Séminaire Sécurité Laval

  • Conférence invitée d'Abir AWAD (Université de Nantes) - 28 janvier à 16:30.- ESIEA Laval Salle 115.
    Titre: Algorithmes de chiffrement/déchiffrement à base de chaos pour la sécurité des transmissions d'images

    Résumé: La mondialisation des échanges (Internet, messagerie électronique, commerce électronique...), grâce à l’émergence des nouvelles technologies de l’information et de la communication, pose le problème de la sécurité de l’information transmise à travers les canaux publics non sécurisés. L’utilisation du chaos dans des crypto-systèmes, apporte de l’amélioration (temps de chiffrement, sécurité) par rapport aux méthodes standards de la cryptographie (DES, IDEA, AES), ceci grâce aux caractéristiques des signaux chaotiques tels que : bonnes propriétés cryptographiques, reproductibilité à l’identique (déterministes), et l’hyper sensibilité à la clé secrète.

    Dans cet exposé, une nouvelle structure d’algorithmes « CBCSTI » de chiffrement/déchiffrement basés chaos, supportant quatre versions différentes selon l’association des méthodes de permutation adoptées au niveau des bits et au niveau des pixels sera présentée. Chaque version comporte quatre modes opératoires : OFB, CBC, CFB, CTR et la structure est conforme au standard de NIST vis-à-vis de la propagation des erreurs de transmission. La carte chaotique PWLCM utilisée inclut une technique de perturbation permettant d’améliorer les dynamiques chaotiques et ainsi d’augmenter et de contrôler la longueur des séquences chaotiques générées. L’analyse de la sécurité, utilisant les tests standards les plus significatifs : sensibilité (à la clé secrète en émission et en réception, et à l’image claire), tests statistiques (histogramme, densité de probabilité, corrélation des pixels adjacents) sur l’image claire et l’image chiffrée, série des tests statistiques de NIST sur des images chiffrées montre l’intérêt de la structure proposée.


    Les slides de la présentation.


    • Titre: Chaos-based Encryption/decryption Algorithms for Secure Transmission of Images

    Abstract: Recently, a large amount of work using digital chaotic systems to construct cryptosystems has been studied and has attracted more and more attention in the last years. Because of the chaotic signal characteristics, such as: good cryptographic properties, reproducibility with identical (deterministic), and the hyper sensitivity to secret key, the chaos based cryptosystems are more rapid and secure then the standard encryption algorithms (DES, IDEA, AES).

    In this talk, a new chaos-based cryptosystem for secure transmitted images (CBCSTI) is proposed. This cryptosystem contains four different versions according to adopted association of bits and pixels permutation methods. Each version comprises four cryptographic modes: OFB, CBC, CFB, CTR, each of them is in conformity with the standard of NIST with respect to the error propagation. A perturbed PWLCM chaotic map was used to control the different operations (substitutions and permutations) in the algorithm. The proposed disturbance technique allow us to improve the dynamic chaotic and thus to increase and control the length of the generated chaotic sequences. The security analysis, key sensitivity at the emission and the reception, the statistical tests applied on the original images and the ciphered ones like: histogram, probability density, correlation of adjacent pixels and NIST tests on the encrypted images prove the efficacy of the proposed cryptosystem.


    Slides of the talk.


  • Conférence invitée de Christopher Kruegel (University of California - Santa Barbara (UCSB) - USA) - 15 décembre 2009, 9 heures.- ESIEA Laval Salle 115 à 9:00.
    Titre: FIRE - Finding Rogue Networks

    Abstract: For many years, online criminals have been able to conduct their illicit activities by masquerading behind disreputable Internet Service Providers (ISPs). For example, organizations such as the Russian Business Network (RBN), Atrivo (Intercage), McColo, and most recently, the Triple Fiber Network (3FN) operated with impunity, providing a safe haven for Internet criminals for their own financial gain.

    What primarily sets these rogue ISPs apart from others is the significant longevity of the malicious activities on their networks and the apparent lack of action taken in response to abuse reports. Interestingly, even though the Internet provides a certain degree of anonymity, such ISPs fear public attention. Once exposed, rogue networks often cease their malicious activities quickly, or are de-peered (disconnected) by their upstream providers. As a result, the Internet criminals are forced to relocate their operations.

    In this talk, we present FIRE, a novel system to identify and expose organizations and ISPs that demonstrate persistent, malicious behavior. The goal is to isolate the networks that are consistently implicated in malicious activity from those that are victims of compromise. To this end, FIRE actively monitors botnet communication channels, drive-by-download servers, and phishing web sites. This data is refined and correlated to quantify the degree of malicious activity for individual organizations.


    • Les slides de la présentation.


  • Soutenance de thèse de Grégoire Jacob - 14 décembre 2009 à 14 heures à ESIEA Laval Salle 115.-
    Malware Behavioral Models: bridging abstract and operational virology. Grégoire Jacob soutiendra sa thèse devant un jury composé de
    • Christopher Kruegel (Rapporteur - University of California - Santa Barbara (UCSB) - USA)
    • Jean-Marc Steyaert (Rapporteur - Ecole Polytechnique)
    • Mireille Ducassé (Examinatrice - INSA)
    • Thomas Jensen (Examinateur - IRISA/CNRS)
    • Ludovic Mé (Examinateur - Supélec)
    • Robert Erra (Invité - ESIEA)
    • Eric Filiol (Directeur - ESIEA)
    • Hervé Debar (Co-directeur - Orange Labs)

    Résumé: Cette thèse s'intéresse à la modélisation des comportements malicieux au sein des codes malveillants, communément appelés malwares. Les travaux de thèse s'articulent selon deux directions, l'une opérationnelle, l'autre théorique. L'objectif à terme est de combiner ces deux approches afin d'élaborer des méthodes de détection comportementales couvrant la majorité des malwares existants, tout en offrant des garanties formelles de sécurité contre ceux susceptibles d'apparaître.

    La première approche opérationnelle introduit un langage comportemental abstrait, décorrélé des aspects liés à l'implémentation tels que les langages de programmation ou les environnements d'exécution. Le langage en lui-même repose sur le formalisme des grammaires attribuées permettant d'exprimer la sémantique des comportements. A l'intérieur du langage, plusieurs descriptions de comportements malicieux sont spécifiées afin de construire une méthode de détection basée sur le parsing. Cette méthode supporte une architecture multi-couche composée de modules d'abstraction et d'automates génériques. Sa mise en oeuvre a montré des résultats prometteurs en termes de couverture, allant de 51% pour les exécutables jusqu'à 91% pour les scripts. Sur la base de ce même langage, des techniques de mutation comportementale allant au delà de celles existantes sont également formalisées à l'aide de techniques de compilation. Ces mutations se révèlent un outil intéressant dans le cadre de l'évaluation de produits antivirus.

    La seconde approche théorique introduit un nouveau modèle viral formel, non plus basé sur les paradigmes fonctionnels, mais sur les algèbres de processus. Ce nouveau modèle permet la description de l'auto-réplication ainsi que d'autres comportements plus complexes, basés sur les interactions. Il supporte la redémonstration de résultats fondamentaux tels que l'indécidabilité de la détection et la prévention par isolation. En outre, le modèle supporte la formalisation de plusieurs techniques existantes de détection comportementale, permettant ainsi d'évaluer formellement leur résistance.


    Abstract: This thesis is devoted to the modeling of malicious behaviors inside malevolent codes, commonly called malware. The thesis work follows two directions, one operational, one theoretical. The objective is to eventually combine these two approaches in order to elaborate detection methods covering most of existing malware, while offering formal security guarantees against appearing ones.

    The first operational approach introduces an abstract behavioral language, independent from implementation aspects such as programming languages or execution environments. The language itself relies on the attribute-grammar formalism, capable of expressing the behavior semantics. Within the language, several behavior descriptions are specified in order to build a detection method based on parsing. The method supports a multi-layered architecture constituted of abstraction modules and generic automata. Its deployment has shown satisfying results in terms of coverage, ranging from 51% for malicious executables to 91% for scripts. On the basis of the same language, some techniques of behavioral mutation going further than existing ones have been formalized using compilation techniques. These mutations have proved themselves interesting tools in the context of antiviral product evaluation.

    The second theoretical approach introduces a formal viral model, no longer based on functional paradigms, but on process algebras. This new model enables the description of of self-replication as well as other more complex behaviors based on interactions. It supports the redemonstration of fundamental results such as the detection undecidability or the prevention by isolation. Moreover, the model supports the formalization of several existing techniques of behavioral detection, thus allowing the formal evaluation of their resilience.


/\