Your search keyword '"Cuppens-Bouhlahia, Nora"' showing total 32 results

1. Risks and security of internet and systems : 12th international conference, CRiSIS 2017, Dinard, France, September 19-21, 2017, revised selected papers

Author

Cuppens-Bouhlahia, Nora, Cuppens, Frédéric, Lanet, Jean-Louis, Legay, Axel, Garcia-Alfaro, Joaquin, Département Systèmes Réseaux, Cybersécurité et Droit du numérique (IMT Atlantique - SRCD), IMT Atlantique Bretagne-Pays de la Loire (IMT Atlantique), Institut Mines-Télécom [Paris] (IMT)-Institut Mines-Télécom [Paris] (IMT), Laboratoire de Haute Sécurité (LHS - Inria), Institut National de Recherche en Informatique et en Automatique (Inria)-Direction générale de l'Armement (DGA), Threat Analysis and Mitigation for Information Security (TAMIS), Inria Rennes – Bretagne Atlantique, Institut National de Recherche en Informatique et en Automatique (Inria)-Institut National de Recherche en Informatique et en Automatique (Inria)-LANGAGE ET GÉNIE LOGICIEL (IRISA-D4), Institut de Recherche en Informatique et Systèmes Aléatoires (IRISA), Université de Rennes 1 (UR1), Université de Rennes (UNIV-RENNES)-Université de Rennes (UNIV-RENNES)-Institut National des Sciences Appliquées - Rennes (INSA Rennes), Institut National des Sciences Appliquées (INSA)-Université de Rennes (UNIV-RENNES)-Institut National des Sciences Appliquées (INSA)-Université de Bretagne Sud (UBS)-École normale supérieure - Rennes (ENS Rennes)-Institut National de Recherche en Informatique et en Automatique (Inria)-CentraleSupélec-Centre National de la Recherche Scientifique (CNRS)-IMT Atlantique Bretagne-Pays de la Loire (IMT Atlantique), Institut Mines-Télécom [Paris] (IMT)-Institut Mines-Télécom [Paris] (IMT)-Université de Rennes 1 (UR1), Institut Mines-Télécom [Paris] (IMT)-Institut Mines-Télécom [Paris] (IMT)-Institut de Recherche en Informatique et Systèmes Aléatoires (IRISA), Institut National des Sciences Appliquées (INSA)-Université de Rennes (UNIV-RENNES)-Institut National des Sciences Appliquées (INSA)-Université de Bretagne Sud (UBS)-École normale supérieure - Rennes (ENS Rennes)-CentraleSupélec-Centre National de la Recherche Scientifique (CNRS)-IMT Atlantique Bretagne-Pays de la Loire (IMT Atlantique), Réseaux, Systèmes, Services, Sécurité (R3S-SAMOVAR), Services répartis, Architectures, MOdélisation, Validation, Administration des Réseaux (SAMOVAR), Institut Mines-Télécom [Paris] (IMT)-Télécom SudParis (TSP)-Institut Mines-Télécom [Paris] (IMT)-Télécom SudParis (TSP), Institut Mines-Télécom [Paris] (IMT)-Télécom SudParis (TSP), Département Réseaux et Services de Télécommunications (RST), Centre National de la Recherche Scientifique (CNRS), Lecture Notes in Computer Science (vol. 10694), IMT Atlantique (IMT Atlantique), Université de Rennes (UR)-Institut National des Sciences Appliquées - Rennes (INSA Rennes), Institut National des Sciences Appliquées (INSA)-Institut National des Sciences Appliquées (INSA)-Université de Bretagne Sud (UBS)-École normale supérieure - Rennes (ENS Rennes)-Institut National de Recherche en Informatique et en Automatique (Inria)-CentraleSupélec-Centre National de la Recherche Scientifique (CNRS)-IMT Atlantique (IMT Atlantique), Institut Mines-Télécom [Paris] (IMT)-Institut Mines-Télécom [Paris] (IMT)-Université de Rennes (UR)-Institut National des Sciences Appliquées - Rennes (INSA Rennes), Institut National des Sciences Appliquées (INSA)-Institut National des Sciences Appliquées (INSA)-Université de Bretagne Sud (UBS)-École normale supérieure - Rennes (ENS Rennes)-CentraleSupélec-Centre National de la Recherche Scientifique (CNRS)-IMT Atlantique (IMT Atlantique), Département Réseaux et Services de Télécommunications (TSP - RST), Université de Bretagne Sud (UBS)-Institut National des Sciences Appliquées - Rennes (INSA Rennes), Institut National des Sciences Appliquées (INSA)-Université de Rennes (UNIV-RENNES)-Institut National des Sciences Appliquées (INSA)-Université de Rennes (UNIV-RENNES)-Institut National de Recherche en Informatique et en Automatique (Inria)-École normale supérieure - Rennes (ENS Rennes)-Centre National de la Recherche Scientifique (CNRS)-Université de Rennes 1 (UR1), Université de Rennes (UNIV-RENNES)-CentraleSupélec-IMT Atlantique Bretagne-Pays de la Loire (IMT Atlantique), Institut Mines-Télécom [Paris] (IMT)-Institut Mines-Télécom [Paris] (IMT)-Université de Bretagne Sud (UBS)-Institut National des Sciences Appliquées - Rennes (INSA Rennes), and Institut National des Sciences Appliquées (INSA)-Université de Rennes (UNIV-RENNES)-Institut National des Sciences Appliquées (INSA)-Université de Rennes (UNIV-RENNES)-École normale supérieure - Rennes (ENS Rennes)-Centre National de la Recherche Scientifique (CNRS)-Université de Rennes 1 (UR1)

Subjects

Authentication, Mitigation and countermeasures, Computer crime, Formal methods, [INFO.INFO-WB]Computer Science [cs]/Web, Vulnerability analysis, System security, Network security, Security protocols, [INFO.INFO-CR]Computer Science [cs]/Cryptography and Security [cs.CR], [INFO.INFO-NI]Computer Science [cs]/Networking and Internet Architecture [cs.NI], Privacy, Cloud security, Cryptography, Intrusion detection systems, Access control, Blockchain technologies

Abstract

International audience; This book constitutes the revised selected papers from the 12th International Conference on Risk and Security of Internet and Systems, CRISIS 2017, held in Dinard, France, in September 2017.The 12 full papers and 5 short papers presented in this volume were carefully reviewed and selected from 42 submissions. They cover diverse research themes, ranging from classic topics, such as vulnerability analysis and classification; apps security; access control and filtering; cloud security; cyber-insurance and cyber threat intelligence; human-centric security and trust; and risk analysis

Published

2018

2. Interoperability, Safety and Security in IoT: Third International Conference, InterIoT 2017, and Fourth International Conference, SaSeIot 2017, Valencia, Spain, November 6-7, 2017, Proceedings

Author

Fortino, Giancarlo, Palau, Carlos E., Guerrieri, Antonio, Cuppens-Bouhlahia, Nora, Cuppens, Frédéric, Chaouchi, Hakima, Gabillon, Alban, Dipartimento di Ingegneria Informatica, Modellistica, Elettronica e Sistemistica [Calabria] (DIMES), Università della Calabria [Arcavacata di Rende] (Unical), Universitat Politècnica de València (UPV), Istituto di Calcolo e Reti ad Alte Prestazioni [Rende] (ICAR-CNR), Consiglio Nazionale delle Ricerche [Roma] (CNR), Département Systèmes Réseaux, Cybersécurité et Droit du numérique (IMT Atlantique - SRCD), IMT Atlantique Bretagne-Pays de la Loire (IMT Atlantique), Institut Mines-Télécom [Paris] (IMT)-Institut Mines-Télécom [Paris] (IMT), Réseaux, Systèmes, Services, Sécurité (R3S-SAMOVAR), Services répartis, Architectures, MOdélisation, Validation, Administration des Réseaux (SAMOVAR), Institut Mines-Télécom [Paris] (IMT)-Télécom SudParis (TSP)-Institut Mines-Télécom [Paris] (IMT)-Télécom SudParis (TSP), Département Réseaux et Services Multimédia Mobiles (RS2M), Institut Mines-Télécom [Paris] (IMT)-Télécom SudParis (TSP), Centre National de la Recherche Scientifique (CNRS), Université de la Polynésie Française (UPF), and LNICST, volume 242

Subjects

[INFO.INFO-IU]Computer Science [cs]/Ubiquitous Computing, Authentication, Internet, Artificial intelligence, Ubiquitous computing, Cryptography, Wireless telecommunication systems, Wireless networks, Data security, Computer networks, Internet of Things (IoT)

Abstract

International audience; This book constitutes the refereed post-conference proceedings of the Third International Conference on Interoperability, InterIoT 2017, which was collocated with SaSeIoT 2017, and took place in Valencia, Spain, in November 2017. The 14 revised full papers were carefully reviewed and selected from 22 submissions and cover all aspects of the latest research findings in the area of Internet of Things (IoT)

Published

2018

3. Foundations and practice of security : 9th International Symposium, FPS 2016, Québec City, QC, Canada, October 24-25, 2016, Revised Selected Papers

Author

Cuppens, Frédéric, Wang, Lingyu, Cuppens-Bouhlahia, Nora, TAWBI, Nadia, Garcia-Alfaro, Joaquin, Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), Concordia Institute for Information Systems Engineering (CIISE), Concordia University [Montreal], Université Laval [Québec] (ULaval), Réseaux, Systèmes, Services, Sécurité (R3S-SAMOVAR), Services répartis, Architectures, MOdélisation, Validation, Administration des Réseaux (SAMOVAR), Institut Mines-Télécom [Paris] (IMT)-Télécom SudParis (TSP)-Institut Mines-Télécom [Paris] (IMT)-Télécom SudParis (TSP), Département Réseaux et Services de Télécommunications (RST), Institut Mines-Télécom [Paris] (IMT)-Télécom SudParis (TSP), Centre National de la Recherche Scientifique (CNRS), and Lecture Notes in Computer Science

Subjects

[INFO.INFO-CR]Computer Science [cs]/Cryptography and Security [cs.CR]

Abstract

International audience; This volume contains the papers presented at the 9th International Symposium on Foundations and Practice of Security (FPS 2016), which was hosted by Université Laval, Québec City, Quebec, Canada, during October 24-26, 2016

Published

2017

4. Analysis of ICS and Corporate system Integration vulnerabilities

Author

Es-Salhi, Khaoula, Cuppens-Bouhlahia, Nora, Espes, David, Cuppens, Frederic, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), Telecom Bretagne - Rennes, Télécom Bretagne, Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Institut Mines-Télécom [Paris] (IMT)-Télécom Bretagne-Université européenne de Bretagne - European University of Brittany (UEB), Lab-STICC_TB_CID_SFIIS, Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Lab-STICC_UBO_CID_SFIIS, Université de Brest (UBO), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), and Espes, David

Subjects

[INFO.INFO-NI]Computer Science [cs]/Networking and Internet Architecture [cs.NI], [INFO.INFO-NI] Computer Science [cs]/Networking and Internet Architecture [cs.NI], ICS Corporate systems Integration, ICS, Vulnerabilities, SCADA, Cyber security, ComputingMilieux_MISCELLANEOUS

Abstract

International audience

Published

2016

5. Data quality evaluation in medical database watermarking

Author

FRANCO CONTRERAS, Javier, Coatrieux, Gouenou, Massari, Philippe, Darmoni, Stefan, Cuppens-Bouhlahia, Nora, Cuppens, Frédéric, Roux, Christian, Département Image et Traitement Information (ITI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), Laboratoire de Traitement de l'Information Medicale (LaTIM), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Centre Hospitalier Régional Universitaire de Brest (CHRU Brest)-Université de Brest (UBO)-Institut National de la Santé et de la Recherche Médicale (INSERM)-Institut Mines-Télécom [Paris] (IMT), Laboratoire d'Informatique, de Traitement de l'Information et des Systèmes (LITIS), Institut national des sciences appliquées Rouen Normandie (INSA Rouen Normandie), Institut National des Sciences Appliquées (INSA)-Normandie Université (NU)-Institut National des Sciences Appliquées (INSA)-Normandie Université (NU)-Université de Rouen Normandie (UNIROUEN), Normandie Université (NU)-Université Le Havre Normandie (ULH), Normandie Université (NU), Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Institut Mines-Télécom [Paris] (IMT)-Télécom Bretagne-Université européenne de Bretagne - European University of Brittany (UEB), and Ecole des Mines de Saint-Etienne (Institut Mines-Télécom (IMT)) (Mines Saint-Etienne )

Subjects

[INFO.INFO-CY]Computer Science [cs]/Computers and Society [cs.CY], Data_MISCELLANEOUS, Relational Database, Security, ComputingMilieux_LEGALASPECTSOFCOMPUTING, Watermarking, [SPI.SIGNAL]Engineering Sciences [physics]/Signal and Image processing

Abstract

International audience; The use of watermarking in the protection of medical relational databases requires that the introduced distortion does not hinder records interpretation. In this paper, we present the preliminary results of a watermarked data quality evaluation protocol developed so as to analyze the perception the practitioner has of the watermark. These results show that some attributes are more appropriate for watermarking than others and also that incoherent or unlikely records resulting from careless watermarking are easily identified by an expert.

Published

2015

6. Adapted Quantization Index Modulation for Database Watermarking

Author

FRANCO CONTRERAS, Javier, Coatrieux, Gouenou, Cuppens-Bouhlahia, Nora, Cuppens, Frédéric, Roux, Christian, Département Image et Traitement Information (ITI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), Laboratoire de Traitement de l'Information Medicale (LaTIM), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Centre Hospitalier Régional Universitaire de Brest (CHRU Brest)-Université de Brest (UBO)-Institut National de la Santé et de la Recherche Médicale (INSERM)-Institut Mines-Télécom [Paris] (IMT), Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Institut Mines-Télécom [Paris] (IMT)-Télécom Bretagne-Université européenne de Bretagne - European University of Brittany (UEB), Centre Ingénierie et Santé (CIS-ENSMSE), École des Mines de Saint-Étienne (Mines Saint-Étienne MSE), and Institut Mines-Télécom [Paris] (IMT)-Institut Mines-Télécom [Paris] (IMT)

Subjects

[INFO.INFO-CY]Computer Science [cs]/Computers and Society [cs.CY], Quantization Index Modulation (QIM), Watermarking, Database Security, [SPI.SIGNAL]Engineering Sciences [physics]/Signal and Image processing

Abstract

International audience; In this paper, we adapt the robust Quantization Index Modulation (QIM) originally proposed by Chen and Wornell for images to the protection of relational databases. In order to embed a bit of the watermark, we modulate the relative angular position of the circular histogram center of mass of one numerical attribute. We experimentally verify the suitability of our scheme in terms of distortion, robustness and complexity within the framework of one medical database of more than one half million of inpatient hospital stay records. Our solution is very robust against most common database attacks (tuple deletion and insertion and attribute value modications), and the embedded message can be error free retrieved even after a suppression or addition of 80% of the database tuples, making it suitable for database copyright protection, owner identication and traitor tracing.

Published

2014

7. A French Anonymization Experiment with Health Data

Author

BERGEAT, Maxime, Cuppens-Bouhlahia, Nora, Cuppens, Frédéric, JESS, Noémie, DUPONT, Françoise, Oulmakhzoune, Said, De Peretti, Gaël, INSEE, Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), Direction de la recherche, des études, de l'évaluation et des statistiques (Ministère des Affaires sociales, de la Santé et des Droits des femmes) (DREES), and Centre d'Accès Sécurisé aux Données (Groupe des écoles nationales d’économie et statistique (GENES)) (CASD)

Subjects

[INFO.INFO-CR]Computer Science [cs]/Cryptography and Security [cs.CR], [INFO.INFO-DB]Computer Science [cs]/Databases [cs.DB], K-anonymization, Microdata, Data_MISCELLANEOUS, Case study, Statistical disclosure control, Health data

Abstract

International audience; In this paper, a case study about a microdata anonymization test is presented. The work has been made considering a French administrative health dataset with indirect identifiers and sensitive variables about hospital stays. Two approaches to build a k-anonymized file are described, and software used in the test are compared.

Published

2014

8. MPEG-21 Based Approach to Secure Digital Contents Using DC Metadata

Author

Ayed, Samiha, Idrees, Muhammad Sabir, Cuppens-Bouhlahia, Nora, Cuppens, Frédéric, Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), and Télécom Bretagne (devenu IMT Atlantique), Ex-Bibliothèque

Subjects

[INFO.INFO-CY] Computer Science [cs]/Computers and Society [cs.CY], [INFO.INFO-CY]Computer Science [cs]/Computers and Society [cs.CY]

Abstract

International audience; With the proliferation of the use of digital resources, many metadata were created in order to describe as detailed as possible these assets within their different contexts. The Dublin Core set of elements can be considered as the most widely used metadata standard of digital resources. This standard is expressive enough to deal with resource characteristics. However, it is less expressive to manage and take into account security access control to these resources. In this paper, the contribution is twofold. First, we show that the Dublin Core standard can be extended to provide a mapping process to other existing metadata specification languages in order to have a generic representation of electronic resources. Second, we suggest managing access control to these resources based on the MPEG-21 norm. For this purpose, we show how the Dublin Core elements can be used to provide inputs.

Published

2014

9. New IPv6 Identification Paradigm: Spreading of Addresses Over Time

Author

Fourcot, Florent, Toutain, Laurent, Cuppens, Frédéric, Cuppens-Bouhlahia, Nora, Köpsell, Stefan, Département Réseaux, Sécurité et Multimédia (RSM), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), TU Dresden, Faculty of Computer Science (TU Dresden) (TUD), Objets communicants pour l'Internet du futur (OCIF), Télécom Bretagne-RÉSEAUX, TÉLÉCOMMUNICATION ET SERVICES (IRISA-D2), Institut de Recherche en Informatique et Systèmes Aléatoires (IRISA), Université de Rennes (UR)-Institut National des Sciences Appliquées - Rennes (INSA Rennes), Institut National des Sciences Appliquées (INSA)-Institut National des Sciences Appliquées (INSA)-Université de Bretagne Sud (UBS)-École normale supérieure - Rennes (ENS Rennes)-Institut National de Recherche en Informatique et en Automatique (Inria)-Télécom Bretagne-CentraleSupélec-Centre National de la Recherche Scientifique (CNRS)-Université de Rennes (UR)-Institut National des Sciences Appliquées - Rennes (INSA Rennes), Institut National des Sciences Appliquées (INSA)-Institut National des Sciences Appliquées (INSA)-Université de Bretagne Sud (UBS)-École normale supérieure - Rennes (ENS Rennes)-Institut National de Recherche en Informatique et en Automatique (Inria)-Télécom Bretagne-CentraleSupélec-Centre National de la Recherche Scientifique (CNRS)-Institut de Recherche en Informatique et Systèmes Aléatoires (IRISA), Institut National des Sciences Appliquées (INSA)-Institut National des Sciences Appliquées (INSA)-Université de Bretagne Sud (UBS)-École normale supérieure - Rennes (ENS Rennes)-Institut National de Recherche en Informatique et en Automatique (Inria)-CentraleSupélec-Centre National de la Recherche Scientifique (CNRS), Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), RÉSEAUX, TÉLÉCOMMUNICATION ET SERVICES (IRISA-D2), CentraleSupélec-Télécom Bretagne-Université de Rennes 1 (UR1), Université de Rennes (UNIV-RENNES)-Université de Rennes (UNIV-RENNES)-Institut National de Recherche en Informatique et en Automatique (Inria)-École normale supérieure - Rennes (ENS Rennes)-Université de Bretagne Sud (UBS)-Centre National de la Recherche Scientifique (CNRS)-Institut National des Sciences Appliquées - Rennes (INSA Rennes), Institut National des Sciences Appliquées (INSA)-Université de Rennes (UNIV-RENNES)-Institut National des Sciences Appliquées (INSA)-CentraleSupélec-Télécom Bretagne-Université de Rennes 1 (UR1), Institut National des Sciences Appliquées (INSA)-Université de Rennes (UNIV-RENNES)-Institut National des Sciences Appliquées (INSA)-Institut de Recherche en Informatique et Systèmes Aléatoires (IRISA), Institut National des Sciences Appliquées (INSA)-Université de Rennes (UNIV-RENNES)-Institut National des Sciences Appliquées (INSA), École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), and Télécom Bretagne (devenu IMT Atlantique), Ex-Bibliothèque

Subjects

Spoofing, [INFO.INFO-NI]Computer Science [cs]/Networking and Internet Architecture [cs.NI], [INFO.INFO-NI] Computer Science [cs]/Networking and Internet Architecture [cs.NI], IPv6, ComputerSystemsOrganization_COMPUTER-COMMUNICATIONNETWORKS, Flow identification, Security

Abstract

International audience; The identification of packet flows is a very important feature to provide security on the Internet. This flow identification is traditionally done by the well-know five tuple source IP address, destination IP address, transport layer protocol number and the two source/destination identifiers of transport layer protocols (named ports on UDP and TCP). Unfortunately, the IP source address is not reliable at all. However, we can use new security paradigms based on new IPv6 properties. In particular, IPv6 introduces a large address space. Our solution takes the benefit of this space with a high frequency rotation of IP addresses, that we call spreading. This spreading improves the security since only the sender and the receiver are able to generate and follow this temporal sequence. An attacker will not be able to successfully insert malicious packets into a flow or to initialize a flow. It protects against session initialization flooding and against attacks on established connections. In this paper, we describe the architecture of our solution and the protocol to initiate a connection and also performance evaluation of our spreading.

Published

2014

10. Data Privacy Management and Autonomous Spontaneous Security : DPM 2013 : 8th International Workshop, SETOP 2013 : 6th International Workshop, Ehgam, UK, September 12-13, 2013 - Revised Selected Papers

Author

Garcia Alfaro, Joaquin, Lioudakis, Georgios V., Cuppens-Bouhlahia, Nora, Foley, Simon N., Fitzgerald, William M., Département Réseaux et Services de Télécommunications (RST), Institut Mines-Télécom [Paris] (IMT)-Télécom SudParis (TSP), Services répartis, Architectures, MOdélisation, Validation, Administration des Réseaux (SAMOVAR), Centre National de la Recherche Scientifique (CNRS), National Technical University of Athens [Athens] (NTUA), Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), United College Cork (National University of Ireland) (UCC), EMC Information Systems International (Entreprise), and Télécom Bretagne (devenu IMT Atlantique), Ex-Bibliothèque

Subjects

[INFO.INFO-CY] Computer Science [cs]/Computers and Society [cs.CY], [INFO.INFO-CY]Computer Science [cs]/Computers and Society [cs.CY]

Abstract

International audience; This book constitutes the revised selected papers of the 8th International Workshop on Data Privacy Management, DPM 2013, and the 6th International Workshop on Autonomous and Spontaneous Security, SETOP 2013, held in Egham, UK, in September 2013 and co-located with the 18th European Symposium on Research in Computer Security (ESORICS 2013). The volume contains 13 full papers selected out of 46 submissions and 1 keynote lecturer from the DPM workshop and 6 full papers together with 5 short papers selected among numerous submissions to the SETOP workshop. The papers cover topics related to the management of privacy-sensitive information and automated configuration of security, focusing in particular on system-level privacy policies, administration of sensitive identifiers, data integration and privacy, engineering authentication and authorization, mobile security and vulnerabilities.

Published

2014

11. Détection de flux de contrôle illégaux dans les Smartphones

Author

Graa, Mariem, Cuppens-Bouhlahia, Nora, Cuppens, Frédéric, Cavalli, Ana, Télécom Bretagne (devenu IMT Atlantique), Ex-Bibliothèque, Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), Département Logiciels et Réseaux (LOR), and Institut Mines-Télécom [Paris] (IMT)-Télécom SudParis (TSP)

Subjects

[INFO.INFO-MC]Computer Science [cs]/Mobile Computing, Smartphones, Analyse dynamique, [INFO.INFO-MC] Computer Science [cs]/Mobile Computing, Analyse statique, Tainting, [INFO.INFO-ES]Computer Science [cs]/Embedded Systems, Contrôle de flux, [INFO.INFO-ES] Computer Science [cs]/Embedded Systems

Abstract

National audience; La sécurité dans les systèmes embarqués tels que les smartphones exige une protection des données privées manipulées par les applications tierces. Certains mécanismes utilisent des techniques d’analyse dynamique basées sur le « data-tainting » pour suivre les flux d’informationsdans le programme. Mais ces techniques ne peuvent pas détecter les flux de contrôles qui utilisent des instructions conditionnelles pour transférer implicitement les informations. En particulier, les applications malveillantes peuvent contourner le système Android et obtenir des informations sensibles à travers les flux de contrôles. Nous proposons une amélioration de l’analyse dynamique qui propage la teinte tout au long des dépendances de contrôles en utilisant les données fournies par l’analyse statique dans les systèmes Android. Notre approche réussit à détecter des attaques de contrôle de flux sur les smartphones.

Published

2014

12. Define privacy-preserving setbase drawer size standard: A ∊-closeness perspective

Author

JUSTUS, Benjamin, Cuppens, Frédéric, Cuppens-Bouhlahia, Nora, BRINGER, Julien, Chabanne, Hervé, CIPIERE, Olivier, Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), and Morpho

Subjects

[INFO.INFO-CY]Computer Science [cs]/Computers and Society [cs.CY]

Abstract

International audience; Shamir proposed the setbase approach as a means of improving security and privacy of the traditional biometric system. As a result of the limitation of the current setbase filling procedure, we demonstrate that there are potential privacy weaknesses due to non-default distributions on attributes inside the identity database. We introduce in this paper, the concept of ϵ-closeness as a general framework to describe quantitatively the distribution anomaly. As a consequence, we are able to formulate a privacy-preserving drawer size standard for the setbase that includes the non-default distribution cases.

Published

2013

13. Tatouage Robuste et Réversible pour la Traçabilité de Bases de Données Relationnelles en Santé

Author

Franco Contreras, Javier, Coatrieux, Gouenou, Cuppens, Frédéric, Cuppens-Bouhlahia, Nora, Chazard, Emmanuel, Roux, Christian, Département Image et Traitement Information (ITI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), Laboratoire de Traitement de l'Information Medicale (LaTIM), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Centre Hospitalier Régional Universitaire de Brest (CHRU Brest)-Université de Brest (UBO)-Institut National de la Santé et de la Recherche Médicale (INSERM)-Institut Mines-Télécom [Paris] (IMT), Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Institut Mines-Télécom [Paris] (IMT)-Télécom Bretagne-Université européenne de Bretagne - European University of Brittany (UEB), Université de Lille, Droit et Santé, Direction Scientifique (DS), Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), and Télécom Bretagne (devenu IMT Atlantique), Ex-Bibliothèque

Subjects

Sécurité de l'information médicale, [INFO.INFO-CY] Computer Science [cs]/Computers and Society [cs.CY], [INFO.INFO-CY]Computer Science [cs]/Computers and Society [cs.CY], Bases de données de santé, [SPI.SIGNAL]Engineering Sciences [physics]/Signal and Image processing, Tatouage, [SPI.SIGNAL] Engineering Sciences [physics]/Signal and Image processing

Abstract

National audience; Dans cet article, nous proposons un schéma de tatouage avec pour objectif la traçabilité des bases de données de santé. Celui-ci s'appuie sur une modulation de tatouage réversible et robuste proposée a l'origine par De Vleeschouwer et al. pour les images et est fondée sur une transformation bijective d'histogrammes circulaires. Ici, nous adaptons cette modulation aux attributs numériques des bases a protéger. Afin d'identifier ou vérifier l'origine de bases regroupées au sein d'un entrepôt de données ou plus simplement melangées en une seule base, nous proposons de dissimuler une marque qui identifie le fournisseur de la base. Nous montrons experimentalement l'adequation de notre schéma à ce problème de traçabilité sur la base d'un extrait de la base nationale PMSI-MCO 2011.

Published

2013

14. FPS 2012 : 5th International Symposium on Foundations and Practice of Security

Author

Garcia Alfaro, Joaquin, Cuppens, Frédéric, Cuppens-Bouhlahia, Nora, MIRI, Ali, TAWBI, Nadia, Département Réseaux et Services de Télécommunications (RST), Institut Mines-Télécom [Paris] (IMT)-Télécom SudParis (TSP), Services répartis, Architectures, MOdélisation, Validation, Administration des Réseaux (SAMOVAR), Centre National de la Recherche Scientifique (CNRS), Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), Center for Computer and Engineering (Ryerson University), Département d'informatique et de génie logiciel [Québec], and Université Laval [Québec] (ULaval)

Subjects

[INFO.INFO-CY]Computer Science [cs]/Computers and Society [cs.CY]

Abstract

International audience; This volume contains the revised version of the papers presented at the 5th International Symposium on Foundations and Practice of Security (FPS 2012). The symposium was held at ETS (Ecole de technologie supérieure), in Montréal, Canada, during October 25-26, 2012. The event covered a wide and rich spectrum of research in different areas of theoretical and practical security solutions for information systems.

Published

2013

15. Policy Mining: a Bottom-Up Approach Toward a Model Based Firewall Management

Author

Hachana, Safaa, Cuppens, Frédéric, Cuppens-Bouhlahia, Nora, ALTURI, Vijay, Morucci, Stéphane, Télécom Bretagne (devenu IMT Atlantique), Ex-Bibliothèque, Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), ENSMA, SWID web performance (Entreprise) (SWID), Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), and Center for Information Management, Integration and Connectivity (Rutgers University) (CIMIC)

Subjects

Network Security, [INFO.INFO-CY] Computer Science [cs]/Computers and Society [cs.CY], [INFO.INFO-CY]Computer Science [cs]/Computers and Society [cs.CY], RBAC, Access Control, Firewall, IT Security, Role Mining

Abstract

International audience; Todays enterprises rely entirely on their information systems, usually connected to the internet. Network access control, mainly ensured by firewalls, has become a paramount necessity. Still, the management of manually configured firewall rules is complex, error prone, and costly for large networks. The use of high abstract models such as role based access control RBAC has proved to be very efficient in the definition and management of access control policies. The recent interest in role mining which is the bottom-up approach for automatic RBAC configuration from the already deployed authorizations is likely to further promote the development of this model. Recently, an extension of RBAC adapted to the specificities of network access control, which we refer to as NS- RBAC model, has been proposed. However, no effort has been made to extend the bottom-up approach to configure this model. In this paper, we propose an extension of role mining techniques to facilitate the adoption of a model based framework in the management of network access control. We present policy mining, a bottom-up approach that extracts instances of the NS-RBAC model from the deployed rules on a firewall. We provide a generic algorithm that could adapt most of the existing role mining solutions to the NS-RBAC model. We illustrate the feasibility of our solution by experimentations on real and synthetic data.

Published

2013

16. Foundations and practice of security

Author

GARCIA-ALFARO, Joaquin, Cuppens, Frédéric, Cuppens-Bouhlahia, Nora, MIRI, Ali, TAWBI, Nadia, Département Réseaux et Services de Télécommunications (RST), Institut Mines-Télécom [Paris] (IMT)-Télécom SudParis (TSP), Services répartis, Architectures, MOdélisation, Validation, Administration des Réseaux (SAMOVAR), Centre National de la Recherche Scientifique (CNRS), Lab-STICC_TB_CID_SFIIS, Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT)-Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT)-Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Centre National de la Recherche Scientifique (CNRS), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), Department of Computer Science [Ryerson University - Toronto], Ryerson University [Toronto], Département d'informatique et de génie logiciel [Québec], and Université Laval [Québec] (ULaval)

Subjects

[INFO.INFO-CR]Computer Science [cs]/Cryptography and Security [cs.CR], GeneralLiterature_MISCELLANEOUS

Abstract

International audience; This volume contains the revised version of the papers presented at the 5th International Symposium on Foundations and Practice of Security (FPS 2012). The symposium was held at ETS (Ecole de technologie supérieure), in Montréal, Canada, during October 25-26, 2012. The event covered a wide and rich spectrum of research in different areas of theoretical and practical security solutions for information systems. In response to the call for participation, 62 papers from 28 different countries were submitted to FPS 2012. These submission were evaluated on the basis of their significance, novelty, and technical quality. All submissions went through a careful anonymous review process (three or more reviews per submission) aided by 55 Technical Program Committee members and 32 external referees. In the end, 22 full papers, accompanied by three short papers, were presented at the event. The final program also included two invited talks by Douglas Stinson (University of Waterloo, Canada) and Ana Rosa Cavalli (TELECOM & Management SudParis, France). Our special thanks to Douglas and Ana for accepting our invitation and for their presence during the event and talks.

Published

2013

17. CRiSIS 2013 : 8th International Conference on Risks and Security of Internet and Systems, 23-25 October 2013, La Rochelle, France

Author

LANET, Jean-Louis, Crispo, Bruno, SANDHU, Ravi S., Cuppens-Bouhlahia, Nora, Conti, Mauro, Université de Limoges (UNILIM), Department of Information Engineering and Computer Science (University of Trento ) (DISI), University of Trento [Trento], Institute for Cyber Security (University of Texas at San Antonio) (ICS), Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), and Universita degli Studi di Padova

Subjects

[INFO.INFO-CY]Computer Science [cs]/Computers and Society [cs.CY]

Abstract

International audience; Conference Organization of the CRiSIS'2013: the purpose of the conference is to bring together researchers to explore risks and security issues in Internet applications, networks and systems. Each year papers are presented covering topics including trust, security risks and threats, intrusion detection and prevention, access control and security modeling.

Published

2013

18. PST 2012 : tenth Annual International Conference on Privacy, Security and Trust Privacy, Security and Trust, Paris, July 16-18

Author

Cuppens-Bouhlahia, Nora, FONG, Philip, Garcia Alfaro, Joaquin, MARSH, Stephen, STEGHÖFER, Jan-Philipp, Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), iRobot Corp. (Evolution Robotics), University of Ontario Institute of Technology (UOIT), and Software Engineering Division (Chalmers and Gothenburg University)

Subjects

[INFO.INFO-CY]Computer Science [cs]/Computers and Society [cs.CY]

Abstract

International audience; The annual Privacy, Security and Trust research conference has quickly established itself as a leading forum for the presentation and discussion of the latest challenges and solutions covering a wide range of PST topics. The PST conference is unique in its broad approach including examining the issues from both the research and practice perspectives, encouraging multidisciplinary research, and fostering collaboration between academe, the private sector and government. PST-2012 will be a valuable place for IEEE members to present papers and meet with one another to discuss their work.

Published

2012

19. Towards a Temporal Response Taxonomy

Author

Kanoun, Wael, EL SAMARJI, Léa, Cuppens-Bouhlahia, Nora, Dubus, Samuel, Cuppens, Frédéric, Télécom Bretagne (devenu IMT Atlantique), Ex-Bibliothèque, Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), Bell Labs (Alcatel Lucent), Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), and Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)

Subjects

[INFO.INFO-CY] Computer Science [cs]/Computers and Society [cs.CY], [INFO.INFO-CY]Computer Science [cs]/Computers and Society [cs.CY]

Abstract

International audience; Response systems play a growing role in modern security architectures. In order to select the most effective countermeasure, they adopt a dynamic and situation-aware approach. However, today's response systems are limited to the selection procedure. In other words, the follow-up and the deactivation phases are still performed manually. Consequently, existing response taxonomies failed to provide an appropriate set of requirements that covers the deactivation feature. In this paper, we tackle this issue by proposing a formal temporal taxonomy for response measures. Furthermore, we present an application of our work in the context of simultaneous attacks. This work provides a first step towards the deactivation and the transactional management of response measures.

Published

2012

20. Consistency Policies for Dynamic Information Systems with Declassification Flows

Author

THOMAS, Julien, Cuppens, Frédéric, Cuppens-Bouhlahia, Nora, Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (UMR 3192) (Lab-STICC), Université européenne de Bretagne - European University of Brittany (UEB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-Université européenne de Bretagne - European University of Brittany (UEB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), and Télécom Bretagne, Bibliothèque

Subjects

ECA rules, [INFO.INFO-CR]Computer Science [cs]/Cryptography and Security [cs.CR], Security policy, [INFO.INFO-DS]Computer Science [cs]/Data Structures and Algorithms [cs.DS], Dynamic information systems, [INFO.INFO-DS] Computer Science [cs]/Data Structures and Algorithms [cs.DS], Consistency, [INFO.INFO-CR] Computer Science [cs]/Cryptography and Security [cs.CR]

Abstract

International audience; Many research work focused on modeling relational database management systems (DBMS) that support multilevel security (MLS) policies. One issue in this context is the inference problem which occurs when it is possible to derive higher classified data from lower classified ones. This corresponds to situations where data is inconsistently classified. Research work that address the inconsistent classification problem generally assume that classification assigned to data is statically defined and does not change over time (the tranquility principle). However, in more recent studies, advanced properties such as secure data declassification were also considered. The main issues addressed in these work are how to extend existing information flow control models, like non interference, to control information flows created by data declassification. But, these work do not consider that dependencies between data may create inconsistent classification problems when data is declassified. In this paper, we present an approach to consider consistency issues in dynamic information systems with declassifications. Our approach relies on the modeling of explanation graphs associated to both the information system and the declassification flows. We also consider the evaluation of such explanation graphs that are used to enforce our consistency property.

Published

2011

21. Declassification policy management in dynamic information systems

Author

THOMAS, Julien, Cuppens-Bouhlahia, Nora, Cuppens, Frédéric, Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Institut Mines-Télécom [Paris] (IMT)-Télécom Bretagne-Université européenne de Bretagne - European University of Brittany (UEB), Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (UMR 3192) (Lab-STICC), Université européenne de Bretagne - European University of Brittany (UEB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), Lab-STICC_TB_CID_SFIIS, Université de Brest (UBO)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-Université européenne de Bretagne - European University of Brittany (UEB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Institut Brestois du Numérique et des Mathématiques (IBNM), and Télécom Bretagne, Bibliothèque

Subjects

Declassification, [INFO.INFO-CR]Computer Science [cs]/Cryptography and Security [cs.CR], TheoryofComputation_LOGICSANDMEANINGSOFPROGRAMS, Traces, Security policy, Dynamic systems, [INFO.INFO-CR] Computer Science [cs]/Cryptography and Security [cs.CR]

Abstract

International audience; Standard multilevel security (MLS) policies lack flexibility as data classification is considered static. Previous works have addressed this issue and defined declassification requirements, especially in programming languages using a language-based security approach. In this paper, we suggest a different approach. We show how to define and enforce declassification policies in databases, seen as sets of logical facts. We first define an information flow control model where data classification may dynamically change. This model combines both confidentiality and integrity requirements to enforce security. We then specify how to enforce declassification policies. Our approach relies on Event-Condition-Action (ECA) rules and provides means to manage the four basic dimensions of declassification, namely the \textit{what?, who?, where? and when?} which respectively refer to modeling information to be declassified, entities responsible for declassification, localization of the declassification and contextual conditions that control declassification. We formalize and specify our declassification policies and prove it safe and secure with respect to the information flow control model.

Published

2011

22. An Integrated Approach for the Enforcement of Contextual Permissions and Pre-Obligations

Author

EL RAKAIBY, Yehia, Cuppens, Frédéric, Cuppens-Bouhlahia, Nora, Télécom Bretagne (devenu IMT Atlantique), Ex-Bibliothèque, Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), and Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)

Subjects

TheoryofComputation_MATHEMATICALLOGICANDFORMALLANGUAGES, [INFO.INFO-CY] Computer Science [cs]/Computers and Society [cs.CY], [INFO.INFO-CY]Computer Science [cs]/Computers and Society [cs.CY], TheoryofComputation_LOGICSANDMEANINGSOFPROGRAMS

Abstract

International audience; Pre-obligations denote actions that may be required before access is granted. The successful fulfillment of pre-obligations leads to the authorization of the requested access. Pre-obligations enable a more flexible enforcement of authorization policies. This paper formalizes interactions between the obligation and authorization policy states when pre-obligations are supported and investigates their use in a practical scenario. The main advantage of the presented approach is that it gives pre-obligations both declarative semantics using predicate logic and operational semantics using Event-Condition-Action ECA rules. Furthermore, the presented framework enables policy designers to easily choose to evaluate any pre-obligation either 1 statically an access request is denied if the pre-obligation has not been fulfilled; or 2 dynamically users are given the possibility to fulfill the pre-obligation after the access request and before access is authorized.

Published

2011

23. A posteriori access and usage control policy in healthcare environment

Author

AZKIA, Hanieh, Cuppens-Bouhlahia, Nora, Cuppens, Frédéric, Coatrieux, Gouenou, Télécom Bretagne, Bibliothèque, Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Institut Mines-Télécom [Paris] (IMT)-Télécom Bretagne-Université européenne de Bretagne - European University of Brittany (UEB), Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (UMR 3192) (Lab-STICC), Université européenne de Bretagne - European University of Brittany (UEB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), Lab-STICC_TB_CID_SFIIS, Université de Brest (UBO)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-Université européenne de Bretagne - European University of Brittany (UEB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Institut Brestois du Numérique et des Mathématiques (IBNM), Laboratoire de Traitement de l'Information Medicale (LaTIM), and Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Centre Hospitalier Régional Universitaire de Brest (CHRU Brest)-Université de Brest (UBO)-Institut National de la Santé et de la Recherche Médicale (INSERM)-Institut Mines-Télécom [Paris] (IMT)

Subjects

[INFO.INFO-CR]Computer Science [cs]/Cryptography and Security [cs.CR], [INFO.INFO-LO] Computer Science [cs]/Logic in Computer Science [cs.LO], [INFO.INFO-LO]Computer Science [cs]/Logic in Computer Science [cs.LO], [INFO.INFO-CR] Computer Science [cs]/Cryptography and Security [cs.CR]

Abstract

International audience; Traditional access control mechanisms prevent illegal access by controlling access right before executing an action; they belong to a class of a priori security solutions and, from this point of view, they have some limitations, like inflexibility in unanticipated circumstances. By contrast, a posteriori mechanisms enforce policies not by preventing unauthorized access, but rather by deterring it. Such access control needs evidence to prove violations. Evidence is derived from log records, which trace each user's actions. Efficiency of violation detection mostly depends on the compliance of log records with the access and usage control policy. In order to develop an efficient method for finding these violations, we propose restructuring log records according to a security policy model. We illustrate our methodology by applying it to the healthcare domain, taking care of the Integrating the Healthcare Enterprise (IHE) framework, particularly its basic security profile, ATNA (Audit Trail and Node Authentication). This profile defines log records established on the analysis of common health practice scenarios. We analyze and establish how ATNA log records can be refined in order to be integrated into an \textit{a posteriori} access and usage control process, based on an expressive and contextual security policy like the OrBAC (Organization Based Access Control) policy.

Published

2011

24. Cover Story

Author

Cuppens, Frédéric, Cuppens-Bouhlahia, Nora, Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), and Télécom Bretagne (devenu IMT Atlantique), Ex-Bibliothèque

Subjects

[INFO.INFO-CY] Computer Science [cs]/Computers and Society [cs.CY], [INFO.INFO-CY]Computer Science [cs]/Computers and Society [cs.CY]

Abstract

International audience; Cover story has been a controversial concept for the last 20 years. This concept was first introduced in 1991 in the SEAVIEW project [4] as an explanation for the polyinstantiation technique used in multilevel databases, i.e., databases which support a multilevel security policy. To illustrate the concept of polyinstantiation, consider the example of multilevel relational database that contains the relation EMPLOYEE as shown in Table 1. This relation stores the salary of each employee of some organization. The additional attribute called "Tuple_class" represents the classification level assigned to each tuple in relation EMPLOYEE. To get an access to this multilevel relation, each user receives a clearance level.

Published

2011

25. Expression and enforcement of confidentiality policy in active databases

Author

Thomas, Julien, Cuppens-Bouhlahia, Nora, Cuppens, Frédéric, Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Institut Mines-Télécom [Paris] (IMT)-Télécom Bretagne-Université européenne de Bretagne - European University of Brittany (UEB), Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (UMR 3192) (Lab-STICC), Université européenne de Bretagne - European University of Brittany (UEB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), Lab-STICC_TB_CID_SFIIS, Université de Brest (UBO)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-Université européenne de Bretagne - European University of Brittany (UEB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Institut Brestois du Numérique et des Mathématiques (IBNM), and Télécom Bretagne, Bibliothèque

Subjects

ECA rules, [INFO.INFO-CR]Computer Science [cs]/Cryptography and Security [cs.CR], B method, Information inference, Security policies, Active databases, [INFO.INFO-CR] Computer Science [cs]/Cryptography and Security [cs.CR]

Abstract

International audience; Many research works focused on modeling relational database management systems (DBMS) that support multilevel security (MLS) policies. However, most of these previous proposals only consider static aspects of relational databases and do not address dynamicity provided by mechanisms like triggers. Since such mechanisms introduced specific security problems, in particular they create new information flows, it is necessary to extend traditional MLS models designed for relational databases to handle these problems. However, it has been shown in many papers that triggers lack a formal model to support them and so they are not free of ambiguities. To address these theoretical limitations of trigger, our work is based on a formal model that applies MLS policies to {\em active} databases. Active databases provide a more expressive and formal framework than triggers. In this paper, we first define an information flow model for active databases. Based on this security model, we then present security requirements that are sufficient to prevent illegal information flows and prove them using the B method.

Published

2010

26. Spécification et gestion des obligations pour le besoin de contrôle d’usage (un aperçu)

Author

Cuppens, Frédéric, Cuppens-Bouhlahia, Nora, Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (UMR 3192) (Lab-STICC), Université européenne de Bretagne - European University of Brittany (UEB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-Université européenne de Bretagne - European University of Brittany (UEB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), and Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT)

Subjects

Modèle d’accès, [INFO.INFO-CY]Computer Science [cs]/Computers and Society [cs.CY], Règles de sécurité, Contrôle d’usage, Politique d’accès

Abstract

National audience; Les modèles de contrôle d’accès « classiques » permettent de spécifier si un sujet a l’autorisation de réaliser une action sur un objet du SI. Éventuellement, une condition contextuelle peut être associée à l’autorisation; cette condition doit être satisfaite avant que l’action puisse être réalisée. Avec le développement d’applications telles que la gestion de droits électroniques (DRM, Digital Right Management), il faut être capable de spécifier des conditions qui doivent être satisfaites non seulement avant mais aussi pendant ou après qu’une action soit réalisée. Par exemple, un serveur permettant d’écouter des morceaux de musique doit pouvoir spécifier que le paiement doit s’effectuer avant, pendant ou bien après l’écoute du morceau. Pour exprimer ce type de politique d’autorisation, les modèles de contrôle d’accès ne sont plus suffisants. C’est la raison pour laquelle des modèles de contrôle d’usage commencent à être proposés. Dans cet article, nous montrons comment spécifier des exigences de contrôle d’usage sous forme d’obligations. Nous nous intéressons notamment aux obligations individuelles ainsi qu’aux obligations collectives s’appliquant à un groupe d’utilisateurs.

Published

2010

27. Secure interoperability with O2O contracts

Author

Coma-Brebel, Céline, Cuppens-Bouhlahia, Nora, Cuppens, Frédéric, Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Institut Mines-Télécom [Paris] (IMT)-Télécom Bretagne-Université européenne de Bretagne - European University of Brittany (UEB), Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (UMR 3192) (Lab-STICC), Université européenne de Bretagne - European University of Brittany (UEB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), Lab-STICC_TB_CID_SFIIS, Université de Brest (UBO)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-Université européenne de Bretagne - European University of Brittany (UEB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Institut Brestois du Numérique et des Mathématiques (IBNM), and Télécom Bretagne, Bibliothèque

Subjects

[INFO.INFO-CR]Computer Science [cs]/Cryptography and Security [cs.CR], Organization to organization, Design by contract, Secure interoperability, [INFO.INFO-CR] Computer Science [cs]/Cryptography and Security [cs.CR]

Abstract

International audience; The evolution of markets and the high volatility of business requirements put an increasingemphasis on the ability for systems to accommodate the changes required by neworganizational needs while maintaining security objectives satisfiability. This is even moretrue in case of collaboration and interoperability between different organizations and thus between their information systems. Usual solutions do not anticipate interoperability security requirements or do it in a non satisfactory way. In this chapter, we propose a contract and compatibility principles within a formal framework O2OSecure to achieve a secure interoperation.Contracts are used to explicitly represent the rules that determine the way interactionbetween organizations must be controlled to satisfy secure accesses to resources. Compatibility relations make it possible to derive interoperability security policies. We specify all the wheelwork of interoperation between organizations which might manage their security policies using access control model RBAC and/or OrBAC.Furthermore, as interoperation may lead to a lot of exchanges of information beforeand during the interoperability session, in particular those related to credentials and securitypolicies, we propose to ensure privacy protection to use the O2O licence administrativeview and an XML block based access control technique to obfuscate some of the informationexchanged.

Published

2010

28. fQuery : réécriture de requêtes SPARQL pour assurer la confidentialité des données

Author

Oulmakhzoune, Said, Cuppens-Bouhlahia, Nora, Cuppens, Frédéric, Morucci, Stéphane, Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (UMR 3192) (Lab-STICC), Université européenne de Bretagne - European University of Brittany (UEB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-Université européenne de Bretagne - European University of Brittany (UEB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), and SWID web performance (Entreprise) (SWID)

Subjects

Langage RDF, [INFO.INFO-DB]Computer Science [cs]/Databases [cs.DB], Contrôle d'accès, [INFO.INFO-WB]Computer Science [cs]/Web, Réécriture de requêtes, SPARQL, Confidentialité, [INFO.INFO-CL]Computer Science [cs]/Computation and Language [cs.CL]

Abstract

National audience; RDF est un modèle de plus en plus utilisé pour décrire des ressources Web, y compris les ressources sensibles et confidentielles. Dans ce contexte, SPARQL a été défini pour localiser et extraire facilement des données dans un graphe RDF. Lorsque des données confidentielles sont accessibles, les requêtes SPARQL doivent être filtrées, de sorte que seules les données autorisées sont retournées conformément à la politique de confidentialité. Dans cet article nous modélisons une politique de confidentialité comme un ensemble de filtres positifs et négatifs (correspondant respectivement à des autorisations et interdictions) qui s'appliquent aux requêtes SPARQL. Nous définissons ensuite un algorithme de réécriture qui transforme les requêtes de sorte que les résultats des requêtes transformées soient conformes à la politique de confidentialité.

Published

2010

29. Data Privacy Management and Autonomous Spontaneous Security : DPM 2009 : 4th International Workshop and SETOP 2009 : second International Workshop, St. Malo, France, September 24-25, 2009 - Revised Selected Papers

Author

Garcia Alfaro, Joaquin, NAVARRO-ARRIBAS, Guillermo, Cuppens-Bouhlahia, Nora, Roudier, Yves, Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), Spanish National Research Council (CSIC), Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-École Nationale d'Ingénieurs de Brest (ENIB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Télécom Bretagne-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Université européenne de Bretagne - European University of Brittany (UEB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), and Eurecom [Sophia Antipolis]

Subjects

Sensor networks, [INFO.INFO-CR]Computer Science [cs]/Cryptography and Security [cs.CR], Privacy, Ad-hoc networks

Abstract

International audience; This book constitutes the thoroughly refereed post-conference proceedings of the two international workshops DPM 2009, the 4th International Workshop on Data Privacy Management, and SETOP 2009, the Second International Workshop on Autonomous and Spontaneous Security, collocated with the ESORICS 2009 symposium in St. Malo, France, in September 2009. The 8 revised full papers for DPM 2009, selected from 23 submissions, presented together with two keynote lectures are accompanied by 9 revised full papers of SETOP 2009; all papers were carefully reviewed and selected for inclusion in the book. The DPM 2009 papers cover topics such as privacy in service oriented architectures, privacy-preserving mechanisms, crossmatching and indistinguishability techniques, privacy policies, and disclosure of information. The SETOP 2009 papers address all current issues within the sope of security policies, identification and privacy, as well as security mechanisms.

Published

2010

30. Formal framework to specify and deploy reaction policies

Author

Cuppens, Frédéric, Cuppens-Bouhlahia, Nora, Kanoun, Wael, Croissant, Aurélien, Télécom Bretagne, Bibliothèque, Lab-STICC_TB_CID_SFIIS, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (UMR 3192) (Lab-STICC), Université européenne de Bretagne - European University of Brittany (UEB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS)-Université européenne de Bretagne - European University of Brittany (UEB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Institut Mines-Télécom [Paris] (IMT)-Télécom Bretagne-Université européenne de Bretagne - European University of Brittany (UEB), and Bell Labs (Alcatel Lucent)

Subjects

Response framework, [INFO.INFO-CY] Computer Science [cs]/Computers and Society [cs.CY], [INFO.INFO-CY]Computer Science [cs]/Computers and Society [cs.CY], Response policy, Response workflow

Abstract

International audience; Nowadays, intrusion detection systems are able to react to the attacks rather than only raising alerts. Unfortunately, current prevention techniques provide restrictive responses that may take a local reaction in a limited information system infrastructure. In this chapter, we introduce a new comprehensive and efficient approach for responding to intrusions. This approach considers not only the threat and the architecture of the monitored information system, but also the security policy which formally specifies security requirements that are activated when an intrusion is detected. In particular, some of the security policy rules are obligations that can be enforced as countermeasures. The proposed reaction workflow links the lowest level of the information system corresponding to intrusion detection mechanisms, including misuse and anomaly techniques, and access control techniques with the higher level of the security policy. This reaction workflow evaluates the intrusion alerts at three different levels; it then reacts against threats with appropriate counter measures in each level accordingly.

Published

2010

31. Automated reaction based on risk analysis and attackers skills

Author

Kanoun, Wael, Cuppens-Bouhlahia, Nora, Cuppens, Frédéric, Département Logique des Usages, Sciences sociales et Sciences de l'Information (LUSSI), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), Bell Labs (Alcatel Lucent), Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (UMR 3192) (Lab-STICC), Université européenne de Bretagne - European University of Brittany (UEB)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Institut Brestois du Numérique et des Mathématiques (IBNM), Université de Brest (UBO)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT)-Centre National de la Recherche Scientifique (CNRS), and Télécom Bretagne, Bibliothèque

Subjects

[INFO.INFO-CR]Computer Science [cs]/Cryptography and Security [cs.CR], [INFO.INFO-NI]Computer Science [cs]/Networking and Internet Architecture [cs.NI], Impact, [INFO.INFO-NI] Computer Science [cs]/Networking and Internet Architecture [cs.NI], Attack scenario, Intrusion detection system, Attack detection, Countermeasure, [INFO.INFO-CR] Computer Science [cs]/Cryptography and Security [cs.CR]

Abstract

International audience; Nowadays, intrusion detection systems do not only aim to detect attacks; but they go beyond by providing reaction mechanisms to cope with detected attacks, or at least reduce their effects. Previous research works have proposed several methods to automatically select possible countermeasures capable of ending the detected attack, but without taking into account their side effects. In fact, countermeasures can be as harmful as the detected attack. Moreover, sometimes selected countermeasures are not adapted to the attackerpsilas actions and/or knowledge. In this paper, we propose to turn the reaction selection process intelligent by giving means to (i) quantify the effectiveness and select the countermeasure that has the minimum negative side effect on the information system by adopting a risk assessment and analysis approach, and (ii) assess the skill and knowledge level of the attacker from a defensive point of view.

Published

2008

32. SARSSI 2008 : 3rd Conference on Security in Network Architectures and Information Systems, Loctudy, France, 13-14 October 2008

Author

Cuppens-Bouhlahia, Nora, Owezarski, Philippe, Département Réseaux, Sécurité et Multimédia (RSM), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), Laboratoire d'analyse et d'architecture des systèmes (LAAS), Université Toulouse - Jean Jaurès (UT2J)-Université Toulouse 1 Capitole (UT1), Université Fédérale Toulouse Midi-Pyrénées-Université Fédérale Toulouse Midi-Pyrénées-Centre National de la Recherche Scientifique (CNRS)-Université Toulouse III - Paul Sabatier (UT3), Université Fédérale Toulouse Midi-Pyrénées-Institut National des Sciences Appliquées - Toulouse (INSA Toulouse), Institut National des Sciences Appliquées (INSA)-Institut National des Sciences Appliquées (INSA)-Institut National Polytechnique (Toulouse) (Toulouse INP), Université Fédérale Toulouse Midi-Pyrénées, Université Toulouse Capitole (UT Capitole), Université de Toulouse (UT)-Université de Toulouse (UT)-Institut National des Sciences Appliquées - Toulouse (INSA Toulouse), Institut National des Sciences Appliquées (INSA)-Université de Toulouse (UT)-Institut National des Sciences Appliquées (INSA)-Université Toulouse - Jean Jaurès (UT2J), Université de Toulouse (UT)-Université Toulouse III - Paul Sabatier (UT3), Université de Toulouse (UT)-Centre National de la Recherche Scientifique (CNRS)-Institut National Polytechnique (Toulouse) (Toulouse INP), and Université de Toulouse (UT)

Subjects

[INFO.INFO-NI]Computer Science [cs]/Networking and Internet Architecture [cs.NI], [INFO.INFO-MM]Computer Science [cs]/Multimedia [cs.MM], ComputingMilieux_MISCELLANEOUS

Abstract

International audience

Published

2008