Programme > Tutoriels

Tutoriels

Biométrie et Sécurité

• Jean-François Mainguet / CEA / LETI / DSYS / SSSEC
  (laboratoire de sécurité)

Après avoir vu les bases de la biométrie [principe fondamental, vérification/authentification, les diverses modalités biométriques, le marché de la biométrie, l’évaluation des performances biométriques], on s’intéressera à la sécurité des systèmes biométriques, en particulier les problèmes de détection de vitalité (faux doigt) et de combinaison avec la cryptographie : la biométrie est floue, la cryptographie est précise.

Pratique de la vérification formelle des protocoles de sécurité

• Thomas Genet / IRISA / Université de Rennes

Tutoriel interactif avec l'outil SPAN+AVISPA (http://people.irisa.fr/Thomas.Genet/span/)

• pourquoi la vérification formelle devrait être une étape nécessaire dans la conception d'un protocole de sécurité?
  • qu'est-ce qu'une attaque logique sur un protocole?
  • pourquoi ce type de faille (de conception) est difficilement réparable au moment de l'implantation?
  • limite de la recherche d'attaques logiques manuelle
• comment procède-t-on pour vérifier formellement un protocole?
  • spécification du protocole
  • spécification des propriétés
  • spécification des scénarios de vérification
• mise au point d'un protocole simple
  • spécification du protocole et de ses propriétés
  • animation de la spécification
  • recherche d'attaques
  • consolidation du protocole
• exemples de protocoles réels et attaques

Sécurité Cloud

• Eddy Caron, Arnaud Lefray

 Les Clouds s’imposent maintenant comme un modèle économique attractif où le client paye pour utiliser des ressources ou des services à la demande sans connaissance de l’infrastructure sous-jacente à ce service. La mutualisation des ressources proposées aux clients permet de réduire les coûts ainsi que concentrer techniques et expertises autour d’une seule infrastructure. Cependant cette concentration des activités en fait une cible privilégiée pour un attaquant, d’autant plus intéressante que les Clouds présentent de nouveaux vecteurs d’attaque entre les clients du Cloud de part le partage des ressources.

Actuellement, les fournisseurs de solutions de Cloud proposent une sécurité par défaut ne correspondant pas nécessairement aux besoins de sécurité des clients. Cet aspect est donc bien souvent négligé et cette situation donne lieu à de nombreux exemples d’attaques (vol de données, usage malicieux, etc.) cités jusque dans les médias grand public.

On se propose au travers de l’expérience Seed4C visant la mise en place d’une infrastructure sécurisée de bout en bout, de montrer comment passer du besoin des utilisateurs, à la modélisation et enfin au déploiement automatique. En partenariat avec la solution développée par Qirinus, nous terminerons en vous donnant la possibilité de tester par vous même les concepts introduits dans cette présentation.