Résultats scientifiques

L’approche scientifique a suivi plusieurs directions complémentaires :

  • Axe 1 : Des travaux de bas niveau portant sur la sécurité des micro-logiciels (« firmwares ») et composants matériels utilisés dans les objets connectés ;
  • Axe 2 : Des travaux portant sur les objets connectés de l’habitat intelligent et des différentes techniques de contrôle utilisateur de ceux-ci ;
  • Axe 3: Des travaux portant sur les chartes de vie privée et les systèmes de recueil de consentement utilisateurs, utilisés dans le contexte de la maison connectée en particulier ;
  • Axe 4: Des travaux d’analyse économique afin de comprendre l’écosystème et les stratégies mises en œuvre.

Axe 1 : « Screaming channels »

Lorsque les chipsets qui intègrent sur le même composant à la fois un crypto-processeur (en charge des opérations de chiffrement) et le module de transmission (par ex. pour la modulation analogique du signal Wifi) font fuiter des informations permettant de récupérer la clef secrète de chiffrement…

Screaming Channels is a project that investigates long-distance side-channel attacks on radio signals emitted by mixed-signal chips. Up to now, our best result is a full key recovery from 10 m (Bluetooth dongle, TinyAES 128, anechoic room). We make our setup and code public so that others can reproduce and improve our results.

http://s3.eurecom.fr/tools/screaming_channels/

En savoir plus :

  • Giovanni Camurati, “Security threats emerging from the interaction between digital activity and radio transceivers”, manuscript de thèse de doctorat, décembre 2020. https://www.eurecom.fr/publication/6365

Axe 1 : « Analyse symbolique des firmwares embarqués dans les objets connectés »

Ce travail a porté sur l’analyse des firmwares par le biais des techniques d’exécution symboliques, bien connues pour leur capacité à automatiser la recherche de failles de sécurité. Le travail a tout d’abord porté sur l’optimisation (en vitesse) de ces approches puissantes mais lourdes, en intégrant la manipulation symbolique dans une version compilée du programme. Le travail a ensuite étendu l’approche aux situations où le programme n’est disponible que dans sa représentation compilée (cas général), grâce à un traducteur binaire. Ces deux travaux ont constitué des avancées importantes dans le domaine de l’analyse symboliques.

En savoir plus :

  • Sebastian Poeplau, “Increasing the performance of symbolic execution by compiling symbolic handling into binaries”, manuscript de thèse de doctorat, novembre 2020. https://www.eurecom.fr/publication/6331

Axe 2 : « Objets connectés et vie privée : le long chemin restant »

Chaque objet connecté, notamment dans le cadre de l’habitat intelligent, est à l’origine de collectes de données qui sont par nature porteuses de sens. Ce travail a porté sur une autre dimension, négligée jusque-là : les différents moyens de contrôle à disposition d’un utilisateur pour agir sur les objets de son logement, ici trois ampoules connectées. En réalité, un changement apparemment anodin dans la manière dont l’utilisateur contrôle un objet, notamment en changeant de moyen de contrôle, a des conséquences majeures en matière de risques de sécurité, de fuites de données personnelles et de souveraineté. Aucun utilisateur ne peut anticiper ni comprendre de telles conséquences.

En savoir plus :

Axe 3 : « Analyse des chartes de vie privée et des systèmes de recueil de consentement »

Ce travail a montré qu’il y a de façon générale un manque important d’information des utilisateurs quant à la collecte et à l’exploitation de leurs données personnelles. Dans le cas précis de l’habitat intelligent, les lacunes sont majeures : non seulement les applications développées par les fabricants ne sont pas adéquates concernant l’obtention d’un consentement de qualité (libre, spécifique, éclairé et univoque), mais les autres techniques de contrôle détournent la plupart du temps les quelques mécanismes prévus par les applications officielles. De plus, lorsqu’elles existent, les chartes de vie privée sont rarement complètes (à l’aune des exigences du RGPD), et sont parfois même rédigées pour influencer (rassurer) le consommateur (nudge).

En savoir plus :

  • Contacts : Vincent Roca, Inria / PRIVATICS, et Fabrice Le Guel, Univ. Paris Sud / RITM
  • Mathieu Thiery, “Objets connectés et vie privée : le long chemin restant”,  manuscript de thèse de doctorat, décembre 2020. https://hal.archives-ouvertes.fr/tel-03125022

Axe 4 : « Analyse de l’écosystème sous l’angle économique »

Ce travail a validé (par la mesure) le fait que les plateformes numériques des GAFA ont un pouvoir de marché ultra dominant dans ces écosystèmes complexes (dis multifaces) : elles sont à l’origine de l’organisation de ces écosystèmes et profitent du mécanisme inhérent des externalités de réseaux et des économies d’échelle. En revanche, pour les sociétés qui contribuent à la dynamique économique de ces plateformes (les applications mobiles, les applications des objets connectés), une concurrence exacerbée est de mise. La règle du « winner takes all » s’applique de façon systématique et peu d’acteurs sont gagnants. Il est fort probable que le développement et l’organisation des écosystèmes des objets connectés (sous forme de plateformes multifaces) sera similaire à celui (plus mature) des applications mobiles, à la différence que les objets connectés peuvent potentiellement capter des données sous des formats jusqu’ici moins coutumiers (par exemple via les sons, les voix) et peut être encore plus sensible du point de vue de l’influence potentielle (« nudge ») des objets connectés sur les comportements humains (par exemple via l’exploitation des émotions dans la voix).

En savoir plus :

  • Contact : Fabrice Le Guel, RITM, Univ. Paris Sud

Les commentaires sont clos.