Auswahl der wissenschaftlichen Literatur zum Thema „Sécurité formelle“

Après avoir analysé la structure formelle et la compétence des organes de l'autogestion ouvrière dans l'industrie yougoslave, l'auteur expose les résultats des deux recherches empiriques sur les attitudes et opinions des ouvriers concernant l'autogestion, l'influence de divers organes de l'autogestion, le rôle du parti et des syndicats et la sécurité des ouvriers au travail.

À l’issue de la Première Guerre mondiale, la France espérait s’appuyer sur la Roumanie, pour contrôler les bouches du Danube, tenir à distance la Russie soviétique du cœur de l’Europe et contrôler le révisionnisme allemand. Une décennie plus tard, les relations franco-roumaines n’avaient débouché sur aucune réalité concrète. Impécuniosité notoire et rivalités entre les dirigeants roumains s’étaient conjuguées avec la refondation d’un État multinational, dans le contexte diplomatique mouvant des années 1920, pour rendre chimérique l’hégémonie française. La sécurité des frontières poussa Bucarest à rechercher une garantie formelle que Paris refusait de donner contre les irrédentismes des pays limitrophes. De son côté, la France, qui voyait dans la Roumanie une barrière contre l’URSS et une alliance de revers jusqu’en 1925, mise sur la sécurité collective après Locarno. Les concurrences britannique et italienne achevèrent de ruiner la tentative française d’établir une tutelle régionale.

Abstract: It is a permanent challenge to realize the freedom of contract objective effectively, rather than merely guaranteeing it formally. Indeed, nineteenth century private law already provided certain mechanisms to guarantee the protection of this ‘material’ freedom of contract. Meanwhile, a consensus has been reached on the need for a private law system that also provides real opportunities for self-determination. An example of this can be found in EU consumer law. Admittedly, this law is, for reasons of legal certainty, constrained both in personal and situational terms, and by certain formal requirements. However, the new rules against discrimination are dominated by approaches that focus strongly on the protection of the individual. They are supplemented by national provisions that in particular form a counterweight to certain individual weaknesses. The autonomy of national law in this field can be explained by the different traditions that underlie the ‘social’ contract law in the Member States. The differences are especially apparent in relation to public policy, the bona fide principle and the breach of an obligation before or at the time of contracting (culpa in contrahendo). They represent yet another argument against an undifferentiated leap from partial to full harmonization of contract law. Résumé: Appliquer effectivement le principe de la liberté contractuelle et non simplement lui accorder une garantie formelle constitue un défi permanent. En effet, le droit privé du 19e siècle incluait déjà des éléments garantissant la protection de cette liberté ‘matérielle’ des contrats. Depuis lors, un consensus a été atteint sur la nécessité, dans un système de droit privé, d’accorder également de réelles possibilités d’auto-détermination. On peut en trouver un exemple en matière de droit européen de la consommation. Il est admis que ce droit est restreint – pour des raisons de sécurité juridique – par la spécificité de la personne et de la situation données et qu’il est lié à des exigences formelles préalables. Cependant, les nouvelles règles anti-discriminatoires sont dominées par des approches qui visent clairement la protection de l’individu. Ces règles sont complétées par des dispositions nationales qui, en particulier, compensent les situations de faiblesse des individus. L’autonomie de la loi nationale peut s’expliquer par les différentes traditions concernant le droit ‘social’ des contrats dans les Etats membres. Des différences apparaissent spécialement en ce qui concerne l’intérêt général, la bonne foi ou la responsabilité précontractuelle (culpa in contrahendo). Elles constituent un autre argument s’opposant à l’évolution, indifférenciée, d’une harmonisation partielle vers une harmonisation complète du droit des contrats.

Si l'on peine encore à avoir une vision complète des conséquences de la pandémie de COVID-19 sur le système scolaire formel, on en sait encore moins quant à son impact sur les systèmes d'éducation non formels, et notamment sur les institutions d'enseignement coranique. Dans cet article, nous étudions le lien entre la lutte contre la pandémie et la sécuritisation de l'éducation coranique dans le nord du Nigéria ; plus précisément, nous examinons comment les écoles coraniques, leurs enseignants et leurs élèves ont été présentés comme des menaces pour la sécurité qui exigeaient une réponse ferme. Les questions de sécurité dominent depuis longtemps la façon dont sont perçues les écoles coraniques dans cette région minée par la violence sectaire et interreligieuse. Les élèves des écoles coraniques ont souvent été désignés comme de futurs délinquants et des recrues faciles pour les groupes radicaux ; on les a dépeints comme des vecteurs de maladie, en dépit du manque de preuves épidémiologiques. Dans cet article, nous montrons que cette image de menace pour la sécurité s'est révélée très adaptable dans le contexte de la pandémie de COVID-19. Nous examinons comment le fait de percevoir les élèves des écoles coraniques comme dangereux a légitimé l'évacuation forcée des écoles et la déportation des élèves. Ces mesures drastiques ont nourri l'image du COVID-19 comme une fake news et un complot fomenté par les politiciens pour servir leurs objectifs. Les données pour cet article sont tirées de 14 journaux de bord oraux enregistrés à Kano, au Nigéria, entre avril et juin 2020, de neuf entretiens menés auprès d'enseignants et d'élèves d'écoles coraniques concernées par les mesures d'évacuation et de notre analyse de la couverture médiatique par les journaux nigérians.

Nomads have been credited to be the producers the chunk of the ruminants in Nigeria yet have been greatly marginalized. This study assessed the challenges of nomadic activities in selected four Local Government Areas (LGA) comprising of Daura, Sandamu, Dutsi and Mai'adua in Daura Agricultural Zone of Katsina State, Nigeria. A Multi-stage sampling procedure was employed in the selection of 60 nomads in the study area. Using a well structured questionnaire, information was gathered from the selected respondents with the help of trained enumerators. The information collected include socio-economic characteristics of the farmers, types of animals kept by them as well as the challenges they faced in the process of carrying out nomadic activities. The information obtained from them was analyzed using descriptive statistics. The study revealed that the major age group is 61- 70 years and about 37% of the respondents have no form of formal education. Most of the nomads keep more cattle (63% having more than 200 heads) and less of camel and goats (77% and 88% having less than 50 camels and goats respectively). The major challenges they face are disease and pest attack (90%), insecurity (60%) and inadequate water (83%). A request for accessible veterinary services, adequate security, and a model school designed to meet the peculiarity of the nomads was made. The study concludes that establishment of ranches will improve output and better living standards among the nomads. The study recommends from the response in the research that training in modern animal rearing systems and ranching should be vigorously pursued. Les nomades ont été crédités d'être les producteurs de la part des ruminants au Nigeria, mais ils ont été fortement marginalisés. Cette étude a évalué les défis des activités nomades dans quatre zones de gouvernement local (LGA) sélectionnées comprenant Daura, Sandamu, Dutsi et Mai'adua dans la zone agricole de Daura dans l'État de Katsina, au Nigéria. Une procédure d'échantillonnage en plusieurs étapes a été utilisée dans la sélection de 60 nomades dans la zone d'étude. À l'aide d'un questionnaire bien structuré, l'information a été recueillie auprès des répondants sélectionnés à l'aide de recensements formés. Les informations recueillies comprennent les caractéristiques socio-économiques des agriculteurs, les types d'animaux qu'ils ont gardés ainsi que les défis auxquels ils ont été confrontés dans le processus de réalisation d'activités nomades. Les informations obtenues à partir d'eux ont été analysées à l'aide de statistiques descriptives. L'étude a révélé que le groupe d'âge principal est âgé de 61 à 70 ans et qu'environ 37 % des répondants n'ont aucune forme d'éducation formelle. La plupart des nomades gardent plus de bovins (63 % ont plus de 200 têtes) et moins de chameaux et de chèvres (77 % et 88 % ont moins de 50 chameaux et chèvres respectivement). Les principaux défis auxquels ils sont confrontés sont les attaques de maladies et de ravageurs (90 %), l'insécurité (60 %) et l'insuffisance de l'eau (83 %). Une demande de services vétérinaires accessibles, une sécurité adéquate et une école modèle conçue pour répondre à la particularité des nomades ont été faites. L'étude conclut que l'établissement de ranchs améliorera la production et l'amélioration du niveau de vie des nomades. L'étude recommande, d'après la réponse de la recherche, que la formation aux systèmes modernes d'élevage soit vigoureusement poursuivie.

In 2006, the United Nations adopted the Convention on the Rights of Persons with Disabilities [CRPD], the first international treaty addressing specifically the rights of people with disabilities, including in the workplace. The purpose of the CRPD is “to promote, protect and ensure the full and equal enjoyment of all human rights and fundamental freedoms by all persons with disabilities, and to promote respect for their inherent dignity....” The CRPD has been ratified by 160 countries, including Canada, but not yet by the United States. Article 27 of the CRPD, entitled Work and Employment, prohibits not only discrimination against people with disabilities in employment, but also the right of people with disabilities to reasonable accommodations, equal remuneration for work of equal value, safe and healthy working conditions, assistance in finding, obtaining, maintaining and returning to employment, rehabilitation, job retention and return-to-work programmes, as well as affirmative action programmes, incentives and other measures to promote equal employment opportunities. As compared to the Americans with Disabilities Act and the Canadian Charter, the CRPD, therefore, goes beyond prohibiting discrimination and instead seeks to ensure greater substantive equality for people with disabilities in the workplace. As such, the author proposes that both US and Canadian legislatures and courts should look to the CRPD to help their respective countries move beyond traditional notions of formal equality towards a new right to substantive equality in the workplace for people with disabilities.En 2006, les Nations Unies ont adopté la Convention relative aux droits des personnes handicapées [CDPH], le premier traité international portant explicitement sur les droits des personnes handicapées, y compris les droits dans le milieu de travail. La CDPH a pour objet de « promouvoir, protéger et assurer la pleine et égale jouissance de tous les droits de l’homme et de toutes les libertés fondamentales par les personnes handicapées et de promouvoir le respect de leur dignité intrinsèque […] ». La CDPH a été ratifiée par 160 pays, dont le Canada, mais les États-Unis ne l’ont pas encore ratifiée. En plus d’interdire la discrimination fondée sur le handicap dans tout ce qui a trait à l’emploi, l’article 27 de la CDPH, intitulé « Travail et emploi », protège le droit des personnes handicapées de bénéficier d’aménagements raisonnables, de l’égalité de rémunération à travail égal ainsi que de la sécurité et de l’hygiène sur les lieux de travail, le droit d’obtenir de l’aide liée à la recherche et à l’obtention d’un emploi, au maintien dans l’emploi et au retour à l’emploi, l’accès à des programmes de réadaptation, de maintien dans l’emploi, de retour à l’emploi et d’action positive, de même que l’accès à des incitations et à d’autres mesures visant à promouvoir l’égalité des chances dans l’emploi. En conséquence, comparativement à l’Americans with Disabilities Act et à la Charte canadienne, la CDPH va plus loin qu’interdire la discrimination et vise à assurer une plus grande égalité réelle pour les personnes handicapées dans le milieu de travail. C’est pourquoi l’auteur propose que les assemblées législatives et les tribunaux des États-Unis et du Canada examinent la CDPH afin d’aider les instances décisionnelles de leurs pays respectifs à dépasser les notions traditionnelles de l’égalité formelle et à promouvoir un nouveau droit à l’égalité réelle dans le milieu de travail pour les personnes handicapées.

Le présent article s’intéresse aux réactions formelles relatives aux déviances commises par les acteurs de la sécurité privée transnationale sur le théâtre d’opérations militaires. Par l’entremise d’une analyse des poursuites intentées à l’encontre de compagnies militaires privées (CMP) américaines et de leurs employés durant le conflit irakien entre 2003 et 2008, il se donne pour objectif de saisir la source, le cheminement et l’aboutissement de ces poursuites en vue de mieux comprendre l’avenir de la régulation de cette industrie. Notre démarche méthodologique, inductive, s’appuie sur l’ensemble des poursuites effectivement intentées. Les données témoignent en premier lieu de l’extrême difficulté que les victimes rencontrent dans la poursuite de leurs bourreaux et, dans ces rares cas, dans l’obtention d’une décision de culpabilité. L’analyse laisse également entrevoir qu’il existe deux sortes de déviances susceptibles de mettre en marche le système de justice, soit les cas très graves (et généralement très médiatisés) de violence commise à l’encontre de civils irakiens, et les situations où les victimes sont des soldats américains ou des employés de CMP qui se plaignent de manquements ou de négligences commis par une compagnie. À partir de cette constatation, une réflexion sur l’avenir de la régulation de l’industrie de la sécurité privée transnationale, et notamment sur sa capacité à s’autoréguler, est proposée.

En Afrique de l’Est et de l’Ouest, la plus grande partie du lait provient de petits producteurs qui le vendent sur les marchés informels. Les auteurs font le point sur l’évolution des politiques de développement qui commencent à prendre en compte ce secteur ignoré jusqu’alors et qui prônent une réévaluation des politiques laitières. Ils montrent que la politique laitière actuelle, élaborée à partir de celle des pays développés et des systèmes industrialisés, est inopérante ou inefficace, comme en témoignent la prédominance du secteur informel et le taux élevé de maladies transmises par le lait. Le rôle de la sécurité sanitaire du lait dans la politique laitière et son potentiel à faire évoluer cette politique plus en faveur des pauvres sont discutés. Les auteurs passent en revue les données de la littérature sur la sécurité sanitaire du lait en Afrique ; des taux élevés d’agents pathogènes et d’autres risques sanitaires dans le lait et les produits laitiers ont été rapportés dans les secteurs laitiers formel et aussi informel. Les études de cas présentées suggèrent que la politique d’évaluation participative basée sur les risques existants pourrait permettre d’améliorer la sécurité sanitaire du lait et les bénéfices pour les pauvres. Les auteurs montrent également comment la politique laitière peut être influencée positivement à partir d’exemples d’Afrique de l’Est et de l’Ouest

La prolifération des milices islamiques, leur armement et leur propension à faire usage de la violence physique, en marge des procédures formelles, constitue l’une des manifestations de l’informalisation de la violence physique légitime au Sénégal. Quelles que soient leurs formes, ces milices ne sont pas complètement hors de portée du pouvoir politique. Ce dernier tente de les contrôler politiquement. Le pouvoir transforme les miliciens en auxiliaires de la sécurité publique, de façon permanente ou ponctuelle. Il mobilise les miliciens pour s’attaquer à des opposants, citoyens ou militants politiques, tout en leur assurant une impunité. Les actions des milices peuvent produire des effets politiques indésirables, qui appellent une réponse vigoureuse de la part du pouvoir. Les contestations qui menacent l’autorité politique sont ainsi durement réprimées.

Les architectures de systèmes à logiciel posent des défis pour les experts de sécurité. nombreux travaux ont eu pour objectif d’élaborer des solutions théoriques, des guides méthodologiques et des recommandations, pour renforcer la sécurité et protéger ces systèmes.Une solution proposée est d’intégrer des patrons de sécurité comme solutions méthodologiques à adapter aux spécificités des architectures considérées. Une telle solution est considérée fiable si elle résout un problème de sécurité sans affecter les exigences du système.Une fois un modèle d’architecture implante les patrons de sécurisé, il est nécessaire de valider formellement ce nouveau modèle au regard des exigences attendues. Les techniques de model checking permettent cette validation en vérifiant, d’une part, que les propriétés des patrons de sécurité sont respectées et, d’autre part, que les propriétés du modèle initial sont préservées.Dans ce travail de thèse, nous étudions les méthodes et les concepts pour générer des modèles architecturaux respectant des exigences de sécurité spécifiques. Àpartir d’un modèle d’architecture logicielle, d’une politique de sécurité et d’une librairie des patrons de sécurité, nous souhaitons générer une architecture sécurisée. Chaque patron de sécurité est décrit par une description formelle de sa structure et de son comportement, ainsi qu’une description formelle des propriétés de sécurité associées à ce patron.Cette thèse rend compte des travaux sur l’exploitation de techniques de vérification formelle des propriétés, par model-checking. L’idée poursuivie est de pouvoir générer un modèle d’architecture qui implante des patrons de sécurité, et de vérifier que les propriétés de sécurité, comme les exigences de modèle, sont respectées dans l’architecture résultante.En perspective, les résultats de notre travail pourraient s'appliquer à définir une méthodologie pour une meilleure validation de la sécurité des systèmes industriels comme les SCADA
Software-based architectures pose challenges for security experts. Many studieshave aimed to develop theoretical solutions, methodological guides and recommendations to enhance security and protect these systems.One solution proposed is to integrate security patterns as methodological solutions to adapt to the specificities of the considered architectures. Such a solution is considered reliable if it solves a security problem without affecting systemrequirements. Once an architecture model implements the security patterns, it is necessary to formally validate this new model against the expected requirements. Model checking techniques allow this validation by verifying, on one hand, that theproperties of the security patterns are respected and, on the other hand, that the properties of the initial model are preserved.In this thesis work, we study the methods and concepts to generate architectural models that meet specific security requirements. Starting with a software architecture model, a security policy and a library of security patterns, we want to generate a secure architecture. Each security pattern is described by aformal description of its structure and behavior, as well as a formal description of the security properties associated with that pattern.This thesis reports work on the technical exploitation of formal verification of properties, using model-checking.The idea is to be able to generate an architecture model that implements security patterns, and to verify that the security properties, as well as the model requirements, are respected in the resulting architecture.In perspective, the results of our work could be applied to define a methodology for a better validation of the security of industrial systems like SCADA

Les politiques de sécurité sont devenues de nos jours un point clé dans toutes les infrastructures modernes. La spécification et le test de telles politiques constituent deux étapes fondamentales dans le développement d'un système sécurisé dans la mesure où toute erreur dans l'une de ces règles est susceptible de nuire à la sécurité globale du système. Pour faire face à ces deux défis, nous proposons une approche formelle pour spécifier les politiques de sécurité et vérifier leur déploiement sur des systèmes d'informations en réseau. Pour atteindre cet objectif, nous nous basons dans ce manuscrit sur deux approches différentes de test: l'approche active et l'approche passive. Le principe du test actif consiste à générer automatiquement une suite de scénarios de tests qui peut être appliquée sur un système sous test pour en étudier sa conformité par rapport à ses besoins en matière de sécurité. Quand au test passif, il consiste à observer et analyser passivement le système sous test, sans interrompre le flux normal de ses opérations. Pour l'approche active, nous proposons une méthodologie qui permet de générer automatiquement des séquences de test afin de valider la conformité d'un système par rapport à sa politique de sécurité. Le comportement fonctionnel du système est spécifié en utilisant un modèle formel basé sur des machines à états finis étendues (EFSM). Tandis que les besoins de sécurité sont spécifiés en utilisant deux langages formels (Or-BAC et Nomad). L'intégration de règles de sécurité au sein de la spécification fonctionnelle du système est réalisée grâce à des algorithmes dédiés et permet l'obtention d'une spécification sécurisée du système. La génération automatique des tests est ensuite effectuée en utilisant des outils développés dans notre laboratoire et permet d'obtenir des cas de tests abstraits décrits dans des notations standards (TTCN ou MSC) facilitant ainsi leur portabilité. Dans l'approche passive, nous spécifions la politique de sécurité que le système sous test doit respecter en utilisant le langage formel Nomad. Nous analysons ensuite les traces d'exécution d'un système afin d'élaborer un verdict sur leur conformité par rapport à la politique de sécurité. Plusieurs algorithmes sont fournis dans ce manuscrit pour vérifier si les traces recueillies sont conformes à la politique de sécurité. Nous avons appliqué notre méthodologie à divers systèmes allant des réseaux sans fil (le protocole de routage ad hoc OLSR) à des systèmes informatiques comme les systèmes d'audit (SAP R/3), les Web services (application Travel de France Télécom) et des applications Web (Weblog). Cette large gamme d'applications permet de démontrer l'efficacité et la fiabilité des approches proposées
Security is a critical issue especially in dynamic and open distributed environments such as World Wide Web or wireless networks. To ensure that a certain level of security is always maintained, the system behavior must be restrained by a security policy. In this thesis, we propose a framework to specify security policies and test their implementation on networking and information systems. Security policies, nowadays, are a key point for the success of every modern infrastructure. The specification and the testing of security policies are the fundamental steps in the development of a secure system since any error in a set of rules is likely to harm the global security. We rely on two different test approaches to build our framework: the active and the passive approaches. The active testing consists in generating a set of test cases that can be applied on a specific implementation to study its conformance according to its security requirements. Whereas, the passive testing consists in passively observing the traffic of the system under test, without interrupting its normal operations. In the active approach, we propose a framework to automatically generate test sequences to validate the conformance of a security policy. The functional behavior of the system is specified using a formal description technique based on Extended Finite State Machines (EFSM), while the security requirement is specified using two formals languages (Or-BAC and Nomad). We developed specific algorithms to integrate the security rules within the functional system specification. In this way, we obtain a complete specification of the secured system. Then, the automatic test generation is performed using dedicated tools to produce test suites in a standard language (TTCN or MSC) facilitating their portability. In the passive testing approach, we specify, using Nomad formal language, the security policy the system under test has to respect. We analyze then the collected traces of the system execution in order to deduce verdicts of their conformity with respect to the system security requirements. Several algorithms are developed to check whether the collected traces conform or not to the security policy. We applied our framework on diverse systems ranging from wireless networking (OLSR ad hoc routing protocol) to computer systems including audit systems (SAP R/3), web services (France Télécom Travel) and web applications (Weblog Application). This wide range of applications allows to demonstrate the efficiency and the reliability of the proposed approaches

Les pare-feu sont des éléments cruciaux pour le renforcement de la politique de sécurité d’un réseau. Ils ont été largement déployés pour sécuriser les réseaux privés, mais leur configuration reste complexe et sujette de plusieurs anomalies. Au cours des dernières années, plusieurs techniques et outils ont été proposés pour configurer correctement un pare-feu. Cependant, la plupart de ces techniques restent informelles et ne prennent pas en compte la performance globale du réseau ou d’autres paramètres de qualités de services. Dans ce mémoire, nous introduisons une approche formelle permettant de configurer optimalement et formellement un réseau de sorte qu’il respecte une politique de sécurité donnée tout en tenant compte de ses qualités de services.
Firewalls are crucial elements in enforcing network security policies. They have been widely deployed for securing private networks but, their configuration remains complex and error prone. During the last years, many techniques and tools have been proposed to correctly configure firewalls. However, most of existing works are informal and do not take into account the global performance of the network or other qualities of its services (QoS). In this thesis we introduce a formal approach allowing to formally and optimally configure a network so that a given security policy is respected and by taking into account the QoS.

La maîtrise de la sécurité dans les systèmes embarqués communicants se heurte àun certain nombre de difficultés, dues à leur nature qui est le plus souvent complexe. Adopter une approche basée sur les modèles pour la vérification des exigences du système dès la phase de conception peut apporter un gain important en matière de coût et de temps.Dans ce travail de thèse, nous proposons une approche centrée sur les modèlespour la vérification formelle de la satisfaisabilité d’un scénario d’attaque pour un système embarqué communicant. L’approche proposée est composée de trois étapes : i) la modélisation conceptuelle du système, ii) la modélisation conceptuelle de l’attaque, iii) la transformation des modèles conceptuels en modèles formels en vue de vérification. Le langage SysML a été choisi pour la modélisation structurelle et comportementale du système en raison de son adaptabilité et son extensibilité par profilage. Afin de personnaliser la modélisation des flux de données, nous avons stéréotypé les ports et les connecteurs suivant les technologies et leurs propriétés. Cettepersonnalisation nous a permis de suivre les traces de la circulation des flux entre les différents sous-systèmes communicants. Une ébauche de la documentation du profil de connectivité a été proposée. Pour la structuration de l’attaque, un profil de l’arbre d’attaque étendu nommé ExtAttTree a été proposé. À la différence des arbres d’attaque classiques, ce profil parvient à assurer l’aspect formel et temporel de l’attaque, grâce à l’insertion des opérateurs de la logique temporelle dans ses nœuds.Dans le cadre ainsi défini, la conduite d’une étude de transformation de modèlesest introduite dans la troisième partie. Elle a pu se dérouler d’une manière assez optimale en s’appuyant sur le paradigme Model-Drivent Architecture. Nous avons engagé deux processus de transformation, le premier visant à générer du code NuSMV à partir des modèles SysML en utilisant une transformation par template (Acceleo). Le second assure le passage de l’attaque ExtAttTree vers la formule Computational Tree Logic en utilisant une transformation par programmation (Java). Les modèles générés sont simulés sur le model checker NuSMV. Le système est caractérisé par des attributs ; pour faire des tests de satisfaisabilité, une variation de la valeur de vérité des attributs est effectuée. À cet effet, nous pouvons détecter avec exactitude les conditions qui ont mené à une attaque. En complément de cette approche, deux cas d’étude de voitures connectées ont été proposés (la Jeep Cherokee et la Tesla model S). Des scénarios d’attaque inspirés du réel ont été analysés afin de valider l’approche
Due to their most often complex nature, the control of the security in commu-nicating embedded systems comes up against major difficulties. The adoption of amodel-based approach for verifying system requirements at the earliest stage, i.e. in the design phase, may bring about substantial cost cutting and time saving. In this doctoral thesis, we propose a design-centric approach for the formal verification of an attack scenario satisfiability for embedded communicating systems. Thus, we propose a three-stage approach : i) conceptual modelling of the system, ii) conceptual modelling of the attack, iii) transformation of conceptual models into formal models for verification. For the structural and behavioural modelling of the system, we opted for the SysML language as it offers the best adaptability and extensibility by profiling. In order to personalize the modelling of data flows, we stereotyped ports and connectors according to their technologies and properties. This extension allowed us to monitor the circulation traces of flows between the differentcommunicating subsystems. A documentation of the connectivity profile was pro-posed. For structuring the attack, we put forward an extended attack tree profile termed ExtAttTree. Unlike conventional attack trees, this profile manages to ensure both formal and temporal aspects of the attack, through the insertion of operators of temporal logic in its nodes.We introduce, in the third part, a study of models’ transformation, carried outwithin this predefined framework. The transformation proceeded in a substantially optimized way, based on the Model-Driven Architecture paradigm. We implemented two transformation processes. The first aimed to generate NuSMV code from SysML models by using a transformation by template paradigm with Acceleo. The second ensures the transition from the ExtAttTree attack to the Computational Tree Logic formula using a programming language transformation paradigm with Java. The generated models are simulated on the NuSMV model checker. The system is characterized by attributes ; to achieve satisfiability tests, a variation in the attributes truth-value is carried out. This scheme allows to accurately detect the conditions that led to an attack. As a complement to this approach, we proposed two case studies of connected cars remote attacks (the Jeep Cherokee and the Tesla Model S). The attack scenarios inspired from real-life are analyzed in order to validate the approach

La mise en œuvre d’une politique de sécurité réseau consiste en la configuration de mécanismes de sécurité hétérogènes (passerelles IPsec, listes de contrôle d’accès sur les routeurs, pare-feux à états, proxys, etc. ) disponibles dans un environnement réseau donné. La complexité de cette tâche réside dans le nombre, la nature, et l’interdépendance des mécanismes à considérer. Si différents travaux de recherche ont tenté de fournir des outils d’analyse, la réalisation de cette tâche repose aujourd’hui encore sur l’expérience et la connaissance des administrateurs sécurité qui doivent maîtriser tous ces paramètres. Dans cette thèse nous proposons une solution pour faciliter le travail des administrateurs réseau. En effet, nombre d’inconsistances viennent de l’incompatibilité de règles de politiques, de l’incompatibilité de mécanismes mis en œuvre successivement au sein des équipements traversés. Une théorie formelle générique qui permet de raisonner sur les flux de données réseau est manquante. Dans cette optique, nous présentons trois résultats complémentaires : 1-un modèle formel orienté flux de données pour l’analyse de politiques de sécurité réseau afin de détecter les problèmes de consistance entre différents mécanismes de sécurité sur des équipements différents jouant un rôle à différents niveaux dans les couches ISO. Dans ce modèle, nous avons modélisé un flux d’information par un triplet contenant la liste des protocoles de communication dont le flux résulte, la liste des attributs dont l’authentification est garantie, et la liste des attributs dont la confidentialité est garantie. 2-un formalisme indépendant de la technologie basé sur les flux de données pour la représentation des mécanismes de sécurité ; nous avons spécifié formellement la capacité et la configuration des mécanismes de sécurité devant être mis en œuvre en construisant une abstraction des flux physiques de blocs de données. Nous avons proposé une solution qui peut répondre aux exigences de sécurité et qui peut aider à analyser les conflits liés au déploiement de plusieurs technologies installées sur plusieurs équipements 3-afin d’évaluer à la fois la capacité d’expression et d’analyse du langage de modélisation, nous avons utilisé les réseaux de Petri colorés pour spécifier formellement notre langage. L’objectif de nos recherches vise l’intérêt et la mise à disposition d’un langage de modélisation pour décrire et valider les architectures solutions répondant à des exigences de sécurité réseau. Des simulations appliquées à des cas particuliers, comme le protocole IPsec, NA(P)T et Netfilter/iptables, complètent notre démarche. Néanmoins, l’analyse des conflits de sécurité se fait actuellement par simulation et de manière non exhaustive. Nos travaux futurs viseront à aider/automatiser l’analyse en permettant aux intéressés de définir les propriétés en logique temporelle par exemple qui seront contrôlées automatiquement
The implementation of network security policy requires the configuration of heterogeneous and complex security mechanisms in a given network environment (IPsec gateways, ACLs on routers, stateful firewalls, proxies, etc. ). The complexity of this task resides in the number, the nature, and the interdependence of these mechanisms. Although several researchers have proposed different analysis tools, achieving this task still requires experienced and proficient security administrators who can handle all these parameters. In this thesis, we propose a solution to facilitate the work of network administrators. Indeed, many inconsistencies come from the incompatibility of policy rules and/or incompatible mechanisms implemented in devices through which packets travel. A generic formal theory that allows reasoning about network data flows and security mechanisms is missing. With this end in mind, we develop in this thesis three results: •A formal data-flow oriented model to analyze and detect network security conflicts between different mechanisms playing a role at various ISO levels. We modeled a flow of information by a triplet containing the list of communication protocols (i. E. , encapsulation), the list of authenticated attributes and the list of encrypted attributes, •A generic attribute-based model for network security mechanisms representation and configuration. We have formally specified the capacity and configuration of security mechanisms by constructing an abstraction of physical flows of data blocks. We have proposed a solution that can satisfy security requirements and can help conflicts analysis in the deployment of technologies installed on different devices, •To evaluate both the ability of expression and analysis power of the modeling language. We have used CPN Tools [Jensen et Kristensen 2009] and [CPN tools] to formally specify our language. The goal of our research is to propose a modeling language for describing and validating architectural solutions that meet network security requirements. Simulations are applied to specific scenarios, such as the IPsec, NA(P)T and Netfilter/iptables protocols, to validate our approach. Nevertheless, the analysis of security conflicts is currently done by simulation and in a non-exhaustive manner. Our future work will aim to assist/automate the analysis by allowing the definition of properties in temporal logic for instance which will be automatically controlled

Le but de ce rapport est de présenter une méthode globale de développement à partir de spécifications informelles, depuis la modélisation graphique des exigences temporelles d'un système ferroviaire critique jusqu'à une implantation systématique au moyen de méthodes formelles. Nous proposons d'utiliser ici les réseaux de Petri temporels pour décrire le comportement attendu du logiciel de contrôle-commande à construire.Tout d'abord nous construisons un modèle des exigences p-temporel prenant en compte toutes les contraintes que doit vérifier le système. Nous proposons des outils et des méthodes capables de valider et de vérifier ce modèle. Ensuite, il s'agit de construire un modèle de processus solution en réseau de Petri t-temporel. Ce modèle illustre des exigences techniques relatives à un choix technologique ou architectural. L'objectif est double : tout d'abord il est nécessaire de vérifier la traçabilité des exigences ; ensuite, il faut vérifier que l'ensemble des exigences sources sont bien implémentées dans la solution préconisée et dans sa mise en oeuvre. Enfin, nous proposons une approche visant à transformer de façon systématique le modèle de processus en machine abstraite $B$ afin de poursuivre une procédure formelle $B$ classique. Finalement, le cas d'étude du passage à niveau, composant critique dans le domaine de la sécurité ferroviaire est décrit

Le but de ce rapport est de présenter une méthode globale de développement à partir de spécifications informelles, depuis la modélisation graphique des exigences temporelles d'un système ferroviaire critique jusqu'à une implantation systématique au moyen de méthodes formelles. Nous proposons d'utiliser ici les réseaux de Petri temporels pour décrire le comportement attendu du logiciel de contrôle-commande à construire.Tout d'abord nous construisons un modèle des exigences p-temporel prenant en compte toutes les contraintes que doit vérifier le système. Nous proposons des outils et des méthodes capables de valider et de vérifier ce modèle. Ensuite, il s'agit de construire un modèle de processus solution en réseau de Petri t-temporel. Ce modèle illustre des exigences techniques relatives à un choix technologique ou architectural. L'objectif est double : tout d'abord il est nécessaire de vérifier la traçabilité des exigences ; ensuite, il faut vérifier que l'ensemble des exigences sources sont bien implémentées dans la solution préconisée et dans sa mise en oeuvre. Enfin, nous proposons une approche visant à transformer de façon systématique le modèle de processus en machine abstraite $B$ afin de poursuivre une procédure formelle $B$ classique. Finalement, le cas d'étude du passage à niveau, composant critique dans le domaine de la sécurité ferroviaire est décrit
The introduction of new European standards for railway safety, coupled with an increasing use of software technology changes the method of development of critical railway systems. Indeed, new systems have to be at least as good as the previous ones. Therefore the appropriate safety level of critical systems has to be proved in order to obtain the necessary approval from the authorities. Accordingly a high level of reliability and correctness must be reached by the use of mathematical proofs and then formal methods. We focus on the treatment of the temporal requirements in the level crossing case study which is modelled with p-time Petri nets, and on the translation of this model in a more formal way by using the B method. This paper introduces a methodology to analyse the safety of timed discrete event systems. First, our goal is to take out the forbidden state highlighted by a p-time Petri net modelling. This model deals with the requirements of the considered system and has to contain all the constraints that have to be respected. Then we aim at describing a process identified as a solution of the system functioning. This method consists in exploring all the possible behaviours of the system by means of the construction of state classes. Finally, we check if the proposed process corresponds to the requirements model previously built.Our case-study is the level crossing, a critical component for the safety of railway systems

La mise en oeuvre des méthodes formelles déductives lors du développement de systèmes permet d'obtenir des garanties mathématiques quant à leur validité. Pour cette raison, leur utilisation est recommandée ou exigée par certains standards relatifs à la sûreté de fonctionnement ou à la sécurité, tels que l'IEC 61508 ou les Critères Communs. Il reste cependant légitime de s'interroger sur la portée exacte des bénéfices obtenus. Certains aspects d'un système peuvent en effet échapper à la formalisation, et il n'est pas toujours facile d'identifier ces limitations ou leurs conséquences. De même, si la validité d'une preuve vérifiée mécaniquement est difficilement contestable, son utilisation pour justifier d'une confiance réelle dans le système physique n'est pas toujours admise. De telles questions sont particulièrement pertinentes dans le domaine de la sécurité, lorsque les systèmes sont l'objet d'attaques de la part d'agents intelligents ; par rapport à la sûreté il y a un changement radical de point de vue, qui justifie de s'interroger quant à l'application de principes ou de pratiques bien connus. Nous identifions les bénéfice et évaluons la confiance résultant de l'application des méthodes formelles déductives lors de développements de systèmes de sécurité. Cette analyse aborde les éventuelles difficultés, déviations ou problèmes qui peuvent être rencontrés et les illustre par des exemples. Elle comporte également une étude détaillée du concept de raffinement, et présente un plongement profond visant à valider la logique de la méthode B en Coq. Ce plongement conduit par ailleurs à l'étude des représentations à la de Bruijn.

Les “smart-devices” tels les smartphones, tablettes et même les montres ont été largement démocratisés au cours de la dernière décennie. Dans nos sociétés occidentales, on ne garde plus seulement son ordinateur personnel chez soi, on le transporte dans la poche arrière de son pantalon ou bien autour de son poignet. Ces outils ne sont d’ailleurs plus limités, en termes d’utilisation, à de la simple communication par SMS ou bien téléphone, on se fie à eux pour stocker nos photos et données personnelles, ces dernières parfois aussi critiques que des données de paiement bancaires, on gère nos contacts et finances, se connecte à notre boite mail ou un site marchand depuis eux. . . Des exemples récents nous fournissent d’ailleurs un aperçu des tâches de plus en plus complexes que l’on confie à ces outils : l’Estonie autorise l’utilisation de smartphones pour participer aux scrutins nationaux et en 2017, la société Transport for London a lancé sa propre application autorisant l’émulation d’une Oyster card et son rechargement pour emprunter son réseau de transports publics. Plus les services se complexifient, plus la confiance qui leur est accordée par les groupes industriels et les utilisateurs grandit. Nous nous intéressons ici aux protocoles cryptographiques qui définissent les échanges entre les outils et entités qui interviennent dans l’utilisation de tels services et aux garanties qu’ils proposent en termes de sécurité (authentification mutuelle des agent, intégrité des messages circulant, secret d’une valeur critique…). Moult exemples de la littérature et de la vie courante ont démontré que leur élaboration était hautement vulnérable à des erreurs de design. Heureusement, des années de recherches nous ont fournis des outils pour rendre cette tâche plus fiable, les méthodes formelles font partie de ceux-là. Il est possible de modeler un protocole cryptographique comme un processus abstrait qui manipule des données et primitives cryptographiques elles aussi modélisées comme des termes et fonctions abstraites. On met le protocole à l’épreuve face à un attaquant actif et on peut spécifier mathématiquement les propriétés de sécurité qu’il est censé garantir. Ces preuves de sécurité peuvent être automatisées grâce à des outils tels que ProVerif ou bien Tamarin. L’une des grandes difficultés lorsque l’on cherche à concevoir et prouver formellement la sécurité d’un protocole de niveau industriel réside dans le fait que ce genre de protocole est généralement très long et doit satisfaire des propriétés de sécurité plus complexes que certains protocoles universitaires. Au cours de cette thèse, nous avons souhaité étudier deux cas d’usage : le vote électronique et le paiement mobile. Dans les deux cas, nous avons conçu et prouvé la sécurité d’un protocole répondant aux problématiques spécifiques à chacun des cas d’usage. Dans le cadre du vote électronique, nous proposons le protocole Belenios VS, une variante de Belenios RF. Nous définissons l’écosystème dans lequel le protocole est exécuté et prouvons sa sécurité grâce à ProVerif. Belenios VS garantit la confidentialité du vote et le fait qu’un utilisateur puisse vérifier que son vote a bien fait parti du résultat final de l’élection, tout cela même si l’outil utilisé par le votant est sous le contrôle d’un attaquant. Dans le cadre du paiement, nous avons proposé la première spécification ouverte de bout en bout d’une application de paiement mobile. Sa conception a pris en compte le fait qu’elle devait pouvoir s’adapter à l’écosystème de paiement déjà existant pour être largement déployable et que les coûts de gestion, de développement et de maintenance de la sécurité devait être optimisés
The last decade has seen the massive democratization of smart devices such as phones, tablets, even watches. In the wealthiest societies of the world, not only do people have their personal computer at home, they now carry one in their pocket or around their wrist on a day to day basis. And those devices are no more used simply for communication through messaging or phone calls, they are now used to store personal photos or critical payment data, manage contacts and finances, connect to an e-mail box or a merchant website... Recent examples call for more complex tasks we ask to such devices: Estonia voting policy allows the use of smart ID cards and smartphones to participate to national elections. In 2017, Transport for London launched the TfL Oyster app to allow tube users to top up and manage their Oyster card from their smartphone. As services grow with more complexity, so do the trust users and businesses put in them. We focus our interest into cryptographic protocols which define the exchanges between devices and entities so that such interaction ensure some security guarantees such as authentication, integrity of messages, secrecy… Their design is known to be an error prone task. Thankfully, years of research gave us some tools to improve the design of security protocols, among them are the formal methods: we can model a cryptographic protocol as an abstract process that manipulates data and cryptographic function, also modeled as abstract terms and functions. The protocol is tested against an active adversary and the guarantees we would like a protocol to satisfy are modeled as security properties. The security of the protocol can then be mathematically proven. Such proofs can be automated with tools like ProVerif or Tamarin. One of the big challenge when it comes to designing and formally proving the security an “industrial- level” protocol lies in the fact that such protocols are usually heavier than academic protocols and that they aim at more complex security properties than the classical ones. With this thesis, we wanted to focus on two use cases: electronic voting and mobile payment. We designed two protocols, one for each respective use case and proved their security using automated prover tools. The first one, Belenios VS, is a variant of an existing voting scheme, Belenios RF. It specifies a voting ecosystem allowing a user to cast a ballot from a voting sheet by flashing a code. The protocol’s security has been proven using the ProVerif tool. It guarantees that the vote confidentiality cannot be broken and that the user is capable of verifying their vote is part of the final result by performing a simple task that requires no technical skills all of this even if the user’s device is compromised – by a malware for instance. The second protocol is a payment one that has been conceived in order to be fully scalable with the existing payment ecosystem while improving the security management and cost on the smartphone. Its security has been proven using the Tamarin prover and holds even if the user’s device is under an attacker’s control

Longtemps exclues de la possession des terres par les régimes coutumiers et les régimes statutaires, il est temps que les femmes africaines détiennent et exercent des droits fonciers et forestiers sécurisés par des mécanismes formels et non formels à l’intérieur des microcosmes ruraux. D’un, ce serait une réponse énergique à l’injustice, à la violence juridique et à la violence symbolique. De deux, ce serait un levier pour l’endiguement de l’érosion de la biodiversité et des services écosystémiques. De trois, ce serait une arme de lutte contre les effets socio-écologiques des changements climatiques. De quatre, ce serait un outil de lutte contre la pauvreté.