Accueil » Informatiques et Télécommunications » Infrastructure de gestion de la confiance sur Internet

Infrastructure de gestion de la confiance sur Internet

École nationale supérieure des mines de Saint-Étienne (Mines Saint-Étienne)

Thèse pour obtenir le grade de Docteur.

Spécialité : Informatique

Infrastructure de gestion de la confiance sur Internet

Infrastructure de gestion de la confiance sur Internet

Membres de jury

Président : Pierre MARET Professeur, Université Jean Monnet

Rapporteurs : Robert MAHL Professeur, École des Mines de Paris

Patrick BELLOT Professeur, Télécom ParisTech

Examinateurs : Mohand-Saîd HACID Professeur, Université Claude Bernard

Pierre MARET Professeur, Université Jean Monnet

Directeurs : Jean-Jacques GIRARDOT Maître de recherche, ENSM Saint-Étienne

Philippe JAILLON Ingénieur de recherche, ENSM Saint-Étienne

Présenté par

Hoan VU

Soutenue à Saint-Étienne le 3 décembre 2010

Résumé

L’établissement de la confiance est un problème qui se pose en permanence dans la vie quotidienne. Nous avons toujours besoin d’évaluer la confiance que l’on a en quelqu’un avant de décider d’entreprendre une action avec.

Il s’agit bien évidemment d’une question très importante pour les applications de l’Internet où il est de plus en plus rare d’engager une transaction avec des personnes ou des entités que l’on connaîtrait au préalable.

La confiance est un élément clé pour le développement et le bon fonctionnement des applications de e-commerce et par extension de tous les services qui amènent à des interactions avec des inconnus.

Le but de cette thèse est de proposer une infrastructure de gestion de la confiance qui permette à chaque participant d’exprimer sa propre politique de confiance; politique qui guidera le comportement des applications qui fournissent ou qui permettent d’accéder à des services.

Cette infrastructure met en œuvre des mécanismes de négociation qui vont permettre d’établir une confiance mutuelle entre les différents participants d’une transaction.

Un des points importants de notre proposition est d’offrir un langage d’expression des politiques qui permet d’utiliser toutes les sources d’informations disponibles telles que les qualifications (credentials ), la notion de réputation, de recommandation, de risque pour exprimer sa politique de confiance.

Mots clef : Sécurité, politique de sécurité, confiance, risque, gestion de confiance, gestion des risques, négociation de la confiance, e-commerce, protocoles de sécurité.

Trust Management Infrastructure for Internet

Specialty : Computer sciences.

Abstract

Trust establishment is an important problem which often arises everyday. We need to assess the trust in someone or something before making decisions on their actions.

It is also a very important problem for Internet applications where participants of a system are virtual entities. The trust establishment is a key factor for e-commerce applications and services which involve interactions with unknown users.

The objective of this thesis is to build an infrastructure for trust management which allows each participant to express his own security policy.

The security policy is a way for the participant to define his own access control to his own resources and services. The infrastructure provides a trust negotiation mechanism that allows two participants to establish a mutual trust between them for interactions.

The important point of our proposal of an infratructure for trust management is that we use all available information such as credentials (signed certificates), reputations, recommendations or risk information about the peer to make decisions on trust. All these factors are expressed in the security policy by using our proposed policy language.

Keywords : Security, security policies, trust, risk, trust management, risk management, trust negociation, e-commerce, security protocol.

Remerciements

Chapitre 1 : Introduction

Le problème de la confiance est une question que nous avons à nous poser tous les jours, dans la vie quotidienne, dans les sciences sociales, dans l’économie, le commerce ou dans le domaine des applications Internet.

La notion de confiance représente les relations entre deux acteurs avec quelques propriétés spécifiques. Nous allons présenter des problèmes liés à la confiance dans quelques domaines différents de manière à préciser le contexte de notre étude.

Dans la vie quotidienne, la confiance est un facteur important dans l’établissement de relations entre personnes. Plusieurs questions concernant la confiance se posent : comment pouvons-nous faire confiance à une personne pour mener à bien une opération, une transaction avec elle, notamment s’il s’agit de quelqu’un que nous n’avons jamais rencontré ?

Lorsqu’un recruteur veut pourvoir un poste dans son entreprise, son objectif est de trouver le candidat qui correspond le mieux au poste.

Comment peut-il faire pour avoir confiance dans le CV des candidats lors de la phase de sélection ?

Pour ce faire, le recruteur évaluera sans doute le candidat par une méthode classique : il vérifiera son parcours, ses expériences et peut-être même demandera-t-il des informations complémentaires aux personnes citées comme références.

À partir de cette évaluation, le recruteur aura pu évaluer la confiance qu’il a dans le profil du candidat et décider ou non de son embauche.

Dans le monde économique et le commerce, les problèmes de confiance sont très souvent la clé des transactions commerciales. Supposons qu’une société A, en France, veuille importer les produits d’une société B, en Chine.

La société A se pose des questions concernant la confiance qu’elle a dans la société B : est ce que les produits de B respectent des critères de qualité de l’EU ? Est-ce que A recevra les produits après avoir payé la marchandise commandée ?

Bien évidement, la société B se pose, elle aussi, des questions sur A : est-ce que A est un bon client ? Est-ce qu’elle sera payée après avoir livré la commande de A ?

Dans le domaine des applications Internet, le problème de la confiance devient encore plus important.

De nos jours, l’usage d’Internet se développe très rapidement et couvre de plus en plus de domaines d’applications, telles que les applications bancaires en ligne, les systèmes de e-commerce, les communautés virtuelles. . .

La question de la confiance se pose pour l’application elle même (le système), mais aussi pour les participants impliqués, les utilisateurs du système.

Que représente la confiance dans ce domaine ?

Comment pouvons-nous prendre une décision sur la confiance que nous avons dans la réalisation d’une action ?

Nous présenterons dans la section suivante ce problème au travers de quelques scénarios d’applications.

1.1 Confiance pour les applications Internet

Nous présentons ici quelques scénarios d’applications pour lesquels l’évaluation de la confiance est un problème reconnu.

Il s’agit des problèmes de confiance dans les sources d’informations, de la confiance dans l’identité d’une entité virtuelle et des problèmes de confiance dans le commerce électronique.

Les problèmes liés aux risques et à la négociation en vue d’établir la confiance sont aussi les questions importantes de ce sujet d’étude.

Sources d’information

Imaginons un scénario de recherche d’information sur l’Internet concernant un événement. Nous pouvons trouver plusieurs documents à partir de sources d’informations diverses.

Les questions de confiance sur les documents retrouvés se posent de la manière suivante : « est-ce que nous pouvons faire confiance à l’information donnée dans le document ? »

Pour répondre à cette question, nous pourrions vérifier que le document est certifié par un tiers sûr, ou bien que le document est fourni par une source de confiance. Nous avons besoin d’une solution de confiance pour évaluer une telle source d’information.

Par extension, nous pourrions vouloir évaluer les services d’un fournisseur en ligne. Nous voudrions savoir si ses services sont de qualité pour décider de les utiliser ou pas. La question de la confiance est encore une fois posée.

Dans le cas concret d’un site de formation, nous voudrions savoir si ses cours présentés sont intéressants, s’ils ont vu leurs contenus évalués par des formateurs compétents, s’ils sont accompagnés d’un support en ligne (i.e. un intervenant disponible 24h/24 et 7j/7 pour répondre aux questions) ?

L’utilisation d’une infrastructure de confiance utilisant un modèle de réputation est peut-être une bonne solution pour ce scénario.

Elle fournirait aux utilisateurs des éléments leur permettant d’évaluer la confiance dans le fournisseur de ce service.

Identité d’un acteur virtuel

Dans le monde de l’Internet, nous travaillons dans un monde virtuel où les personnes réelles sont dématérialisées sous la forme d’acteurs virtuels.

En conséquence, une question qui se pose souvent est : « est-ce que nous pouvons faire confiance à cette entité pour entreprendre une action ? ».

Chaque acteur virtuel est désigné par une identité, et il est difficile de vérifier que cette identité représente bien la personne avec qui nous voulons entreprendre l’action.

De plus, disposer d’une identité vérifiable n’est pas une condition suffisante, un pirate dispose lui aussi d’une véritable identité pour mener à bien ses attaques. Une solution à ce problème d’identité est de disposer d’un système qui permette d’établir un niveau de confiance suffisant avec des individus inconnus en plus des mécanismes d’authentification standards à base de certificats.

Étudions encore quelques exemples concrets : pour accéder au site des impôts (ministère des finances français), nous avons besoin d’un certificat qui est associé à l’identité fiscale d’une personne donnée.

L’accès à des sites sécurisés se fait en général avec des certificats où l’identité du porteur est attestée par un tiers sûr (un tiers de confiance). Un autre exemple typique est l’identification de l’émetteur d’un email, car le protocole ne nous permet pas de vérifier qui nous l’a envoyé.

L’utilisation de PGP [75, 76] est, par exemple, une solution pour résoudre ce problème.

Commerce électronique

Le commerce électronique est un cas d’usage typique où la question de la confiance se pose pour décider de mener à bien ou non une transaction électronique entre un client et un service marchand en ligne.

Il est à noter que cette transaction se déroule en l’absence de tout contact physique et très souvent sans que les acteurs ne se soient rencontrés au préalable.

-Dans quelles conditions le client peut-il faire confiance à un site pour sa commande ? Il ne sait pas s’il recevra le produit commandé après l’avoir payé; un site malhonnête peut très bien ne pas envoyer ce produit après en avoir reçu le paiement, ou bien envoyer un produit qui n’est pas conforme à ce qui a été commandé.

-Le site de commerce en ligne peut-il faire confiance au client pour valider la commande ? Il n’est pas sûr d’être payé par le client une fois le produit expédié. Mais aussi, un client malhonnête peut utiliser une carte bancaire frauduleuse pour en effectuer le paiement.

Ces exemples nous montrent qu’un mécanisme de confiance est indispensable pour assurer le développement et le fonctionnement de tels systèmes.

La solution à ce problème est la définition d’une infrastructure de confiance dont l’objet est d’aider à la prise de décision en ce qui concerne la confiance dans l’autre partie.

Ce mécanisme de décision s’appuie sur la spécification d’une politique de confiance et sur des mécanismes de négociation en vue d’établir la confiance entre les différents acteurs du système.

Problème du risque

La prise en compte du risque est un point important pour tous les mécanismes de confiance. Dans le contexte réel, lorsque nous devons prendre une décision, par exemple réaliser un investissement financier, entreprendre une coopération. . . nous tentons toujours d’estimer les risques que nous allons prendre au préalable.

Le risque est en rapport direct avec la sécurité. Dans le cas où la sécurité est assurée, il n’y a donc pas de risque et la question de la confiance ne devrait pas se poser.

Par contre, quand il existe un risque, on se trouve dans un contexte incertain et la question sur la confiance se pose.

Dans cette situation, on a besoin d’un mécanisme d’aide à la décision pour évaluer les conséquences possibles de l’action à entreprendre et leurs différentes probabilités d’occurrence; ces éléments servant à évaluer les risques et par conséquent à nous permettre de faire ou ne pas faire confiance à notre correspondant.

Problèmes de négociation de la confiance

Le but de la négociation de la confiance est de permette aux acteurs d’une transaction de négocier pour obtenir un niveau de confiance qui les satisfait simultanément.

Cette négociation peut se traduire par des échanges de données tels que des certificats, des historiques d’interaction ou même tout ou partie des règles de leurs politiques de confiance.

Nous allons présenter dans le paragraphe suivant une situation typique de négociation de la confiance : la négociation entre un client et un marchand ayant pour objectif de mener à bien une transaction commerciale.

Dans une communauté constituée de plusieurs entités, deux de ces entités veulent établir un contact ayant un niveau de confiance suffisant avec pour objectif de réaliser une transaction.

Chacune des entités se définit une politique de confiance pour protéger ses ressources, cette politique peut tirer profit d’informations sur l’historique des transactions qui ont été menées avec les autres membres de la communauté.

Pour résoudre les problèmes de ce type, nous avons besoin d’une infrastructure de confiance.

Cette infrastructure se doit d’avoir les composants suivants :

  • un modèle de la confiance;
  • un modèle de risque;
  • un formalisme pour exprimer sa politique de confiance;
  • un mécanisme d’évaluation .

1.2 Infrastructure de la confiance

Pour résoudre les problèmes de confiance que nous avons évoqués précédemment, nous avons besoin d’une infrastructure qui permette de passer de la modêlisation du problème au niveau concret et pratique.

Cette infrastructure devrait avoir les fonctions suivantes :

-Formalisation des relations de confiance entre les participants au système. Il s’agit d’un modèle de la confiance qui permet de spécifier et de représenter les relations sous une forme calculable ou prouvable. La formalisation choisie indique quels sont les paramètres qui seront pris en compte pour évaluer la confiance.

-Modélisation de la politique.

-Négociation de la confiance. Il s’agit de permettre aux participants de négocier les éléments nécessaires pour établir la confiance indispensable à la réalisation d’une transaction.

1.3 Objectif de la thèse

De nombreuses infrastructures de gestion de la confiance dédiées à des domaines d’applications spécifiques ont déjà été proposées.

Quelques unes d’entre elles proposent des modèles où le niveau de confiance est calculé à partir de l’expérience et des recommandations des entités impliquées dans le système.

Les résultats sont utilisés pour décider de donner la permission à l’autre partie d’entreprendre les actions demandées. Ce type de solution est généralement utilisé par les systèmes peer-to-peer.

Une autre approche qui a été utilisée lors de la conception des premiers systèmes de gestion de la confiance tel que KeyNote [65] ou Trustbuilder [83], est basée sur l’utilisation de politiques.

Les principals 1 du système décrivent les règles de protection de leurs données des politiques qui leur sont propres.

Les autorisations sont représentées par un mécanisme de délégation qui utilise des credentials (des qualifications, par exemple des certificats signés) fournis par les parties. La vérification de la conformité, pour une action donnée, entre la politique du principal et les credentials présentés permet de rendre une réponse binaire à l’utilisateur : action autorisée ou refusée.

Dans le contexte d’une application réelle, on peut imaginer que la décision liée à la confiance sera plus sûre si elle est prise en combinant toutes les sources d’informations à notre disposition, des credentials et des expériences.

Si les conséquences des décisions sont moins importantes, nous pouvons imaginer n’utiliser que les informations relatives à l’expérience ou seulement les credentials.

Le terme principal fait référence à la personne qui est responsable d’entreprendre une action.

Aujourd’hui, en français et sauf dans le cadre de la sécurité, il n’est plus utilisé que pour désigner le principal d’un collège. Le terme sera défini au chapitre 2.

Un autre critère très important qu’il nous faut aborder lors de la conception de notre système de gestion de confiance est la décentralisation de ce système. La décentralisation doit être effective au niveau des données, des politiques mais aussi de la prise de décision.

Au niveau des données, chaque entité conserve les données qui lui sont propres comme ses expériences et ses credentials.

Éventuellement, les données relatives à l’expérience peuvent être partagées avec d’autres entités du système et servir à des mécanismes de recommandation. Chaque entité gérant sa propre politique de sécurité et ses propres décisions, la décentralisation se fait naturellement.

Cette décentralisation globale du système est nécessaire pour en réduire la complexité dans des environnements vastes et complexes tel que l’Internet et permet de rendre le système utilisable dans la pratique.

L’objectif de cette thèse est de proposer un modèle de gestion de la confiance décentralisé qui utilisera toutes les sources d’informations à sa disposition pour décider d’accorder ou non sa confiance. De plus, le modèle proposé permettra aux différents participants de négocier, action par action, une confiance satisfaisant leurs différentes politiques.

1.4 Contributions

La contribution principale de cette thèse pour le domaine de la négociation de la confiance est un modèle d’infrastructure de confiance innovant et intégrant de nouveaux aspects par rapport aux systèmes existants.

Le modèle proposé et l’infrastructure qui en découle comprennent les composants suivants : un modèle qui formalise la confiance et la prise de décision dans le cadre de l’évaluation de la confiance; un modèle de négociation dédié à l’établissement de la confiance; un modèle des risques et son utilisation.

Nous avons aussi développé un prototype et l’avons utilisé pour implémenter un scénario simple de négociation dans le cadre d’une application de e-commerce.

Formalisation de la confiance

La notion de la confiance, de notre point de vue, est associée strictement au risque. Nous proposons un modèle de prise de décision lié à la confiance où toutes les informations telles que l’expérience, les qualifications (credentials ) et le risque sont pris en compte.

Ce travail adapte à la négociation le modèle de structure d’événements, proposé par le projet SECURE [15] et le système de réputation de Krukow et al. [59].

Négociation de la confiance

En utilisant la formalisation de la confiance que nous venons de présenter ci-dessus, nous proposons un modèle de négociation qui permet d’établir simultanément la confiance entre les deux parties d’une transaction.

Le système de négociation est distribué et utilise indépendamment la politique de chaque partie.

Ce processus de négociation raisonne sur la politique et vérifie à chaque étape que la politique de confiance peut être satisfaite.

Modèle de risque

Le risque est un facteur important dans la prise de décision. Sa prise en compte repose sur un modèle qui nous permet d’en calculer le niveau.

Ce modèle utilise, lui aussi, différentes sources informations telles que les expériences passées, le montant de la transaction, etc.

Prototype d’application

Au niveau de l’implémentation de l’infrastructure, nous apportons les éléments suivants : un scénario d’application qui met en œuvre la négociation dans le cadre d’une transaction en ligne (vente/achat); les politiques des différents acteurs exprimées dans un format XML; un module de vérification de la politique locale de chacune des parties; un module de calcul du risque et enfin, un module implémentant une stratégie simple pour piloter la négociation.

Notre implémentation n’a pas encore complètement abouti sur l’ensemble des points, mais nous disposons d’un prototype partiellement fonctionnel.

1.5 Plan du manuscrit

Ce manuscrit se compose de 9 chapitres. Les deux premiers chapitres (2 et 3) constituent un état de l’art. Les 4 chapitres suivants traitent de notre travail pour résoudre le problème posé.

Le détail du travail dans les différents chapitres est organisé comme suit :

Le chapitre 1 est une introduction au problème de la confiance. Nous y précisons également l’objectif et la contribution de la thèse.

Le chapitre 2 présente de manière générale les notions de base de la gestion de confiance. Nous y citons les différentes définitions de la confiance, du risque et de la gestion de la confiance communément admises dans la littérature. Nous y précisons également notre point de vue sur ces notions.

Ensuite, nous abordons un ensemble (non exhaustif ) d’exemples typiques d’applications qui nous semblent avoir besoin des mécanismes de gestion de confiance et de négociation de la confiance.

Le chapitre 3 expose les principales solutions d’infrastructure de confiance décrites dans la littérature. Nous commençons par une présentation sur les différentes approches des systèmes de confiance : approches basées sur les politiques et approches basées sur l’expérience.

Par la suite, nous détaillons quelques solutions significatives telles que KeyNote [65], Trustbuilder [83], SULTAN [35, 28], le projet SECURE [15] ou le modèle présenté par Krukow [59].

Enfin, nous analysons ces solutions, nous en citons leurs points forts et leurs points faibles afin de préparer les bases de notre proposition.

Le chapitre 4 présente le principe général de notre modèle de confiance. Nous définissons les contraintes appliquées à notre modèle et nous le comparons avec les systèmes existants.

Ensuite, nous présentons l’infrastructure à base d’événements que nous avons utilisée pour concevoir notre système.

Le chapitre 5 décrit notre formalisation de la confiance et le modèle de prise de décision associé. Nous détaillerons de quelle manière il nous est possible d’utiliser toutes les sources d’informations dans nos politiques de confiance.

Le chapitre 6 présente un modèle de négociation de confiance qui utilise une procédure globale de décision.

Ce modèle de négociation de confiance est constitué de trois composants principaux : les politiques et l’historique des transcations, le protocole d’échange entre les deux parties et le processus de vérification de la conformité entre la politique et l’action. Ce modèle est illustré par un scénario d’application de négociation.

Le chapitre 7 propose un modèle de risque. Ce chapitre explique comment nous pouvons évaluer le risque et comment nous pouvons l’utiliser dans notre infrastructure de confiance.

Le chapitre 8 détaille un scénario d’application basé sur des transactions du domaine du e-commerce; nous en fournissons les détails des politiques. Une réalisation du module de négociation et de ses différents composants est présentée.

Le chapitre 9, la conclusion, résume l’apport de la thèse et présente les perspectives de cette étude.

Plan

1. Introduction
2. Confiance et applications
2.1 Définitions préliminaires
2.2 Confiance
2.3 Risque
2.4 Réputation
2.5 Recommandation
2.6 Confiance et sécurité
2.7 Gestion de la confiance
2.8 Négociation de la confiance
3. Gestion de la confiance
3.1 Les approches de gestion de la confiance
3.2 Gestion de la confiance basée sur la politique
3.3 Gestion de la confiance basée sur l’expérience
3.4 Approches hybrides de la gestion de la confiance
3.5 Système de négociation de la confiance
3.6 Prise en charge du risque pour la gestion de confiance
3.7 Analyse des approches de gestion de confiance
3.8 Comparaison des systèmes
4. Vers un système de gestion de la confiance
4.1 Contraintes pour un système de gestion de la confiance
4.2 Modèle global de gestion de la confiance
4.3 Modèle de confiance de SECURE
4.4 Logique temporelle linéaire LTL
4.5 Framework logique pour les systèmes de réputation
5. Notre proposition pour un système de gestion de la confiance
5.1 Architecture
5.2 Formalisation de la confiance
5.3 Scénario 1 : Transaction dans le cadre du commerce électronique
5.4 Scénario 2 : Évaluation de la contribution d’un utilisateur à Wikipédia
6. Négociation de la confiance
6.1 La notion de négociation
6.2 Système de négociation
6.3 Protocole de négociation
6.4 Module de négociation de la confiance
6.5 Scénario d’application
7. Gestion du risque
7.1 Processus de gestion du risque
7.2 Modèle du risque
7.3 Scénario d’application
8 Prototype de négociation de la confiance
8.1 Architecture
8.2 Spécification de la politique en XML
8.3 Réalisation du module de vérification
8.4 Calcul du risque
8.5 Interface et protocole de négociation
9. Conclusion
A.1 Schéma DSD
A.2 La politique du client
A.3 La politique du vendeur
B Protocole et Négociation
B.1 Protocole & Interface
B.2 Agent de négociation

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Exit mobile version