Stéphanie Delaune améliore la sécurité des paiements sans contact

Afin de répondre aux enjeux de sécurité des systèmes sans contact, Stéphanie Delaune a obtenu une bourse européenne de l’ERC dans la catégorie « junior » pour démarrer en 2017 le projet POPSTAR (Reasoning about Physical properties Of security Protocols with an Application To contactless Systems).

Stéphanie Delaune (crédit : Kaksonen) - Montage

Plus pratique, plus rapide d’usage, la technologie sans contact, déjà bien présente dans notre quotidien (badge d’accès à un bâtiment, carte de transport) se développe de plus en plus, par exemple dans les cartes de paiement ou les systèmes d’ouverture et de démarrage de voiture. Pourtant il n’existe pas à l’heure actuelle de protocoles de sécurité véritablement pensés pour les particularités du sans-contact. Ces protocoles chargés d’assurer la sécurité des échanges d’information se basent sur un certain nombre de paramètres : authentification, non traçabilité, anonymat… Dans le cas des systèmes sans contact, il faut y ajouter les notions de temps et de distance. Celles-ci sont essentielles pour s’assurer que les informations sont bien adressées à la personne qui leur est destinée, et non à un autre dispositif alentour !

Actuellement, pour mesurer la distance entre deux éléments qui échangent, un message est envoyé et on estime le temps dans lequel la réponse doit arriver. La seule parade proposée est le « time out » : une réponse arrivée trop tardivement pourrait indiquer que le dispositif avec lequel on échange n’est pas à proximité, et donc peut-être pas le bon. Mais cela laisse toute une marge de manœuvre pour un attaquant qui se trouverait à proximité, avec du matériel suffisamment rapide.

Pour y remédier, Stéphanie Delaune, chargée de recherche CNRS au sein de l’Institut de recherche en informatique et systèmes aléatoires, travaille sur la vérification de ces protocoles cryptographiques pour les systèmes sans contact. Elle souhaite réaliser la preuve formelle, mathématique, du fonctionnement adéquat du protocole de sécurité. Une des techniques utilisée consiste à construire une représentation mathématique du protocole et des attaquants, et ainsi vérifier que le protocole est sûr quels que soient les comportements possibles de ces agents malveillants.

Ensuite, une part non négligeable du travail de Stéphanie Delaune consiste à implémenter ces découvertes. Elle souhaite ainsi proposer des principes généraux pour que les protocoles soient mieux conçus, mais aussi des pistes d’amélioration pour les protocoles défectueux. À partir de ces découvertes d’attaques et de vulnérabilités sur des objets sans contact, elle souhaite diffuser de bonnes pratiques à adopter si l’on veut se donner toutes les chances de concevoir un système sûr.

Un financement qui facilite la mobilité

La bourse attribuée par l’ERC financera les postes de 3 doctorants, 4 post-doctorants et d’ingénieurs. Au moment où elle déposait sa candidature, Stéphanie Delaune organisait son déménagement à Rennes, depuis l’ENS Cachan où elle travaillait depuis 2007. Ses recherches étant théoriques, elles ne nécessitaient pas d’achat de matériel. Le financement a permis à Stéphanie Delaune de se constituer une équipe plus facilement.

« L’ERC a facilité mon arrivée à Rennes car je n’ai pas eu à me poser la question du financement : je suis plus autonome ».