Détection d'intrusion basée sur l'analyse de compteurs matériels pour des objets connectés

Les objets connectés, qui forment aujourd'hui l'Internet des objets ou IoT, sont de plus en plus nombreux et offrent une grande variété de fonctionnalités. Ils font cependant face à de nombreuses attaques, comme la célèbre attaque dénommée Mirai, qui a permis à des attaquants de prendre le contrôle de centaines de milliers d'objets connectés, notamment dans le domaine qui nous intéresse plus particulièrement dans cette thèse : le domaine industriel. Même dans ces environnements souvent restreints et très contrôlés, les objets connectés ont fait face à des attaques parfois dévastatrices, comme la fameuse attaque Stuxnet visant des centrales nucléaires.Cette thèse se consacre à la protection de ces objets connectés, plus spécifiquement dans le domaine de l'énergie, pour la surveillance ou la maintenance du réseau électrique par exemple, ou encore pour l'optimisation des nouveaux moyens de consommation et de production locaux. Les objets envisagés sont identiques et déployés massivement à travers une région ou un pays.Plus spécifiquement, cette thèse porte sur la détection d'intrusions visant de tels objets connectés, en se basant sur l'analyse des déviations de comportement de ces objets. Nous proposons une solution basée sur l'observation et l'analyse de certains évènements internes au processeur via des compteurs de performances matérielles. Contrairement aux approches classiques se basant sur des détections faites au niveau des comportements logiciels, notre approche se base uniquement sur l'analyse de compteurs matériels et permet de se prémunir des malveillances qui pourraient cibler les systèmes d'exploitation par exemple.De plus, cette solution ne nécessite ni l'implication d'un expert ni de phase d'apprentissage automatique de modèle et s'adapte donc facilement aux potentielles mises à jour des objets. L'approche repose sur des algorithmes de détection de valeurs aberrantes sur des caractéristiques calculées à partir des valeurs de ces compteurs.Ces travaux incluent également la description d'expérimentations permettant de valider notre approche. Ces expérimentations ont été effectuées sur deux plateformes composées d'objets connectés représentatifs d'un environnement industriel réel et elles montrent que notre approche est pertinente vis-a-vis d'un panel varié d'attaques.