ANNEE´ 2017 THESE` / UNIVERSITE´ DE RENNES 1 sous le sceau de l’Universite´ Bretagne Loire pour le grade de DOCTEUR DE L’UNIVERSITE´ DE RENNES 1 Mention : Informatique Ecole doctorale MATISSE present´ ee´ par Benjamin Richard prepar´ ee´ a` l’Institut de Recherche en Informatique et Systemes´ Aleatoires´ (IRISA), UMR no6074 These` soutenue a` Rennes Etude´ des protocoles le 30 Aout 2017 devant le jury compose´ de : d’authentification et Michel FERREIRA ABDALLA Directeur de recherches, CNRS/ENS (rapporteur) de derivation´ de clefs Refik MOLVA Professeur, EURECOM (rapporteur) en 3 parties. Fred´ eric´ CUPPENS Professeur, IMT Atlantique Rennes (examinateur) Gilles MACARIO-RAT Chercheur, Orange Labs Chatillon (examinateur) Maria Cristina ONETE PostDoc, U. Rennes1 (examinateur) Jacques TRAORE Chercheur, Orange Labs Caen (examinateur) Pierre-Alain FOUQUE Professeur, U. Rennes1 (directeur de these)` 2 3 Remerciements En premier lieu, je tiens a` remercier mon directeur de these,` Pierre-Alain Fouque, pour son soutien, sa patience et son aide au quotidien. Au dela` de ses indispensables qualites´ scientifiques dont j’ai pu ben´ eficier´ durant mes 3 annees´ de these,` je tiens a` le remercier pour cette experience,´ qui a su m’aider a` grandir aussi bien d’un point de vue personnel que professionnel. Merci egalement´ a` Maria Cristina Onete, de s’etreˆ jointe a` cette these,` pour son soutien au quotidien, et pour les nombreuses discussions qu’on a pu avoir ensemble. Je remercie aussi Gilles Macario-rat pour m’avoir encadre´ au sein d’Orange, d’avoir accepte´ de me suivre et de m’avoir fait confiance durant mon changement de sujet de these.` Je tiens ensuite a` remercier l’ensemble des membres du jury d’avoir accepte´ de participer a` ce jury. Un merci tout particulier a` Michel Ferreira Abdalla et Refik Molva d’avoir accepte´ d’etreˆ les rapporteurs de cette these.` Je voudrai egalement´ remercier Jannick Dreier et Steve Kraemer, pour m’avoir accueilli a` titre occasionnel dans les locaux du Loria a` Nancy. Merci a` eux pour leurs disponibilites´ et pour les echanges´ toujours tres` productifs et interessants´ que nous avons eu ensemble. Je tiens a` remercier l’ensemble de l’equipe´ DSS d’Orange Labs pour m’avoir accueilli durant ces trois annees´ de these.` Un merci particulier a` Pascal pour avoir essaye´ en vain de recadrer mes gouts cinematographiques,´ Todor pour avoir su mettre un peu de lumiere` dans le monde de la standardisation, Alex pour nos nombreuses parties de basket et nos debriefings´ de l’actualite´ sportive, et surtout Tiphaine, ma responsable de stage de 3ieme` pref´ er´ ee.´ Merci aux autres thesards´ de galere` (Xiao, Maxime) a` qui je souhaite bon courage pour la suite. Merci a` tous les autres Xavier, Ghada, Said, Kahina, Michael, Matthieu ... d’avoir participe´ quotidiennement a` la bonne ambiance de cette equipe.´ Une petite pensee´ aux anciens Laura, Georgian, Aurelien,´ Pierre, Amira, Nizar, Wafa avec qui j’ai pu avoir a` la fois des conversations serieuses´ et prolifiques, mais aussi des fou-rires tres` agreables.´ Merci aussi a` tous les autres que je n’ai pas cite,´ mais qui etaient´ present´ au quotidien ! Merci a` l’ensemble des membres de l’equipe´ EMSEC de l’IRISA pour leur accueil et pour la bonne ambiance qu’ils ont su instaurer au sein de nos bureaux. Je tiens a` remercier l’ensemble du groupe des thesards´ made in EMSEC : Alban le roi des Spares au bowling, Baptiste mon el´ eve` de beaufitude pref´ er´ e,´ Chen mon portugais pref´ er´ e,´ Claire une des pilieres` de la pause cafe,´ Pauline la bordelaise de service, Florent et ses ”pourquoi pas” quand vous lui proposez a` manger, et Raphael¨ le taulier du jeudi soir. Merci aussi aux titulaires, Patrick le serieux´ du Badminton, Stephanie´ qui sait organiser des soirees´ barbecue a` merveille, et Adeline pour son aide et son soutien. Petite pensee´ a` l’ancien, Brice Minaud, sa presence´ au badminton et sa sympathie quotidienne nous manque a` tous, et a` la petite nouvelle, Angele,` qui je suis sur, s’epanouira´ a` merveille dans cette equipe.´ Merci a` toi Cyrille, le meilleur co-bureau qu’un thesard´ puisse esperer.´ Merci mon ami pour toute l’aide que tu m’as apporte,´ nos fou-rires et nos chants. La meilleure ambiance etait´ chez nous a` ne pas en douter :p Ah oui, merci aussi d’avoir supporter les 30 degres´ que j’imposai reguli´ erement` dans notre bureau. Je tiens a` present´ a` remercier ma famille pour leur aide et leur soutien. Un remerciement tout particulier a` Thomas et Charlotte. Vous m’avez offert plus qu’un canape´ pour dormir durant ces trois annees.´ Merci a` vous mes parents, sans vous je ne serai pas l’homme que je suis aujourd’hui. Je vous dois beaucoup, et je vous en serai eternellement´ reconnaissant. Merci a` toi mon amour, Kun, d’avoir su repondre´ present´ pendant les moments de doutes. Cette these` nous a permis de nous rencontrer, et rien que pour cela cette these` valait le coup d’etreˆ vecue.´ Cette these` prend fin mais en ce qui nous concerne, ce n’est que le debut...´ 4 Resum´ e´ en franc¸ais Protocoles AKE La transmission de donnees´ personnelles entre deux entites´ a` travers un canal non securis´ e´ comme Internet ou les voix radios au sein des reseaux´ mobiles, est l’un des enjeux majeurs en cryptogra- phie. L’etablissement´ d’un canal securis´ e´ permet d’echanger´ des donnees´ sensibles en garantissant leurs confidentialites´ et integrit´ es´ durant leurs echanges.´ Dans le but de garantir ses propriet´ es,´ l’utilisation de primitives cryptographiques tels que des algorithmes de chiffrement authentifie,´ est requise. Ses algorithmes necessitent´ que les deux entites´ possedent` une clef secrete` commune. Par consequent,´ un echange´ au prealable´ de clefs entre les deux entites´ doit etreˆ effectue´ entre les deux entites´ afin d’etablir´ le canal securis´ e.´ L’etablissement´ d’un canal securis´ e´ se repose sur l’execution´ d’un protocole d’echange´ de clefs authentifies,´ appele´ AKE (Authenticated Key Exchange). Propriet´ es´ de securit´ e´ classiques. Les protocoles AKE execut´ es´ entre deux entites´ doivent garan- tir l’etablissement´ d’un canal securis´ e,´ a` travers l’echange´ d’une ou plusieurs clefs temporaires (autrement appelees´ clefs de sessions), en considerant´ la presence´ potentielle d’un adversaire de type ”Homme-du-Milieu” (MitM) capable d’observer et d’intercepter l’ensemble des commu- nications entre ses entites.´ Cet attaquant peut etreˆ soit passif (espionnant les communications echang´ ees)´ ou actif (capable de stopper, reordonner´ et injecter les messages de son choix). Con- siderant´ les adversaires de type MitM, les protocoles AKE doivent garantir les propriet´ es´ suivantes: • La confidentialite´ des clefs de sessions echang´ ees´ : un adversaire ne peut pas obtenir la moindre information a` propos des clefs de sessions durant leur etablissement.´ • La confidentialite´ des secrets permanents : un adversaire ne peut pas obtenir la moin- dre information a` propos des informations secretes` permanentes qui sont utilisees´ durant l’execution´ du protocole. • L’authentification : toutes les entites´ qui doivent etreˆ authentifies´ durant le protocole AKE ne peuvent pas etreˆ impersonnifiees´ par un adversaire. • La ”non-rejouabilite”´ des messages : cette propriet´ e´ requit la fraicheur des messages echang´ es´ durant l’execution´ du protocole AKE. Une propriet´ e´ supplementaire´ primordiale : le respect de la vie privee.´ La notion de vie privee´ peut prendre different´ sens, comme le soulignent Pftzmann et Hansen [95]. Dans ce manuscrit, les notions qui seront utilisees,´ sont celles qui sont habituellement utilisees´ pour etudier´ les protocoles d’authentification et de derivations´ de clefs, e.g., la confidentialite´ de donnees´ caracteristiques´ des utilisateurs, et de trac¸abilite.´ Les utilisateurs sont tous caracteris´ es´ par des donnees´ personnelles permanentes qui les caracterisent´ telles qu’un identifiant, des etats,´ une localisation etc. Un pre- mier niveau de respect de la vie privee´ des utilisateurs est garanti par une propriet´ e´ consistant a` assurer la confidentialite´ de l’ensemble de ses donnees.´ Cette propriet´ e´ est essentiellement cap- turee´ par l’incapacite´ pour un attaquant de type ”Homme-du-Milieu” d’obtenir de l’information a` 5 6 propos de donnees´ caracteristiques´ des utilisateurs. La non trac¸abilite´ des utilisateurs est la notion la plus forte, qui en plus de considerer´ la confidentialite´ des donnees´ usagers, considere` qu’un attaquant ne peut pas tracer un utilisateur, ce qui est potentiellement possible memeˆ sans avoir des informations sur ses donnees´ permanentes. En effet, par exemple, en reliant certaines informations temporelles, le profil de l’utilisateur pourrait etreˆ retrouve.´ Typiquement, les protocoles AKE requierent` la garantie de non trac¸abilite´ des utilisateurs, qui est globalement definit´ par le fait qu’aucun adversaire n’est capable de distinguer si deux executions´ distinctes du protocole ont implique´ le memeˆ client ou deux clients distincts. Dans ce manuscrit, la non trac¸abilite´ des utilisateurs sera etudi´ ee´ en considerant´ les attaquants de type ”Homme-du-Milieu”. Une garantie plus forte, vus comme un anonymat total des utilisateurs, se base sur le fait que memeˆ un honneteˆ participant ne peut pas tracer l’identite´ des autres participants au sein des communications. Une telle propriet´ e´ pourrait etreˆ atteinte, dans une certaine mesure, si le protocole AKE reposait sur une authentification basee´ sur un groupe, comme