Véhicules malicieux et égoïstes, comment leur faire entendre raison
Problématique et contexte
Le bon fonctionnement des applications de sûreté nécessite l’intégrité des données échangées, l’authentification des véhicules sources, l’acheminement des messages en un temps très court et un taux de réception élevé pour les véhicules concernés par une information. Car les informations échangées relèvent de la sécurité des utilisateurs, un usager ne devrait jamais prendre en considération une information reçue sans la garantie de son authenticité. Chaque altération d’un message de sûreté peut causer des accidents, comme par exemple dans le cas où un utilisateur malicieux dissémine une fausse information pour faire dévier de leur route quelques véhicules, alors que la route proposée comprend des dangers tel qu’un glissement de terrain. Cependant, un véhicule n’a pas toujours le temps ou l’occasion de vérifier l’authenticité d’une information en amont, à cause du court de délai de réflexion lié aux informations de sécurité routière. Cette vérification se complique davantage quand aucune infrastructure n’est déployée ou quand elles sont peu nombreuses. Dans les réseaux collaboratifs ad hoc mobiles tels que les réseaux véhiculaires, les informations concernant le comportement de chaque membre du réseau sont asymétriques à cause de leur nombre important. En plus de cela, la forte mobilité des véhicules et l’étendue géographique importante des réseaux véhiculaires génèrent des connexions sporadiques entre les véhicules et donc des intervalles de rencontre irréguliers [18]. Car établir et maintenir des connexions à un saut avec les autres véhicules est difficile, des membres malicieux et égoïstes sont apparus dans les réseaux véhiculaires. Les véhicules malicieux introduisent de fausses informations ou falsifient les informations reçues avant de les retransmettre. Quelques-uns d’entre eux agissent tout le temps de la sorte, d’autres alternent entre un comportement malicieux et un autre correct, à leur gré. Alors que les véhicules égoïstes ont pour but de servir leurs propres intérêts, mais sans pour autant vouloir porter préjudice aux autres. Ces membres préfèrent utiliser leurs ressources que pour leurs propres besoins, ce qui réduit leur coopération au sein du réseau. À la différence des véhicules malicieux, les véhicules égoïstes sont rationnels, ce qui leur permet de coopérer, par exemple, quand cela leur est profitable. Les modèles de réputation [71][17] sont souvent utilisés pour remédier à ce genre de problèmes, mais leur efficacité est limitée dans les réseaux véhiculaires à cause des connexions irrégulières entre les membres du réseau, qui ne permettent pas d’établir des réputations fiables. Aussi, la radiation d’un véhicule malicieux peut prendre beaucoup de temps lors de l’utilisation d’un modèle de réputation, car la convergence des réputations au sein des multiples véhicules est un long processus, ce qui n’est pas permis pour des applications de sûreté. Nous proposons une solution, parant ce genre de comportements, sans aucune hypothèse sur le déploiement préalable d’infrastructures, comme ce fut déjà le cas dans les deux chapitres précédents. Afin de pallier aux problèmes liés à la dispersion des véhicules dans l’importante étendue géographique des réseaux véhiculaires, nous proposons de munir chaque véhicule d’un compte à crédits [28], dont le montant de crédit croît ou décroît en rapport avec le comportement du véhicule. Ce crédit permet d’obtenir des avantages au sein d’un réseau, tel que la possibilité d’envoyer et de recevoir des messages. Un véhicule qui épuise tous ses crédits est radié du réseau, car il est dans l’incapacité d’envoyer ou de recevoir des messages. Pour gérer les crédits des véhicules, nous proposons une solution basée sur un modèle économique nommé le “marché de l’emploi » [94], appartenant à la famille des jeux des signaux [93]. Ces modèles sont souvent utilisés quand les informations sont asymétriques au sein des membres d’un même réseau [97]. L’utilisation de tels modèles dans les réseaux véhiculaires permettrait d’avoir une vue plus large du comportement des véhicules dans un réseau véhiculaire.
Positionnement bibliographique
Plusieurs modèles de confiance ont été proposés dans le cadre des réseaux véhiculaires, les auteurs Govindan et Mohapatra proposent un état de l’art poussé sur ce sujet [45]. Ces solutions remédient généralement aux comportements malicieux ou aux comportements égoïstes, mais rarement aux deux en même temps. Elles peuvent être classifiées en trois catégories : les approches incitatives utilisant des modules TPM, comme c’est le cas dans notre solution DTM2 ; la deuxième catégorie concerne les approches incitatives nécessitant le déploiement d’infrastructures ; les modèles de réputation sont représentés dans la troisième catégorie.
Les approches incitatives nécessitant l’utilisation de modules TPM
Dans le but d’améliorer la coopération au sein d’un réseau, multiples sont les solutions qui proposent une récompense en retour de chaque participation d’un de ses membres. Les modèles incitatifs sont basés sur un système de coûts et de récompenses, comme c’est le cas dans les études [28] et [29]. Ces solutions utilisent des nuglets comme moyen de paiement afin d’inciter les véhicules à coopérer. Ces solutions supposent que chaque véhicule est équipé d’un dispositif résistant aux attaques pour gérer ses nuglets. 84 Chapitre 5. Véhicules malicieux et égoïstes, comment leur faire entendre raison ? Buttyàn et al. proposent dans l’étude [28] deux manières différentes d’estimer la récompense d’un véhicule pour la retransmission d’un message. La première se base sur le principe d’un porte-monnaie, la deuxième sur celui d’un commerce. Dans la première approche, la récompense est estimée d’après le nombre de véhicules intermédiaires entre la source et la destination, la récompense totale en nuglets est embarquée dans le message et à chacune de ses retransmissions par un véhicule, celui ci se récompense à travers ces nuglets. Cependant, cette approche est inefficace à cause de la vitesse de propagation des informations dans les VANETs [113], la forte mobilité des véhicules rend les estimations sur la récompense totale inappropriée et souvent sous-estimée ou surestimée. Dans la deuxième approche, c’est le destinataire qui récompense le dernier véhicule intermédiaire pour la retransmission du message, néanmoins ce coût peut vite augmenter si les intermédiaires sont nombreux, car chaque véhicule intermédiaire a dû récompenser le précédant tout au long de la transmission du message, ce qu’on peut associer à un mécanisme de vente et de revente. Toutefois ces deux approches ne s’intéressent qu’aux comportements égoïstes. Dans l’étude [29], les mêmes auteurs que précédemment proposent des comportements à suivre par les véhicules d’après différents niveaux de coopération proposés. Ces niveaux prennent en considération leurs besoins en crédits et leurs volontés de coopération. Néanmoins, ces niveaux risquent de mener à une participation quantitative des véhicules pour remédier à leur besoin en crédits, mais pas forcément de manière constante dans le temps, car rien dans le modèle ne les y obligent, ce qui peut mener au déclin de la connectivité dans le réseau.
Les approches incitatives nécessitant le déploiement d’infrastructures
La théorie des jeux est souvent utilisée pour concevoir des modèles incitatifs, comme ce fut le cas dans l’étude [85], ses auteurs l’ont utilisée pour améliorer la sécurité dans un réseau ad hoc mobile. Ils s’en ont servi pour motiver les nœuds d’un réseau à coopérer davantage en augmentant leur réputation auprès de l’autorité du réseau pour qu’elle leur octroie des privilèges. D’autres solutions, notamment celles proposées dans [67], [101] et [114], génèrent de l’incitation en proposant des récompenses aux nœuds qui acceptent de relayer des messages jusqu’à leur destinataire. Ces trois solutions se basent toutes sur l’existence d’infrastructures comme des unités de bords de route. Les auteurs de l’étude [67] proposent deux sortes de récompenses, la première dépend uniquement de l’action réalisée par un nœud, alors que la deuxième tient plutôt d’un système de loterie où une récompense est donnée à un seul nœud parmi les participants, celui ci est choisi au hasard. Cette solution permet de limiter les dépenses en récompenses pour un nœud source, particulièrement quand le nombre de nœuds intermédiaires est important. Car un nœud source n’aura pas à proposer d’importantes récompenses aux nœuds relayeurs égoïstes, puisque la chance d’être tiré au sort pour recevoir la deuxième récompense les motive aussi. Cependant, cette solution nécessite l’existence d’infrastructures, car un nœud source a besoin de l’autorisation d’une autorité pour envoyer son message et aussi pour lui remettre le montant des récompenses des nœuds relayeurs afin qu’elle le leur redistribue. Aussi, ce modèle n’apporte de solution que pour les nœuds égoïstes et ne traite pas le cas des nœuds malicieux.