les aspects civils et sociétaux et qui regroupe des acteurs du monde universitaire, mais aussi de la société civile, des entreprises et de la politique. Une mission de DigiTrust et de l'Institute for Digital Trust dans la région du Grand Est sera d'imposer la construction du Cybersecurity European Research Institute (CERI) entre LORIA et notre partenaire allemand CISPA. Une lettre d'accord à l'appui de cette construction a été signée par Michael Backes, le directeur scientifique du CISPA, et par Karl Tombre, le directeur exécutif de LUE.
Le LORIA, acteur du LUE
Le Loria est impliqué dans quatre projets Impact LUE au total. Le projet DigiTrust fait parti de la dernière vague des projets LUE aux côtés du projet OLKI, sur la protection des données privées. Dans les vagues précédentes, le Loria est déjà impliqué dans le projet ULHyS autour de l’hydrogène-énergie et dans le projet GEENAGE qui vise à définir une nouvelle stratégie de diagnostic et de prise en charge du vieillissement normal et pathologique.
[English version]
LUE IMPACT project: DigiTrust, or citizens’ trust in the digital world
November 26th 2018
In 2016, a large-scale service-denial cyberattack used the Mirai malware on over 145,000 connected objects like surveillance cameras or domestic routers to bring down the servers of major companies. Today, all connected objects can potentially be used to launch cyberattacks which can be devastating. It is therefore important to be capable of ensuring the computing security of smart factories, smart cities, captors, cameras, mobile phones, watches and domestic, car or health equipment.
This is the core idea of the DigiTrust IMPACT project, the spearhead of the Université de Lorraine‘s program called Lorraine Université d’Excellence.
Security centered around four axes and just one word – trust
The DigiTrust project is carried by Marine Minier, professor at the Université de Lorraine and researcher in the Caramba team and Régis Lhoste, the project manager. Its aim is to build citizens’ digital trust working around four main research axes. Firstly, the idea is to reinforce trust and security in cyber-physical systems which are computing systems linked to the physical world such as automated production centers or organizations of vital importance such as transport, hospitals or energy providers. To achieve this, the DigiTrust project will rely on the Loria‘s expertise in formal methods and the CRAN‘s[1]expertise in control and diagnosis theory.
We also aim to guarantee security and trust in all the equipment making up these systems as well as all personal equipment. The Loria‘s expertise in cryptography and malwares will therefore be essential to effectively achieve this task. Also, DigiTrust aims to reinforce trust in digital systems in which users interact on a daily basis with a system like the cloud or in collaborative environments. The project will focus on the way in which technology for storage and the transmission of information within services must remain transparent, secure, private or even decentralized.
Once trust is ensured in all the equipment, the next step is to focus on the security of networks which interconnect these objects, by monitoring networks and their associated safety protocols especially cryptographic protocols. These can be checked using formal methods notably for complex protocols like digital voting systems. Network surveillance will focus on what we call advanced, persistent threats and are in fact recurring attacks. For this, the DigiTrust project will use Big Data extensively as well as artificial intelligence tools alongside the new paradigms of networks like Software Defined Networks which enable the virtualization of resource networks by disassociating them from a network’s physical elements.
Finally, DigiTrust will also work on trust and reputation systems in networks, particularly in social networks. It will base this part of its work on researching algorithmic transparency, recommendation systems, and the protection of personal data on social networks by formal methods but will also use machine learning or Big Data. The humanities and social sciences will also be involved with the study of contracts from a legal and economic standpoint. This will refer, for example, contracts pertaining to personal data as well as trust in virtual organizations from a psychological point of view.
Citizens have a key role in the DigiTrust project’s aims and they need to understand what they use to avoid being afraid of this new environment which can sometimes seem overwhelming.
A multi-partner project
The DigiTrust project involves six partner laboratories – the Loria, the CRAN, the IECL[2], BETA[3], IRENEE[4]and 2LPN[5]- and will also include local companies to promote technological transfer and more specifically to work in collaboration with government agencies and the CNIL[6]. DigiTrust’s institutional partners are the CNRS[7], the Inria[8]and the Université de Lorraine.
This is also a collaboration project with the University of Luxembourg and Saarland University as it represents the French part of the Franco-German collaboration between the CISPA[9]and the Université de Lorraine. Two theses have already obtained funding in the framework of the DigiTrust project.
A total of approx.45 permanent members are taking part in this project consortium which will later be opened up to other researchers or companies.
One of DigiTrust’s institutional objectives is to create an Institute for Digital Trust in the Greater East region of France which will focus on the civil and societal aspects of these questions and will bring together players from the academic field, civil society, companies and elected officials. The mission of DigiTrust and the Institute for Digital Trust in the Greater East region will be to ensure the construction of the Cybersecurity European Research Institute (CERI) by the Loria and our German partner, CISPA. A letter of agreement backing up this construction has been signed by Michael Backes, the CISPA‘s scientific director and Karl Tombre, the executive director of LUE.
The LORIA’s involvement in the LUE
The Loria is involved in a total of four LUE Impact projects. The DigiTrust project is part of the latest wave of LUE projects alongside the OLKI project on the protection of private data. In the previous waves, the Loria was involved in the ULHyS project on hydrogen-energy and in the GEENAGE project which aims to define a new strategy for the diagnosis of and care for normal and pathological ageing.