Rozprawy doktorskie na temat „Sécurité et confidentialité”

Au cours des 30 dernières années, les dispositifs RFID actifs sont passés de simples dispositifs d’identification (tags) à des noeuds autonomes qui, en prime, collectent (à partir de l’environnement ou d’autres sources) et échangent des données. En conséquence, le spectre de leurs applications s’est largement étendu, passant de la simple identification à la surveillance et à la localisation en temps réel. Ces dernières années, grâce à leurs avantages, l’utilisation de noeuds RFID actifs pour la collecte de données mobiles a suscité une attention particulière. En effet, dans la plupart des scénarios, ces noeuds sont déployés dans des environnements adverses. Les données doivent donc être stockées et transmises de manière sécurisée pour empêcher toute attaque par des adversaires actifs : même si les noeuds sont capturés, la confidentialité des données doit être assurée. Toutefois, en raison des ressources limitées des noeuds en termes d’énergie, de stockage et/ou de calcul, la solution de sécurité utilisée doit être légère. Cette thèse est divisée en deux parties. Dans la première, nous étudierons en détail l’évolution des noeuds RFID actifs et leur sécurité. Nous présenterons ensuite, dans la seconde partie, un nouveau protocole sans serveur permettant à des MDC (collecteurs de données mobiles), par exemple des drones, de collecter en toute sécurité des données provenant de noeuds RFID actifs mobiles et statiques afin de les transmettre ultérieurement à un tiers autorisé. L’ensemble de la solution proposée garantit la confidentialité des données à chaque étape (de la phase de mesure, avant la collecte des données par le MDC, une fois les données collectées par le MDC et lors de la livraison finale), tout en satisfaisant les exigences de faible consommation des ressources (calcul, mémoire, etc.) des entités impliquées. Pour évaluer l’adéquation du protocole aux exigences de performance, nous l’implémenterons sur les dispositifs de sécurité les plus limités en ressources c’est-à-dire à base de processeur de cartes à puce pour prouver qu’il est efficace même dans les pires conditions. De plus, pour prouver que le protocole satisfait aux exigences de sécurité, nous l’analyserons à l’aide de jeux de sécurité et également d’outils de vérification formelle : AVISPA et ProVerif
Over the 30 last years, active RFID devices have evolved from nodes dedicated to identification to autonomous nodes that, in addition, sense (from environment or other sources) and exchange data. Consequently, the range of their applications has rapidly grown from identification only to monitoring and real time localisation. In recent years, thanks to their advantages, the use of active RFID nodes for mobile data collection has attracted significant attention. However, in most scenarios, these nodes are unattended in an adverse environments, so data must be securely stored and transmitted to prevent attack by active adversaries: even if the nodes are captured, data confidentiality must be ensured. Furthermore, due to the scarce resources available to nodes in terms of energy, storage and/or computation, the used security solution has to be lightweight. This thesis is divided in two parts. In the first, we will study in details the evolution of active RFID nodes and their security. We will then, present, in the second part, a new serverless protocol to enable MDCs (Mobile Data Collectors), such as drones, to collect data from mobile and static Active RFID nodes and then deliver them later to an authorized third party. The whole solution ensures data confidentiality at each step (from the sensing phase, before data collection by the MDC, once data have been collected by MDC, and during final delivery) while fulfilling the lightweight requirements for the resource-limited entities involved. To assess the suitability of the protocol against the performance requirements, we will implement it on the most resource-constrained secure devices to prove its efficiency even in the worst conditions. In addition, to prove the protocol fulfills the security requirements, we will analyze it using security games and we will also formally verify it using the AVISPA and ProVerif tools

Les systèmes fonctionnant sur un réseau ouvert tels que les bases de données médicales ou les systèmes bancaires peuvent manipuler des informations dont la confidentialité doit être impérativement préservée. Dans ce contexte, la notion d'opacité formalise la capacité d'un système à garder secrètes certaines informations critiques. Dans cette thèse, nous nous intéressons à la fois à vérifier que la propriété d'opacité est satisfaite et à la synthèse de systèmes opaques. Vérifier l'opacité est un problème décidable pour des systèmes de transition finis. Pour les systèmes infinis, nous étudions l'application de techniques d'interprétation abstraite à la détection de vulnérabilité. Nous présentons aussi une méthode alternative qui s'appuie sur des abstractions régulières et sur des techniques de diagnostique pour détecter de telles vulnérabilité à l'exécution du système. Pour la synthèse de système opaque, nous appliquons dans un premier temps la théorie du contrôle à la Ramadge et Wonham pour calculer un contrôleur assurant l'opacité. Nous montrons que les techniques habituelles de synthèse de contrôleur ne peuvent être appliqué pour ce problème d'opacité et nous développons alors de nouveaux algorithmes pour calculer l'unique système opaque qui soit maximal au sens de l'inclusion des langages. Ces résultats sont à rapprocher des techniques de construction de système sécurisé par assemblage de composant. Finalement, nous présentons une autre approche pour la synthèse de système opaque qui consiste à synthétiser un filtre qui décide, dynamiquement, de masquer des événements observable afin d'éviter que de l'information secrète ne soit révélée. Ceci permet d'étudier dans un cadre formel la synthèse automatique de pare-feu assurant la confidentialité de certaines informations critiques.

Dans cette thèse, nous nous sommes intéressés aux problématiques de sécurité et de confidentialité liées à l'utilisation d'applications web et à l'installation d'extensions de navigateurs. Parmi les attaques dont sont victimes les applications web, il y a celles très connues de type XSS (ou Cross-Site Scripting). Les extensions sont des logiciels tiers que les utilisateurs peuvent installer afin de booster les fonctionnalités des navigateurs et améliorer leur expérience utilisateur. Content Security Policy (CSP) est une politique de sécurité qui a été proposée pour contrer les attaques de type XSS. La Same Origin Policy (SOP) est une politique de sécurité fondamentale des navigateurs, régissant les interactions entre applications web. Par exemple, elle ne permet pas qu'une application accède aux données d'une autre application. Cependant, le mécanisme de Cross-Origin Resource Sharing (CORS) peut être implémenté par des applications désirant échanger des données entre elles. Tout d'abord, nous avons étudié l'intégration de CSP avec la Same Origin Policy (SOP) et démontré que SOP peut rendre CSP inefficace, surtout quand une application web ne protège pas toutes ses pages avec CSP, et qu'une page avec CSP imbrique ou est imbriquée dans une autre page sans ou avec un CSP différent et inefficace. Nous avons aussi élucidé la sémantique de CSP, en particulier les différences entre ses 3 versions, et leurs implémentations dans les navigateurs. Nous avons ainsi introduit le concept de CSP sans dépendances qui assure à une application la même protection contre les attaques, quelque soit le navigateur dans lequel elle s'exécute. Finalement, nous avons proposé et démontré comment étendre CSP dans son état actuel, afin de pallier à nombre de ses limitations qui ont été révélées dans d'autres études. Les contenus tiers dans les applications web permettent aux propriétaires de ces contenus de pister les utilisateurs quand ils naviguent sur le web. Pour éviter cela, nous avons introduit une nouvelle architecture web qui une fois déployée, supprime le pistage des utilisateurs. Dans un dernier temps, nous nous sommes intéressés aux extensions de navigateurs. Nous avons d'abord démontré que les extensions qu'un utilisateur installe et/ou les applications web auxquelles il se connecte, peuvent le distinguer d'autres utilisateurs. Nous avons aussi étudié les interactions entre extensions et applications web. Ainsi avons-nous trouvé plusieurs extensions dont les privilèges peuvent être exploités par des sites web afin d'accéder à des données sensibles de l'utilisateur. Par exemple, certaines extensions permettent à des applications web d'accéder aux contenus d'autres applications, bien que cela soit normalement interdit par la Same Origin Policy. Finalement, nous avons aussi trouvé qu'un grand nombre d'extensions a la possibilité de désactiver la Same Origin Policy dans le navigateur, en manipulant les entêtes CORS. Cela permet à un attaquant d'accéder aux données de l'utilisateur dans n'importe qu'elle autre application, comme par exemple ses mails, son profile sur les réseaux sociaux, et bien plus. Pour lutter contre ces problèmes, nous préconisons aux navigateurs un système de permissions plus fin et une analyse d'extensions plus poussée, afin d'alerter les utilisateurs des dangers réels liés aux extensions
In this thesis, we studied security and privacy threats in web applications and browser extensions. There are many attacks targeting the web of which XSS (Cross-Site Scripting) is one of the most notorious. Third party tracking is the ability of an attacker to benefit from its presence in many web applications in order to track the user has she browses the web, and build her browsing profile. Extensions are third party software that users install to extend their browser functionality and improve their browsing experience. Malicious or poorly programmed extensions can be exploited by attackers in web applications, in order to benefit from extensions privileged capabilities and access sensitive user information. Content Security Policy (CSP) is a security mechanism for mitigating the impact of content injection attacks in general and in particular XSS. The Same Origin Policy (SOP) is a security mechanism implemented by browsers to isolate web applications of different origins from one another. In a first work on CSP, we analyzed the interplay of CSP with SOP and demonstrated that the latter allows the former to be bypassed. Then we scrutinized the three CSP versions and found that a CSP is differently interpreted depending on the browser, the version of CSP it implements, and how compliant the implementation is with respect to the specification. To help developers deploy effective policies that encompass all these differences in CSP versions and browsers implementations, we proposed the deployment of dependency-free policies that effectively protect against attacks in all browsers. Finally, previous studies have identified many limitations of CSP. We reviewed the different solutions proposed in the wild, and showed that they do not fully mitigate the identified shortcomings of CSP. Therefore, we proposed to extend the CSP specification, and showed the feasibility of our proposals with an example of implementation. Regarding third party tracking, we introduced and implemented a tracking preserving architecture, that can be deployed by web developers willing to include third party content in their applications while preventing tracking. Intuitively, third party requests are automatically routed to a trusted middle party server which removes tracking information from the requests. Finally considering browser extensions, we first showed that the extensions that users install and the websites they are logged into, can serve to uniquely identify and track them. We then studied the communications between browser extensions and web applications and demonstrate that malicious or poorly programmed extensions can be exploited by web applications to benefit from extensions privileged capabilities. Also, we demonstrated that extensions can disable the Same Origin Policy by tampering with CORS headers. All this enables web applications to read sensitive user information. To mitigate these threats, we proposed countermeasures and a more fine-grained permissions system and review process for browser extensions. We believe that this can help browser vendors identify malicious extensions and warn users about the threats posed by extensions they install

Les programmes mobiles, comme les applettes, sont utiles mais potentiellement hostiles, et il faut donc pouvoir s'assurer que leur exécution n'est pas dangereuse pour le système hôte. Une solution est d'exécuter le programme mobile dans un environnement sécurisé, servant d'interface avec les ressources locales, dans le but de contrôler les flux d'informations entre le code mobile et les ressources, ainsi que les accès du code mobile aux ressources. Nous proposons deux critères de sécurité pour l'exécution de code mobile, obtenus chacun à partir d'une analyse de l'environnement local. Le premier porte sur les flux d'informations, garantit la confidentialité, est fondé sur le code de l'environnement, et est exact et indécidable ; le second porte sur les contrôles d'accès, garantit le confinement, s'obtient à partir du type de l'environnement, et est approché et décidable. Le premier chapitre, méthodologique, présente l'étude d'objets infinis représentés sous la forme d'arbres. Nous avons privilégié pour les définir, une approche équationnelle, et pour raisonner sur eux, une approche déductive, fondée sur l'interprétation co-inductive de systèmes d'inférence. Dans le second chapitre, on montre dans le cas simple du calcul, comment passer d'une sémantique opérationnelle à une sémantique dénotationnelle, en utilisant comme dénotation d'un programme son observation. Le troisième chapitre présente finalement en détail les deux critères de sécurité pour l'exécution de code mobile. Les techniques développées dans les chapitres précédents sont utilisées pour l'étude de la confidentialité, alors que des techniques élémentaires suffisent à l'étude du confinement.

La tendance contemporaine vers plus de transparence dans la vie des affaires illustre une désaffection générale pour toute forme de confidentialité. Toutefois, cette dernière bénéficie de traductions juridiques dont les sources lui confèrent une indéniable légitimité. Cette observation doit amener à reconnaître l'existence d'un "principe de confidentialité". La rencontre des normes sur la prévention de la criminalité financière avec le principe de confidentialité est source d'insécurité juridique, non seulement pour les professionnels assujettis aux obligations de lutte anti-blanchiment et contre le financement du terrorisme, mais également pour tous les individus dont les données son traitées dans ce cadre. Ces deux blocs de normes aux logiques contradictoires tendant pourtant vers des objectifs communs : le respect des droits fondamentaux. Néanmoins, les excès liés à l'utilisation potentiellement illicite des outils juridiques offerts par l'un, et les défauts des dispositions constituant l'autre, font obstacle à l'application efficace et mesurée du droit. Cette étude se propose d'analyser ces principes antagonistes pour mieux envisager leur équilibre latent au moyen de solutions préservant leurs intérêts propres et concourant à l'amélioration de la sécurité juridique. Dans cette optique, l'exercice de droit comparé permet de parfaire l'interprétation des obligations de vigilance tout en plaidant la réhabilitation du principe de confidentialité. Il témoigne de l'émergence d'un véritable "droit du blanchiment", et en particulier de son volet préventif qui occupe désormais une place prépondérante dans le domaine de la régulation bancaire et financière
The recent trend towards transaprency in business highlights a more global disenchantment with the concept of secrecy. The concept of secrecy benefits from various legal expressions whose origins give it as undisputable legitimacy. This observation leads us to recognise the existence of a "Principle of confidentiality". The clash betxeen the rules of Financial Crime prevention and this principle of confidentiality is causing legal uncertainty not only for professional subject to Anti-money laundering and counter-terrorism financing regulations but also gor persons whose data is being processed. These two sets of conflicting rules nevertheless share a common goal, namely to ensure respect for fundamental rights. Notwithstanding this, both the risk of abuse of legal instruments offered by one set for illegitimate purposes and the shortcomings attached to the other set potentially hinder the efficient and reasonable use of Law. This study aims at analysing antagonistic principles to reach a certain balance by applying solutions which preserve their respective interests and contribute to legal certainty. In this regard, the comparative law analysis helps better interpret customer due diligence measures whilst rehabilitating the arguments in favour of the principle of confidentiality. This shows the development of e genuine AML/CFT Law and in particular its preventive aspects that form a major part of the Banking and Financial Regulations

Cette thèse est composée de deux contributions à l'étude des bases de données : (i) la première contribution porte sur l'amélioration de la compréhension, par l'étude formelle, de la tension entre les fonctionnalités de cohérence et de confidentialité. Cette tension permet, dans certaines situations, d'utiliser les contraintes d'intégrité (cohérence) pour révéler des secrets (confidentialité) et donc réaliser des fraudes. L'étude fixe tout d'abord un cadre général de recherche en donnant une définition formelle des notions de secret, révélation et fraude. Puis, une occurrence particulière, et originale, de tension est formalisée selon une méthode inspirée des méthodes de programmation. Cette occurrence s'est avérée liée aux treillis de Galois. (ii) la deuxième contribution porte sur la spécification et l'implémentation d'une fonctionalité originale : le classement d'objets selon leur histoire. A cette fin, l'étude répond successivement aux trois questions : qu'est-ce que l'histoire d'un objet, comment exprimer des propriétés sur l'histoire des objets, et comment les vérifier efficacement ? L'expression est réalisée par des formules de logique temporelle et la méthode de vérification repose sur la traduction de ces formules en expressions régulières puis en automates d'états finis. L'implémentation réalisée utilise cette méthode de classement pour classer a posteriori des objets du langage prototypique NewtonScript.

La convergence des réseaux fixes et des réseaux mobiles est une réalité. Les couvertures de ces réseaux sont de plus en plus confondues. Leur intégration dans une architecture commune est une priorité pour les opérateurs et fournisseurs de services. Cela afin de mieux répondre aux problématiques introduites par cette convergence en termes d'interopérabilité, de performance, de qualité de service, de sécurité, d'exploitation et également de réactivité liée au déploiement de nouveaux services. Concernant la sécurité, beaucoup de travaux et d'efforts ont été consentis ces dernières années afin d'aboutir à des solutions immédiates pour sécuriser les échanges dans les réseaux fixes. Ces solutions, telles que TLS (Transport Layer Security) et IPSec ont été ainsi conçues dans un contexte où les équipements et les entités sont fixes, elles sont opérationnelles à grande échelle. Malgré leur diversité, ces solutions sont encore limitées, génériques et répondent insuffisamment aux besoins spécifiques des applications de communication dans les environnements mobiles. Nous avons donc opté pour des solutions d'adaptation qui permettent d'adapter les mécanismes de sécurité conçus au départ pour les réseaux fixes aux réseaux mobiles. Ce choix est appuyé par deux raisons principales. La première est que les réseaux sans fil sont opérationnels et reliés de plus en plus aux réseaux fixes et la seconde réside dans le fait que la réutilisation de ces solutions nous permet de réduire leurs coûts d'exploitation. Notre contribution dans cette thèse est donc de faire avancer les solutions de la sécurisation des échanges sans fil tout en prenant en compte les contraintes précédemment citées. Notre travail de recherche est structuré en quatre parties : La première partie traite de TLS, de ses performances et de sa charge protocolaire. Dans le but d'étudier son adéquation aux réseaux mobiles, nous expérimentons TLS avec les réseaux GSM, en utilisant la pile protocolaire WAP, et avec les réseaux 802.11 sans fil. Les résultats de cette étude nous amènent à proposer des extensions plus performantes et plus appropriées que les mécanismes standard définis dans WAP et les réseaux 802.11 sans fil. La deuxième partie est une contribution qui consiste à l'extension et l'enrichissement de TLS pour répondre à des besoins de sécurité dans le contexte du sans fil. Nous avons ainsi proposé de nouvelles architectures pour la convergence avec les réseaux fixes. Dans la troisième partie, nous proposons d'enrichir la sécurité dans les réseaux WLAN en fournissant des services additionnels comme l'anonymat des échanges, la protection d'identité et la protection contre certains types d'attaques (passives, par dictionnaires, etc.). Nous définissons un mécanisme basé sur l'utilisation d'une clé partagée et de TLS. Cette contribution consiste à ajouter une extension sur le premier message du client TLS tout en respectant la norme "TLS extensions". Ce mécanisme ne nécessite pas l'utilisation des certificats et des PKIs pour l'authentification; il est mieux adapté pour certains réseaux sans fil et à petite échelle où les clients sont pré configurés ou personnalisés. Nous terminons cette partie en présentant une implantation de EAP-TLS couplée avec une carte à puce. La dernière partie consiste essentiellement à intégrer les différentes contributions. Ceci pour mettre en exergue une méthode d'authentification couplant "architecture" et "secret partagé". Nous montrons ainsi comment, avec une telle approche, nous dérivons des services de sécurité non supportés jusqu'à présent par TLS tels que le PFS et la protection de l'identité.

Cette thèse s'intéresse aux effets des attaques par fautes physiques sur le code d'un système embarqué en particulier la carte à puce. De telles attaques peuvent compromettre la sécurité du système en donnant accès à des informations confidentielles, en compromettant l'intégrité de données sensibles ou en perturbant le fonctionnement pendant l'exécution. Dans cette thèse, nous décrivons des propriétés de sécurité permettant d'exprimer les garanties du système et établissons un modèle d'attaque de haut niveau définissant les capacités d'un attaquant à modifier le système. Ces propriétés et ce modèle nous servent à vérifier la sécurité du code par analyse statique ou test dynamique, combinés avec l'injection d'attaques, simulant les conséquences logicielles des fautes physiques. Deux méthodologies sont ainsi développées afin de vérifier le comportement fonctionnel du code sous attaques, tester le fonctionnement des sécurités implémentées et identifier de nouvelles attaques. Ces méthodologies ont été mises en oeuvre dans un cadre industriel afin de faciliter le travail du développeur chargé de sécuriser un code de carte à puce.

Internet a profondément changé la manière dont les entreprises interagissent avec leurs clients. Le développement d’une relation client en ligne a mené les organisations à repenser l’idée qu’elles se faisaient de cette relation, ainsi que leurs pratiques en termes de marketing relationnel. Cette recherche vise à mieux comprendre la manière dont les utilisateurs d’espaces clients de sites web évaluent la qualité de la relation client en ligne, et inclut une dimension importante dans l’évaluation de la qualité de la relation en ligne, l’appropriation de l’espace client.Une étude qualitative a été menée auprès de 15 personnes, afin d’étudier les variables permettant de construire le modèle de recherche et de proposer une échelle de mesure de l’appropriation des espaces clients de sites web. Par la suite, un modèle de recherche a été créé et un questionnaire en ligne a été administré. Un échantillon final se composant de 534 personnes, utilisatrices d’espaces clients de sites web dans le secteur bancaire et dans le secteur de la téléphonie mobile, a permis de tester les hypothèses de recherche. Il en résulte que l’appropriation de l’espace client du site web joue un rôle médiateur entre deux variables - la facilité d’utilisation perçue et l’utilité perçue - et la qualité de la relation client en ligne, que ce soit pour les utilisateurs d’espaces clients de sites web dans le secteur bancaire ou dans le secteur de la téléphonie mobile. De même, la sécurité/confidentialité perçue de l’espace client du site web exerce une influence positive sur la qualité de la relation client en ligne. L’hypothèse postulant que l’interactivité perçue de l’espace client du site web exerce une influence positive sur la qualité de la relation client en ligne est partiellement validée. En revanche, la présence sociale de l’espace client du site web n’exerce pas une influence positive sur la qualité de la relation client en ligne
The Internet has dramatically changed the way companies interact with their customers. Because of the importance of e-customer relationship management, companies have to reconsider their strategies in terms of relationship marketing. The purpose of this research is to investigate the way users of personal websites’ accounts evaluate e-relationship quality within two sectors: the banking sector and the mobile phone sector. This research deals with an important concept: appropriation.A qualitative study has been conducted in order to build a research model and to create a measurement scale to study the appropriation of a personal websites’ account. Therefore, an online survey (N=534) was conducted to test the hypothesis. The findings suggest that the appropriation of a personal websites’ account is a mediating variable between perceived ease of use, perceived usability and relationship quality, both in the banking sector and in the mobile phone sector. In the same way, privacy has a positive influence on e-relationship quality. Moreover, perceived interactivity has a positive influence on e-relationship quality, but that particular hypothesis is partially validated. Finally, social presence does not have a positive influence on e-relationship quality

Les réseaux de capteurs sans fils sont composés de noeuds capteurs capables de mesurer certains paramètres de l’environnement, traiter l’information recueillie, et communiquer par radio sans aucune autre infrastructure. La communication avec les autres noeuds consomme le plus d’énergie. Les protocoles de collecte des données des réseaux de capteurs sans fils doit donc avoir comme premier objectif de minimiser les communications. Une technique souvent utilisée pour ce faire est l’agrégation des données. Les réseaux de capteurs sans fils sont souvent déployés dans des environnements ouverts, et sont donc vulnérables aux attaques de sécurité. Cette thèse est une contribution à la conception de protocoles sécurisés pour réseaux de capteurs sans fils. Nous faisons une classification des principaux protocoles d’agrégation de données ayant des propriétés de sécurité. Nous proposons un nouveau protocole d’agrégation (ESPPA). ESPPA est basé sur la construction d’un arbre recouvrant sûr et utilise une technique de brouillage pour assurer la confidentialité et le respect de la vie privée. Notre algorithme de construction (et re-construction) de l’arbre recouvrant sûr tient compte des éventuelles pannes des noeuds capteurs. Les résultats de nos simulations montrent que ESPPA assure la sécurité en terme de confidentialité et de respect de la vie privée, et génère moins de communications que SMART. Finalement, nous proposons une extension du schéma de construction de l’arbre recouvrant sûr qui identifie les noeuds redondants en terme de couverture de captage et les met en veille. Les résultats de nos simulations montrent l’efficacité de l’extension proposée
WSNs are formed by sensor nodes that have the ability to sense the environment, process the sensed information, and communicate via radio without any additional prior backbone infrastructure. In WSNs, communication with other nodes is the most energy consuming task. Hence, the primary objective in designing protocols for WSNs is to minimize communication overhead. This is often achieved using in-network data aggregation. As WSNs are often deployed in open environments, they are vulnerable to security attacks. This thesis contributes toward the design of energy efficient secure and privacy preserving data aggregation protocol for WSNs. First, we classify the main existing secure and privacy-preserving data aggregation protocols for WSNs in the literature. We then propose an energy-efficient secure and privacy-preserving data aggregation (ESPPA) scheme for WSNs. ESPPA scheme is tree-based and achieves confidentiality and privacy based on shuffling technique. We propose a secure tree construction (ST) and tree-reconstruction scheme. Simulation results show that ESPPA scheme effectively preserve privacy, confidentiality, and has less communication overhead than SMART. Finally we propose an extension of ST scheme, called secure coverage tree (SCT) construction scheme. SCT applies sleep scheduling. Through simulations, we show the efficacy and efficiency of the SCT scheme. Beside the work on secure and privacy preserving data aggregation, during my research period, we have also worked on another interesting topic (i.e., composite event detection for WSNs). Appendix B presents a complementary work on composite event detection for WSNs

Les travaux résumés dans ce mémoire ont pour cadre la sûreté de fonctionnement des systèmes informatiques. Ils couvrent plusieurs aspects complémentaires, à la fois théoriques et expérimentaux, que nous avons groupés en quatre thèmes. Le premier thème traite de la définition de méthodes permettant de faciliter la construction et la validation de modèles complexes pour l'analyse et l'évaluation de la sûreté de fonctionnement. Deux approches sont considérées : les réseaux de Petri stochastiques généralisés et la simulation comportementale en présence de fautes. Le deuxième thème traite de la modélisation de la croissance de fiabilité pour évaluer l'évolution de la fiabilité et de la disponibilité des systèmes en tenant compte de l'élimination progressive des fautes de conception. Ces travaux sont complétés par la définition d'une méthode permettant de faciliter la mise en ¿uvre d'une étude de fiabilité de logiciel dans un contexte industriel. Le troisième thème concerne la définition et l'expérimentation d'une approche pour l'évaluation quantitative de la sécurité-confidentialité. Cette approche permet aux administrateurs des systèmes de suivre l'évolution de la sécurité opérationnelle quand des modifications, susceptibles d'introduire de nouvelles vulnérabilités, surviennent dans la configuration opérationnelle, les applications, le comportement des utilisateurs, etc. Enfin, le quatrième thème porte d'une part, sur l'élaboration d'un modèle de développement destiné à la production de systèmes sûrs de fonctionnement, et d'autre part, sur la définition de critères d'évaluation visant à obtenir une confiance justifiée dans l'aptitude des systèmes à satisfaire leurs exigences de sûreté de fonctionnement, en opération et jusqu'au retrait du service.

L'obligation de sécurité informationnelle - c'est-à-dire la tâche qui incombe aux entreprises d'assurer l'intégrité, la confidentialité et la disponibilité de l'information découle, tant en droit québécois que dans une majorité de juridictions occidentales, d'une série de dispositions législatives imposant non pas l'adoption de comportements ou l'utilisation de technologies ou de procédés identifiables, mais bien l'implantation de mesures de sécurité «raisonnables », «adéquates », ou « suffisantes ». Or, dans un domaine aussi embryonnaire et complexe que celui de la sécurité informationnelle, domaine dans lequel les solutions disponibles sont multiples et où la jurisprudence est éparse, comment une entreprise peut-elle jauger avec justesse l'étendue de son obligation? Bref, comment établir ce que ferait une entreprise raisonnablement prudente et diligente dans un domaine où il n'existe actuellement aucune balise législative, jurisprudentielle ou même coutumière permettant de fixer avec justesse le niveau de diligence imposé par le législateur? L'absence de sécurité juridique offerte par une telle situation est patente et nécessite une reconfiguration du cadre opératoire de l'obligation de sécurité informationnelle afin d'en identifier les composantes et les objectifs. Cet exercice passera par la redéfinition de l'obligation de sécurité informationnelle comme obligation de réduire les risques qui guettent l'information à un niveau socialement acceptable. En effet, la sécurité pouvant être définie comme étant la gestion du risque, c'est donc le risque qui réside au cœur de cette obligation. Or, en analysant les risques qui guettent un système, soit en analysant les menaces qui visent à exploiter ses vulnérabilités, il est possible d'établir quelles contre-mesures s'avèrent utiles et les coûts associés à leur mise en œuvre. Par la suite, il devient envisageable, en recourant à la définition économique de la négligence et en prenant compte des probabilités de brèches de sécurité et des dommages escomptés, d'établir les sommes optimales à investir dans l'achat, l'entretien et la mise à jour de ces contre-mesures. Une telle analyse permet ainsi de quantifier avec un certain degré de précision l'étendue de l'obligation de sécurité informationnelle en offrant aux entreprises un outil s'inspirant de données matérielles auxquelles elles ont librement accès et s'intégrant aisément dans le contexte juridique contemporain.
In Quebec, as in most western jurisdictions, the duty to ensure information security, i.e. the obligation bestowed upon companies to protect the integrity, confidentiality and availability of information, stems from a series of legal dispositions which, rather than to impose a certain conduct, or the use of given technologies or processes, simply demand that "reasonable", "adequate", or "sufficient" security measures be applied. However, in a field an nascent and complex as information security, where available solutions are numerous, and where case law is sparse, how can a company reliably predict the full extend of its duty? In other words, how can one establish what a reasonably prudent and diligent company would do in a field where laws, case law, and even customs fail to dictate precisely what level of diligence is sought by the legislator? The lack of legal certainty offered in such a case is obvious, and requires us to reconfigure the framework associated with the duty to ensure information security in order to identify its components and objectives. Such an endeavour begins with redefining the duty to ensure information security as a duty to reduce information-related risk to a socially acceptable leve1. Since security stems from risk management, it can therefore be said that risk is at the core of said duty. By analysing risk, i.e. by identifying the threats that aim to exploit a system's vulnerabilities, it becomes possible to specify which counter measures could be useful and what costs they may entail. From that point, it's feasible, if using the economic definition of negligence (which is based on the probability of a security breach, and the damages incurred), to establish the optimal amount that should be invested in the purchasing, upkeep and replacement of these counter measures. This type of analysis will allow companies to quantify, with a certain degree of precision, the extend to which they need to ensure information security by giving them a set of tools based on easily accessible data. Furthermore, said tools appear to be fully compatible with the current legal landscape.

L'obligation de sécurité informationnelle - c'est-à-dire la tâche qui incombe aux entreprises d'assurer l'intégrité, la confidentialité et la disponibilité de l'information découle, tant en droit québécois que dans une majorité de juridictions occidentales, d'une série de dispositions législatives imposant non pas l'adoption de comportements ou l'utilisation de technologies ou de procédés identifiables, mais bien l'implantation de mesures de sécurité «raisonnables », «adéquates », ou « suffisantes ». Or, dans un domaine aussi embryonnaire et complexe que celui de la sécurité informationnelle, domaine dans lequel les solutions disponibles sont multiples et où la jurisprudence est éparse, comment une entreprise peut-elle jauger avec justesse l'étendue de son obligation? Bref, comment établir ce que ferait une entreprise raisonnablement prudente et diligente dans un domaine où il n'existe actuellement aucune balise législative, jurisprudentielle ou même coutumière permettant de fixer avec justesse le niveau de diligence imposé par le législateur? L'absence de sécurité juridique offerte par une telle situation est patente et nécessite une reconfiguration du cadre opératoire de l'obligation de sécurité informationnelle afin d'en identifier les composantes et les objectifs. Cet exercice passera par la redéfinition de l'obligation de sécurité informationnelle comme obligation de réduire les risques qui guettent l'information à un niveau socialement acceptable. En effet, la sécurité pouvant être définie comme étant la gestion du risque, c'est donc le risque qui réside au cœur de cette obligation. Or, en analysant les risques qui guettent un système, soit en analysant les menaces qui visent à exploiter ses vulnérabilités, il est possible d'établir quelles contre-mesures s'avèrent utiles et les coûts associés à leur mise en œuvre. Par la suite, il devient envisageable, en recourant à la définition économique de la négligence et en prenant compte des probabilités de brèches de sécurité et des dommages escomptés, d'établir les sommes optimales à investir dans l'achat, l'entretien et la mise à jour de ces contre-mesures. Une telle analyse permet ainsi de quantifier avec un certain degré de précision l'étendue de l'obligation de sécurité informationnelle en offrant aux entreprises un outil s'inspirant de données matérielles auxquelles elles ont librement accès et s'intégrant aisément dans le contexte juridique contemporain.
In Quebec, as in most western jurisdictions, the duty to ensure information security, i.e. the obligation bestowed upon companies to protect the integrity, confidentiality and availability of information, stems from a series of legal dispositions which, rather than to impose a certain conduct, or the use of given technologies or processes, simply demand that "reasonable", "adequate", or "sufficient" security measures be applied. However, in a field an nascent and complex as information security, where available solutions are numerous, and where case law is sparse, how can a company reliably predict the full extend of its duty? In other words, how can one establish what a reasonably prudent and diligent company would do in a field where laws, case law, and even customs fail to dictate precisely what level of diligence is sought by the legislator? The lack of legal certainty offered in such a case is obvious, and requires us to reconfigure the framework associated with the duty to ensure information security in order to identify its components and objectives. Such an endeavour begins with redefining the duty to ensure information security as a duty to reduce information-related risk to a socially acceptable leve1. Since security stems from risk management, it can therefore be said that risk is at the core of said duty. By analysing risk, i.e. by identifying the threats that aim to exploit a system's vulnerabilities, it becomes possible to specify which counter measures could be useful and what costs they may entail. From that point, it's feasible, if using the economic definition of negligence (which is based on the probability of a security breach, and the damages incurred), to establish the optimal amount that should be invested in the purchasing, upkeep and replacement of these counter measures. This type of analysis will allow companies to quantify, with a certain degree of precision, the extend to which they need to ensure information security by giving them a set of tools based on easily accessible data. Furthermore, said tools appear to be fully compatible with the current legal landscape.

Introduction : Au sein de la population vieillissante, les chutes à domicile représentent une problématique importante (1 personne âgée/3 chute au moins 1 fois/année). Pour détecter automatiquement les chutes en respectant la vie privée, une technologie novatrice a été développée : la vidéosurveillance intelligente. Objectif : Explorer la perception et la réceptivité des personnes âgées concernant l’introduction de cette nouvelle technologie, à domicile. Méthodologie : Trente personnes âgées ont participé à une entrevue structurée (devis mixte). Une analyse de contenu (données qualitatives) et des analyses descriptives (données quantitatives) ont été effectuées puis combinées. Résultats : 93,4% des participants sont favorables (ou partiellement) à la vidéosurveillance intelligente et 43,3% l’utiliserait pour le sentiment de sécurité et la confidentialité procurés. Conclusion : Le contexte de vie des personnes âgées influence leur perception et réceptivité envers la vidéosurveillance intelligente. Il s’agit maintenant d’évaluer cette technologie dans divers milieux de vie.
Backgroung: Among the elderly, at-home falls are a significant problem (on average, 1 elder/3 falls at least 1/year). In order to automatically detect falls while maintaining privacy, an innovative technology was developed: an intelligent videomonitoring system. Objective: To explore the perception and receptivity of the elderly regarding the introduction of this new technology at home. Methodology: Using a mixed methods design, 30 elderly underwent a structured interview. A content analysis (qualitative data) and descriptive analyses (quantitative data) were executed and then combined. Findings: 93.4% of the participants were favorable (or partially) to the intelligent videomonitoring system and 43.3% would use it for the sense of security and the privacy provided. Conclusion: The living situation of the elderly influences their perception and receptivity regarding an intelligent videomonitoring system. The next step will be to evaluate this new technology in various living environments.