Procédé de défense contre une tentative de déconnexion entre deux entités, système associé

Technique antérieure

La présente invention appartient au domaine général des télécommunications. Elle concerne, notamment, un procédé de défense contre une tentative de déconnexion entre deux entités correspondant à un point d'accès réseau et un dispositif client, ainsi qu'un système configuré pour mettre en œuvre ledit procédé de défense. L'invention trouve une application particulièrement avantageuse, bien que nullement limitative, dans le contexte de l'« Internet des objets »

(« Internet of Things » ou IoT dans la littérature anglo-saxonne) pour un point d'accès réseau et un dispositif client aptes à échanger des données entre eux conformément à un protocole Wi-Fi (marque déposée).

De manière conventionnelle, lorsqu'un dispositif client souhaite se connecter à un réseau de communication, comme par exemple un réseau local utilisé à titre domestique ou bien au sein d'une entreprise, il cherche en premier lieu à établir une connexion avec un point d'accès réseau approprié.

On note que l'expression « point d'accès réseau » (ou encore plus simplement « point d'accès » dans la suite de la description) fait classiquement référence à un équipement configuré pour contribuer au déploiement dudit réseau de communication, en offrant des services de communication à un ou plusieurs dispositifs clients équipés d'interfaces réseau et situés dans la zone de couverture radio (domicile, entreprise, etc.) dudit point d'accès. On note également qu'un point d'accès peut prendre des formes variées, selon la nature du réseau déployé. A titre d'exemple nullement limitatif, il peut s'agir d'un routeur, d'un commutateur réseau, d'un serveur, d'une box internet Wi-Fi, etc.

La connexion entre un dispositif client et un point d'accès s'appuie sur des messages standardisés échangés entre ces derniers. De tels messages consistent en l'envoi de paquets de données, sous la forme de trames conformes à un protocole de communication déterminé, et qui correspondent, en règle générale, à des requêtes et des réponses à ces requêtes.

Ainsi, et à titre d'exemple, la figure 1 représente schématiquement des messages échangés dans le cadre d'une connexion entre un dispositif client 10 correspondant à un terminal utilisateur de type ordinateur portable et un point d'accès 20 correspondant à une box internet Wi-Fi à usage domestique. Le protocole utilisé pour la transmission de ces messages est un protocole Wi-Fi répondant à une norme IEEE 802.11 (ISO/CEI 8802-11).

Tel qu'illustré par la figure 1, les messages échangés pour établir la connexion entre le dispositif client 10 et le point d'accès 20 comportent successivement dans cet ordre : 2

- une trame Tl émise par le dispositif client 10 et correspondant à une requête d'interrogation (« PROBE REQUEST » en anglais), ainsi qu'une trame T2 émise par le point d'accès 20, sur réception de la trame Tl, et correspondant à une réponse à ladite requête d'interrogation

(« PROBE RESPONSE » en anglais). Lesdites trames Tl et T2 définissent une phase de découverte des capacités de connexion du dispositif client 10 et du point d'accès 20 ;

- une trame T3 émise par le dispositif client 10 et correspondant à une requête d'authentification (« AUTHENTICATION REQUEST » en anglais), ainsi qu'une trame T4 émise par le point d'accès 20, sur réception trame T3, et correspondant à une réponse à ladite requête d'authentification

(« AUTHENTICATION RESPONSE » en anglais). Lesdites trames T3 et T4 définissent une phase d'authentification permettant de valider que le dispositif client 10 est en mesure de se connecter au point d'accès 20 ;

- une trame T5 émise par le dispositif client 10 et correspondant à une requête d'association

(« ASSOCIATION REQUEST » en anglais), ainsi qu'une trame T6 émise par le point d'accès 20, sur réception de ladite trame T5, et correspondant à une réponse à ladite requête d'association (« ASSOCIATION RESPONSE » en anglais). Lesdites trames T5 et T6 définissent une phase d'association effective entre le dispositif client 10 et point d'accès 20,

En définitive, la transmission des trames Tl à T6 forme un procédé, dit « procédé de connexion », permettant l'établissement d'une connexion (i.e. d'une liaison point à point) entre le dispositif client 10 et le point d'accès 20. On note qu'à la suite de la trame T6, des messages additionnels standardisés Ml, M2, M3 et M4 sont encore transmis entre le dispositif client 10 et le point d'accès 20, de sorte à s'échanger des clés de session leur permettant de chiffrer leurs échanges subséquents. Cet échange de clé de session correspond à une procédure dite de « poignée de main en 4 étapes » (« 4-way handshake » en anglais).

Bien entendu, une fois ladite connexion établie, celle-ci peut être rompue. Cela peut se faire dans un contexte légitime où le dispositif client 10 transmet au point d'accès 20 (respectivement le point d'accès 20 transmet au dispositif client 10) une trame correspondant à une requête de déconnexion (« DEAUTH E NTICATIO N REQUEST » en anglais).

Cela peut aussi se faire dans un contexte illégitime où une entité tierce, distincte du dispositif client 10 et du point d'accès 20, usurpe par exemple l'identité du point d'accès 20 pour transmettre au dispositif client 10 une ou plusieurs requêtes de déconnexion (l'exemple inverse, dans lequel l'identité usurpée est celle du dispositif client 10, est bien entendu aussi envisageable). Dit encore autrement, le dispositif client 10 et/ou le point d'accès 20 peuvent chacun faire l'objet, de la part de ladite entité tierce, d'une tentative de déconnexion malveillante.

Une telle attaque (tentative de déconnexion malveillante) est en outre facilitée par le fait que, dans le cadre des protocoles Wi-Fi répondant à des normes IEEE 802.11 (ISO/CEI 8802-11) antérieures 3 à 2009, les requêtes de déconnexion ne font l'objet d'aucune protection permettant de garantir la légitimité de la ou des entités qui les émettent.

Dans le but de corriger cette carence technique, des solutions ont été proposées. En particulier, il a été proposé de compléter les normes du groupe IEEE 802.11 par un amendement noté 802. llw- 2009. Ce dernier fournit une solution, dite « PMF » (acronyme de l'expression anglaise « Protected Management Frame »), permettant de chiffrer et authentifier, et donc a fortiori sécuriser, les données contenues dans des trames dites « de gestion », dont font partie lesdites trames Tl à T6 ainsi que les requêtes de déconnexion.

Cette solution PMF n'en reste pas moins peu déployée à ce jour, la faute notamment à une implémentation technique particulièrement complexe et contraignante puisqu'elle exige de modifier le micrologiciel (« firmware » en anglais) intégré à la ou les cartes réseau Wi-Fi de chacune des entités destinées à être connectées ensemble, en l'espèce ici le dispositif client 10 et le point d'accès 20. Par ailleurs, quand bien même une entité serait configurée de manière idoine, la solution PMF n'est pas nécessairement activée par cette entité. En effet, l'activation peut entraîner une modification de certaines valeurs de paramètres dans les messages envoyés par l'entité en question (ex : trame PROBE RESPONSE envoyée par le point d'accès 20). Une telle modification peut causer des problèmes d'interopérabilité avec des clients n'implémentant pas la solution PMF.

En définitive, et à ce jour, il n'existe pas de solution de défense contre les tentatives de déconnexion qui soit à la fois efficace et simple à implémenter. Ceci est problématique dans la mesure où ce type d'attaque génère des désagréments, en particulier une coupure de service, mais peut également être à l'origine de conséquences plus fâcheuses comme par exemple un vol de données personnelles si une clé Wi-Fi est transmise en clair lors d'un ré-appairage consécutif à une déconnexion malveillante. On comprend en outre que cette problématique est d'autant plus prégnante dans le contexte actuel de l'IoT où chaque objet de la vie courante a vocation à devenir un objet communicant.

Par ailleurs, bien qu'ayant été décrite jusque-là en considérant le seul exemple d'un protocole Wi- Fi, cette problématique peut également être envisagée lors de l'utilisation d'autres protocoles, comme par exemple un protocole propriétaire présentant des lacunes similaires (absence d'authentification des requêtes de déconnexion, implémentation complexe et contraignante d'une solution de sécurisation).

Exposé de l'invention

La présente invention a pour objectif de remédier à tout ou partie des inconvénients de l'art antérieur, notamment ceux exposés ci-avant, en proposant une solution qui permette de fournir 4 une protection efficace et simple à implémenter contre les tentatives de déconnexion malveillantes susceptibles d'affecter un point d'accès et/ou un dispositif client.

On note que les termes « protection efficace » font référence ici à une protection fournie non seulement dans le cas où les requêtes de déconnexion ne sont pas protégées (authentifiées), mais également dans le cas inverse où lesdites requêtes de déconnexion sont a priori protégées, étant donné qu'un risque d'attaque, rendant caduque cette protection, ne peut jamais être complètement exclu.

A cet effet, et selon un premier aspect, l'invention concerne un procédé de défense contre une tentative de déconnexion entre deux entités correspondant à un point d'accès réseau et un dispositif client, ledit procédé comportant, après l'établissement d'une connexion initiale entre lesdites deux entités pour échanger des données sur un canal de communication conformément à un protocole de communication déterminé, un ensemble d'étapes mises en œuvre par une ou bien chacune desdites deux entités, ledit ensemble d'étapes comprenant :

- une réception d'un ensemble de requêtes de déconnexion,

- une évaluation d'au moins un critère défini à partir d'une métrique basée sur ledit ensemble de requêtes ou bien sur au moins une autre requête de déconnexion reçue après la réception dudit ensemble de requêtes, de sorte à permettre la détection d'une tentative de déconnexion malveillante.

Ledit procédé comporte en outre, si au moins un critère est satisfait pour au moins une desdites deux entités, une étape d'exécution, par au moins une desdites deux entités, d'un processus de protection contre ladite tentative de déconnexion malveillante, de sorte à maintenir une connexion entre lesdites deux entités.

Ainsi, dans son principe général, le procédé de défense selon l'invention comporte, dans un premier temps, une phase d'analyse (évaluation d'au moins un critère) exécutée par au moins une desdites deux entités (dispositif client, point d'accès) recevant une ou plusieurs requêtes de déconnexion. De cette manière, si des requêtes de déconnexion sont reçues en provenance d'une entité tierce menant une attaque (tentative de déconnexion malveillante), la phase d'analyse permet de détecter le caractère illégitime desdites requêtes, et donc in fine l'attaque menée par l'attaquant. Bien entendu, à l'inverse, si une phase d'analyse réalisée par une entité ne conclut pas à la détection d'une tentative de déconnexion malveillante, alors la connexion entre les deux entités est rompue de manière légitime.

Par ailleurs, dans le cas où au moins une des deux entités a été en mesure de détecter une attaque, le procédé de défense selon l'invention comporte une autre phase correspondant à la mise en œuvre d'un processus de protection contre ladite attaque. Ledit processus de protection vise à permettre le maintien d'une connexion entre le dispositif client et le point d'accès, de sorte 5 que ces derniers puissent continuer à communiquer entre eux, même éventuellement de manière dégradée.

Par « dégradée », on fait référence ici par exemple à une communication réalisée en retard, ce retard provenant du temps qu'il a été nécessaire d'allouer pour détecter une tentative de déconnexion malveillante.

En outre par « maintien d'une connexion entre le dispositif client et le point d'accès », on fait référence soit au maintien de la connexion initiale, soit au maintien d'une connexion réalisée ultérieurement à ladite connexion initiale, suite par exemple à une déconnexion volontaire d'au moins une desdites deux entités. Une telle déconnexion volontaire est par exemple déclenchée suite à l'activation, par au moins une desdites deux entités, d'un mode moniteur, comme cela est décrit plus en détail ci-après en référence à des modes particuliers de mise en œuvre de l'invention.

En d'autres termes, le fait d'exécuter un processus de protection après qu'une attaque ait été détectée peut être vu comme la mise en œuvre d'un plan de secours permettant de contourner ladite attaque.

Une telle mise en œuvre (première phase pour détecter une attaque, puis deuxième phase pour protéger contre cette attaque) est particulièrement avantageuse en ce qu'elle peut être implémentée de manière plus simple que les solutions de l'art antérieur. En effet, le procédé de défense selon l'invention peut être mis en œuvre au niveau applicatif (i.e. dans un processeur exécutant des étapes du procédé de défense et équipant une entité). Autrement dit, il n'est pas nécessaire de modifier le firmware de la ou les cartes de communication (comme par exemple des cartes Wi-Fi) équipant le dispositif client et/ou le point d'accès. En conséquence, la solution proposée par l'invention offre la possibilité de déployer facilement une protection efficace contre des tentatives de déconnexion malveillantes.

On comprend également que la facilité d'implémentation logicielle de la solution proposée par l'invention a également un impact positif en termes de coût en comparaison avec les solutions de l'art antérieur.

Dans des modes particuliers de mise en œuvre, le procédé de défense peut comporter en outre l'une ou plusieurs des caractéristiques suivantes, prises isolément ou selon toutes les combinaisons techniquement possibles.

Dans des modes particuliers de mise en œuvre, une métrique correspond au débit de réception des requêtes appartenant à l'ensemble de requêtes reçu par une entité, le critère associé à ladite métrique étant satisfait si ledit débit de réception est supérieur à un seuil donné.

Dans des modes particuliers de mise en œuvre, une métrique correspond au niveau de puissance en réception des requêtes appartenant à l'ensemble de requêtes reçu par une entité, dit « niveau 6 de déconnexion », le critère associé à ladite métrique étant satisfait si l'écart entre ledit niveau de déconnexion et le niveau de puissance en réception de trames de données valides reçues par ladite entité antérieurement à la réception dudit ensemble de requêtes est, en valeur absolue et pendant une durée déterminée, supérieur à un seuil donné.

Dans des modes particuliers de mise en œuvre, ledit procédé comporte en outre, lorsque le débit de réception des requêtes appartenant à l'ensemble de requêtes reçu par une desdites deux entités, dite « première entité », a atteint un premier seuil donné, des étapes mises en œuvre par ladite première entité et comprenant :

- une activation d'un mode moniteur,

- une surveillance du trafic réseau sur ledit canal de communication, de sorte à pouvoir détecter au moins une requête de déconnexion, dite « requête falsifiée », émise par une source usurpant l'identité de ladite première identité et destinée à l'autre desdites deux entités, dite « deuxième entité »,

De plus, dans ces modes particuliers de mises en œuvre, une métrique correspond au nombre ou au débit de requêtes falsifiées détectées par ladite première entité, le critère associé à ladite métrique étant satisfait si ledit nombre ou ledit débit est supérieur à un deuxième seuil donné.

De manière connue en soi, en activant ledit mode moniteur (« monitor » en anglais, d'autres appellations pouvant encore être rencontrées, comme par exemple : Radio Frequency Monitoring, RF Monitor, rfmon, RFMON, Air Monitor, Network Monitor, NetMon, ou encore surveillance RF), une entité équipée d'une carte réseau idoine (par exemple une carte réseau Wi-Fi) est en mesure d'écouter (« to sniff » en anglais) le trafic Wi-Fi sur le canal de son choix, y compris celui du réseau de communication auquel elle était attachée avant l'activation dudit mode moniteur.

Dans des modes particuliers de mise en œuvre, une métrique correspond au nombre de requêtes falsifiées détectées par ladite première entité, le critère associé à ladite métrique étant satisfait si ledit nombre est supérieur ou égal à 1.

Dans des modes particuliers de mise en œuvre, ledit procédé comporte en outre, lorsque le débit de réception des requêtes appartenant à l'ensemble de requêtes reçu par une desdites deux entités, dite « première entité », a atteint un premier seuil donné, des étapes mises en œuvre par ladite première entité et comprenant :

- une activation d'un mode moniteur,

- une surveillance du trafic réseau sur ledit canal de communication, de sorte à pouvoir détecter au moins un paquet de données valide émis par l'autre desdites deux entités, dite « deuxième entité », et destiné à ladite première entité,

De plus, dans ces modes particuliers de mises en œuvre, une métrique correspond au débit de paquets de données valides détectés par ladite première entité, le critère associé à ladite métrique étant satisfait si ledit débit est supérieur à un deuxième seuil donné. 7

Dans des modes particuliers de mise en œuvre, un processus de protection exécuté par une entité comporte une modification d'au moins un paramètre de communication utilisé par l'une desdites deux entités pour transmettre des données après l'établissement de ladite connexion initiale.

Le fait de modifier au moins un paramètre de communication correspond à une stratégie de défense permettant de contourner l'attaque en cours, plutôt que de chercher à mener une opposition frontale face à cette attaque. En ce sens, une telle stratégie tient plus d'un comportement de « fuite » et/ou de « camouflage » vis-à-vis de l'attaque en cours, que d'un comportement de contre-attaque. En conséquence, il ne s'agit pas ici d'essayer d'identifier l'attaquant, mais plutôt de lui échapper, tout en essayant de maintenir une connexion.

Dans des modes particuliers de mise en œuvre, un processus de protection est exécuté par le dispositif client, un paramètre modifié correspondant à un identifiant unique dudit dispositif client.

Dans des modes particuliers de mise en œuvre, un processus de protection est exécuté par le point d'accès, au moins un paramètre modifié correspondant :

- à un identifiant unique dudit point d'accès, et/ou

- au canal de communication associé à ladite connexion initiale, et/ou

- à un identifiant du réseau de communication, et/ou

- à une donnée temporelle contenue dans des trames émises par ledit point d'accès, et/ou

- à une puissance émettrice dudit point d'accès, et/ou

- à une fréquence de saut.

On note que le fait de modifier, côte point d'accès, un identifiant unique (comme par exemple une adresse matérielle) et/ou le canal de communication correspond à une mise en œuvre préférée dans la mesure où cela permet d'accroitre la sécurité de la connexion existante (ou d'une future connexion le cas échéant) entre le point d'accès et le dispositif client. Ces avantages sont encore renforcés lorsqu'un identifiant unique du dispositif client est également modifié.

Dans des modes particuliers de mise en œuvre, chacune desdites deux entités exécute un processus de protection comportant une inversion de rôle, de sorte que le point d'accès soit configuré en tant que dispositif client, et que le dispositif client soit configuré en tant que point d'accès.

Dans des modes particuliers de mise en œuvre :

- si au moins un critère est satisfait pour une entité uniquement, un processus de protection est exécuté par ladite entité et consiste à ignorer la ou les requêtes de déconnexion reçues, ou

- si au moins un critère est satisfait pour chacune desdites deux entités, un processus de protection est exécuté par chacune desdites deux entités et consiste à ignorer la ou les requêtes de déconnexion reçues.

Dans des modes particuliers de mise en œuvre, l'exécution d'un processus de protection est itérée. 8

Ces itérations peuvent par exemple être effectuées de manière périodique au sein d'une même session de communication. Le fait d'itérer un processus de protection (par exemple en modifiant de manière régulière au moins un paramètre de communication et/ou en réalisant de manière régulière une inversion de rôle) permet de consolider la défense pouvant être mise en œuvre, et in fine améliorer la sécurité de la connexion entre le dispositif client et le point d'accès.

Dans des modes particuliers de mise en œuvre :

- un processus de protection exécuté par une entité est mémorisé par ladite entité préalablement à la mise en œuvre dudit procédé de défense, et/ou

- pour une desdites deux entités, dite « deuxième entité », exécutant un processus de protection, ledit procédé de défense comporte une étape de transmission d'un message de l'autre desdites deux entités, dite « première entité », vers ladite deuxième entité, ledit message comportant ledit processus de protection, ladite transmission étant mise en œuvre suite à l'établissement de la connexion initiale et de manière chiffrée.

Dans des modes particuliers de mise en œuvre, le protocole de communication est un protocole Wi-Fi.

Selon un deuxième aspect, l'invention concerne un programme d'ordinateur comportant des instructions pour la mise en œuvre d'étapes de réception, d'évaluation et d'exécution d'un procédé de défense selon l'invention lorsque ledit programme d'ordinateur est exécuté par un ordinateur.

Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable.

Selon un troisième aspect, l'invention concerne un support d'informations ou d'enregistrement lisible par un ordinateur sur lequel est enregistré un programme d'ordinateur selon l'invention.

Le support d'informations ou d'enregistrement peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une disquette (floppy dise) ou un disque dur.

D'autre part, le support d'informations ou d'enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.

Alternativement, le support d'informations ou d'enregistrement peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question. 9

Selon un quatrième aspect, l'invention concerne un point d'accès réseau apte à être connecté à un dispositif client pour échanger des données sur un canal de communication conformément à un protocole de communication déterminé, ledit point d'accès comportant :

- un module de réception configuré pour recevoir, après qu'une connexion ait été établie entre ledit point d'accès et le dispositif client, un ensemble de requêtes de déconnexion,

- un module d'évaluation configuré pour évaluer au moins un critère défini à partir d'une métrique basée sur ledit ensemble de requêtes ou bien sur au moins une autre requête de déconnexion reçue après la réception dudit ensemble de requêtes, de sorte à permettre la détection d'une tentative de déconnexion malveillante.

Selon un cinquième aspect, l'invention concerne un dispositif client apte à être connecté à un point d'accès réseau pour échanger des données sur un canal de communication conformément à un protocole de communication déterminé, ledit dispositif client comportant :

- un module de réception configuré pour recevoir, après qu'une connexion ait été établie entre ledit point d'accès et le dispositif client, un ensemble de requêtes de déconnexion,

- un module d'évaluation configuré pour évaluer au moins un critère défini à partir d'une métrique basée sur ledit ensemble de requêtes ou bien sur au moins une autre requête de déconnexion reçue après la réception dudit ensemble de requêtes, de sorte à permettre la détection d'une tentative de déconnexion malveillante.

Selon un sixième aspect, l'invention concerne un système pour la défense contre une tentative de déconnexion entre deux entités correspondant à un point d'accès réseau et un dispositif client, lesdites entités étant aptes à être connectées entre elles pour échanger des données sur un canal de communication conformément à un protocole de communication déterminé, et dans lequel :

- ledit point d'accès est conforme à l'invention et/ou ledit dispositif client est conforme à l'invention,

- au moins une desdites deux entités comporte un module d'exécution configuré pour exécuter, si au moins un critère est satisfait pour au moins une desdites deux entités, un processus de protection contre ladite tentative de déconnexion malveillante, de sorte à maintenir une connexion entre le point d'accès et le dispositif client.

Brève description des dessins

D'autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures :

- la figure 1 représente schématiquement un procédé de connexion, conforme à l'état de la technique, entre un dispositif client et un point d'accès, ledit procédé de connexion comportant des échanges de messages selon un protocole Wi-Fi ; 10

- la figure 2 représente schématiquement, dans son environnement, un mode particulier de réalisation d'un système de défense selon l'invention ;

- la figure 3 représente schématiquement un exemple d'architecture matérielle d'un dispositif client appartenant au système de défense de la figure 2 ;

- la figure 4 représente schématiquement un exemple d'architecture matérielle d'un point d'accès appartenant au système de défense de la figure 2 ;

- la figure 5 représente, sous forme d'ordinogramme, les principales étapes d'un procédé de défense selon l'invention telles qu'elles sont mises en œuvre par le système de défense de la figure 2 ;

- la figure 6 représente schématiquement un premier mode particulier de mise en œuvre du procédé de la figure 5 ;

- la figure 7 représente schématiquement un deuxième mode particulier de mise en œuvre du procédé de la figure 5 ;

- la figure 8 représente schématiquement un troisième mode particulier de mise en œuvre du procédé de la figure 5 ;

- la figure 9 représente schématiquement un quatrième mode particulier de mise en œuvre du procédé de la figure 5 ;

- la figure 10 représente schématiquement un cinquième mode particulier de mise en œuvre du procédé de la figure 5 ;

Description des modes de réalisation

La figure 2 représente schématiquement, dans son environnement, un mode particulier de réalisation d'un système 100 selon l'invention.

A cet effet, et tel qu'illustré par la figure 2, le système 100 comporte deux entités, à savoir un dispositif client 110 et un point d'accès réseau 120.

Pour la suite de la description, on considère de manière nullement limitative que le dispositif client 10 est un terminal mobile détenu par un utilisateur, comme par exemple un téléphone intelligent ou « smartphone », une tablette numérique, un ordinateur portable, etc. On considère également que le point d'accès 120 est une passerelle réseau permettant de relier un réseau de communication local à usage privé domestique 130 (réseau de type « LAN », acronyme de l'expression anglaise « Local Area Network ») au réseau public internet (réseau de type « WAN », acronyme de l'expression anglaise « Wide Area Network », non représenté sur la figure 2). On note que ledit point d'accès 120 est encore connu sous la dénomination « box Internet ». 11

Il est également considéré pour la suite de la description que les données (messages) échangées entre le dispositif client 110 et le point d'accès 120, via un canal de communication CAN du réseau local 130 déployé par le point d'accès 120, le sont sous forme de paquets encapsulés dans des trames (par exemple des requêtes et des réponses à ces requêtes). Lesdites trames sont conformes à un protocole Wi-Fi répondant à une norme IEEE 802.11 (ISO/CEI 8802-11). Enfin, on considère par ailleurs qu'aucune desdites deux entités 110, 120 n'est configurée de manière logicielle et matérielle pour mettre en œuvre une protection PMF.

Il convient toutefois de noter que le fait de considérer que le dispositif client 110 et le point d'accès 120 correspondent respectivement à un terminal mobile et une box Internet ne constitue qu'un choix d'implémentation de l'invention. D'une manière générale, aucune limitation n'est attachée aux natures respectives dudit dispositif client 110 (terminal fixe par exemple, comme un PC fixe) et dudit point d'accès 120 (serveur dédié par exemple).

On note également que le fait de considérer un point d'accès 120 offrant une connectivité vers des serveurs distants (exemple : réseau public internet, comme évoqué ci-avant) ne constitue d'une variante d'implémentation de l'invention. L'invention n'exclue pas d'envisager d'autres modes dans lesquels le dispositif client 110 se destine uniquement à communiquer avec le point d'accès 120 via le réseau local 130 déployé par ce dernier, i.e. sans chercher à être connecté avec un autre réseau susceptible d'être placé derrière le point d'accès 120 (exemple : un drone joue le rôle de point d'accès Wi-Fi afin qu'un téléphone mobile puisse s'y connecter pour le piloter, toutes les communications demeurant entre ces deux seules entités, le drone n'offrant aucune connectivité avec des serveurs distants).

En outre, rien n'exclut d'envisager un protocole de communication autre qu'un protocole Wi-Fi, comme par exemple un protocole propriétaire. L'invention n'exclut d'ailleurs pas non plus que le protocole de communication repose sur une technologie filaire (fibre optique, câble Ethernet, bus KNX, etc.).

Enfin, il importe également de noter que l'exemple de la figure 2 est donné à titre purement illustratif, et que le nombre de points d'accès ainsi que le nombre de dispositifs clients pouvant appartenir au système 100 ne sont pas des facteurs limitants de l'invention.

De manière conventionnelle, le dispositif client 110 et le point d'accès 120 sont configurés de sorte à pouvoir réaliser des traitements leur permettant d'établir une connexion entre eux, en mettant en œuvre un procédé de connexion tel que celui décrit en référence à la figure 1 (transmission des trames Tl à T6).

A cet effet, le dispositif client 110 comporte par exemple un ou plusieurs processeurs et des moyens de mémorisation (disque dur magnétique, mémoire électronique, disque optique, etc.) dans lesquels sont mémorisés des données et un programme d'ordinateur, sous la forme d'un ensemble d'instructions de code de programme à exécuter pour mettre en œuvre un premier 12 ensemble d'étapes (émission des trames Tl, T3, T5, et réception des trames T2, T4, T6) dudit procédé de connexion.

Alternativement ou en complément, le dispositif client 110 comporte également un ou des circuits logiques programmables, de type FPGA, PLD, etc., et/ou circuits intégrés spécialisés (ASIC), et / ou un ensemble de composants électroniques discrets, etc. adaptés à mettre en œuvre ledit premier ensemble d'étapes du procédé de connexion.

En d'autres termes, le dispositif client 110 comporte un ensemble de moyens configurés de façon logicielle (programme d'ordinateur spécifique) et/ou matérielle (FPGA, PLD, ASIC, etc.) pour mettre en œuvre ledit premier ensemble d'étapes du procédé de connexion.

De manière similaire, le point d'accès 120 comporte par exemple un ou plusieurs processeurs et des moyens de mémorisation (disque dur magnétique, mémoire électronique, disque optique, etc.) dans lesquels sont mémorisés des données et un programme d'ordinateur, sous la forme d'un ensemble d'instructions de code de programme à exécuter pour mettre en œuvre un deuxième ensemble d'étapes (émission des trames T2, T4, T6, et réception des trames Tl, T3, T5) dudit procédé de connexion.

Alternativement ou en complément, le point d'accès 120 comporte également un ou des circuits logiques programmables, de type FPGA, PLD, etc., et/ou circuits intégrés spécialisés (ASIC), et / ou un ensemble de composants électroniques discrets, etc. adaptés à mettre en œuvre ledit deuxième ensemble d'étapes du procédé de connexion.

En d'autres termes, le point d'accès 120 comporte un ensemble de moyens configurés de façon logicielle (programme d'ordinateur spécifique) et/ou matérielle (FPGA, PLD, ASIC, etc.) pour mettre en œuvre ledit deuxième ensemble d'étapes du procédé de connexion.

Conformément à l'invention, le système 100 est en outre configuré pour réaliser des traitements permettant de fournir, une fois le dispositif client 110 et le point d'accès 120 connectés entre eux, une défense contre une attaque consistant en une tentative de déconnexion malveillante, en mettant en œuvre un procédé de défense selon l'invention. Une telle défense vise en particulier à maintenir une connexion entre le dispositif client 110 et le point d'accès 120 de sorte qu'ils puissent continuer à communiquer entre eux.

On note que par « tentative de déconnexion malveillante », il est fait référence, d'une manière générale, à une attaque ciblant le dispositif client 110 et/ou le point d'accès 120. Dit encore autrement, le dispositif client 110 et le point d'accès 120 peuvent recevoir chacun une ou plusieurs requêtes de déconnexion illégitimes (i.e. émises par une entité tierce non authentifiée à l'origine de l'attaque en question).

Pour la suite de la description, on considère de manière nullement limitative que le dispositif client 110 et le point d'accès 120 contribuent tous les deux au procédé de défense, et sont 13 respectivement configurés de manière idoine pour mettre en œuvre des étapes dudit procédé de défense. De cette manière, le dispositif client 110 (respectivement le point d'accès 120) peut réaliser des traitements permettant de maintenir une connexion avec le point d'accès 120 (respectivement avec le dispositif client 110).

Rien n'exclut cependant d'envisager d'autres modes de réalisation dans lesquels seulement une entité parmi le dispositif client 110 et le point d'accès 120 participe aux traitements faisant l'objet du procédé de défense. Dans ce cas, on comprend que l'expression « tentative de déconnexion malveillante » fait plus spécifiquement référence à une attaque ciblant l'entité qui met en œuvre des étapes du procédé de défense.

La figure 3 représente schématiquement un exemple d'architecture matérielle du dispositif client 110 appartenant au système 100 de la figure 2.

Tel qu'illustré par la figure 3, le dispositif client 110 dispose de l'architecture matérielle d'un ordinateur. Ainsi, le dispositif client 110 comporte, notamment, un processeur 1_1, une mémoire vive 2_1, une mémoire morte 3_1 et une mémoire non volatile 4_1. Il comporte en outre un module de communication 5_1.

La mémoire morte 3_1 du dispositif client 110 constitue un support d'enregistrement conforme à l'invention, lisible par le processeur 1_1 et sur lequel est enregistré un programme d'ordinateur PROG_l conforme à l'invention, comportant des instructions pour l'exécution d'étapes du procédé de défense selon l'invention. Le programme PROG_l définit des modules fonctionnels du dispositif client 110, qui s'appuient ou commandent les éléments matériels 1_1 à 5_1 du dispositif client 110 cités précédemment, et qui comprennent notamment :

- un module de réception MOD_RX_l configuré pour recevoir, après qu'une connexion ait été établie entre le point d'accès 120 et le dispositif client 110 (conformément au procédé de connexion mentionné ci-avant), un ensemble de requêtes de déconnexion,

- un module d'évaluation MOD_EVAL_l configuré pour évaluer au moins un critère défini à partir d'une métrique basée sur ledit ensemble de requêtes ou bien sur au moins une autre requête de déconnexion reçue après la réception dudit ensemble de requêtes, de sorte à permettre la détection d'une tentative de déconnexion malveillante,

- un module d'exécution MOD_EXEC_l configuré pour exécuter, si au moins un critère est satisfait pour ledit dispositif client 110, un processus de protection contre ladite tentative de déconnexion malveillante, de sorte à maintenir une connexion entre le point d'accès 120 et le dispositif client 110.

Il est à noter que d'une manière générale, dans la présente description, un « ensemble de requêtes de déconnexion » peut comporter une ou plusieurs requêtes de déconnexion.

Le module de communication 5_1 permet notamment au dispositif client 110 de communiquer avec le point d'accès 120, et intègre dès lors les moyens configurés de manière matérielle et/ou 14 logicielle décrits ci-avant pour mettre en œuvre ledit premier ensemble d'étapes (émission des trames Tl, T3, T5, et réception des trames T2, T4, T6) du procédé de connexion. Le module de communication 5_1 permet également au dispositif client 110 de communiquer avec des entités du réseau local autres que le point d'accès 120, et intègre notamment à cet effet ledit module de réception MOD_RX_l (la ou les requêtes de déconnexion reçues étant susceptibles d'être illégitimes, et donc transmises par une entité tierce).

Le point d'accès 120 dispose d'une architecture matérielle similaire à celle du dispositif client 110.

La figure 4 représente schématiquement un exemple d'architecture matérielle du point d'accès 120 appartenant au système 100 de la figure 2.

Tel qu'illustré par la figure 4, le point d'accès 120 dispose de l'architecture matérielle d'un ordinateur. Ainsi, le point d'accès 120 comporte, notamment, un processeur 1_2, une mémoire vive 2_2, une mémoire morte 3_2 et une mémoire non volatile 4_2. Il comporte en outre un module de communication 5_2.

La mémoire morte 3_2 du point d'accès 120 constitue un support d'enregistrement conforme à l'invention, lisible par le processeur 1_2 et sur lequel est enregistré un programme d'ordinateur PROG_2 conforme à l'invention, comportant des instructions pour l'exécution d'étapes du procédé de défense selon l'invention. Le programme PROG_2 définit des modules fonctionnels du point d'accès 120, qui s'appuient ou commandent les éléments matériels 1_2 à 5_2 du point d'accès 120 cités précédemment, et qui comprennent notamment :

- un module de réception MOD_RX_2 configuré pour recevoir, après qu'une connexion ait été établie entre le point d'accès 120 et le dispositif client 110 (conformément au procédé de connexion mentionné ci-avant), un ensemble de requêtes de déconnexion,

- un module d'évaluation MOD_EVAL_2 configuré pour évaluer au moins un critère défini à partir d'une métrique basée sur ledit ensemble de requêtes ou bien sur au moins une autre requête de déconnexion reçue après la réception dudit ensemble de requêtes, de sorte à permettre la détection d'une tentative de déconnexion malveillante,

- un module d'exécution MOD_EXEC_2 configuré pour exécuter, si au moins un critère est satisfait pour ledit point d'accès 120, un processus de protection contre ladite tentative de déconnexion malveillante, de sorte à maintenir une connexion entre le point d'accès 120 et le dispositif client 110.

Le module de communication 5_2 permet notamment au point d'accès 120 de communiquer avec le dispositif client 110, et intègre dès lors les moyens configurés de manière matérielle et/ou logicielle décrits ci-avant pour mettre en œuvre ledit deuxième ensemble d'étapes (émission des trames T2, T4, T6, et réception des trames Tl, T3, T5) du procédé de connexion. Le module de communication 5_2 permet également au point d'accès 120 de communiquer avec des entités du réseau local autres que le dispositif client 110, et intègre notamment à cet effet ledit module de 15 réception MOD_RX_2 (la ou les requêtes de déconnexion reçues étant susceptibles d'être illégitimes, et donc transmises par une entité tierce).

On va maintenant décrire une mise en œuvre générale du procédé de défense, telle qu'exécutée par le système 100 de la figure 2. Des modes particuliers de mise en œuvre sont décrits ultérieurement. Il est à noter que ledit procédé de défense est mis en œuvre après l'établissement d'une connexion entre le dispositif client 110 et le point d'accès 120. Autrement dit, la mise en œuvre du procédé de connexion précède celle du procédé de défense, et on considère désormais que le dispositif client 110 et le point d'accès 120 sont connectés entre eux via une connexion dite « initiale », de sorte à pouvoir échanger des données sur le canal de communication CAN conformément à un protocole Wi-Fi mentionné ci-avant.

La figure 5 représente, sous forme d'ordinogramme, les principales étapes du procédé de défense selon l'invention telles qu'elles sont mises en œuvre par le système 100 de la figure 2.

Dans son principe général, le procédé de défense comporte, dans un premier temps, une phase d'analyse exécutée par au moins une des deux entités 110, 120 recevant une ou plusieurs requêtes de déconnexion (étant entendu que l'une seule desdites deux entités 110, 120 ou bien lesdites deux entités 110, 120 peuvent recevoir des requêtes de déconnexion). De cette manière, si des requêtes de déconnexion sont reçues en provenance d'une entité tierce menant une attaque (tentative de déconnexion malveillante), et dénommée ci-après « attaquant ATT » (sans pour autant que lesdites requêtes, et donc a fortiori l'attaquant ATT lui-même, ne soient authentifiées), la phase d'analyse exécutée par une entité 110, 120 permet de détecter le caractère illégitime desdites requêtes, et donc in fine l'attaque menée par l'attaquant ATT. On comprend bien entendu que, à l'inverse, si une phase d'analyse réalisée par une entité 110, 120 ne conclut pas à la détection d'une tentative de déconnexion malveillante, alors la connexion entre les deux entités 110, 120 est rompue de manière légitime (le dispositif client 110 pouvant bien sûr se reconnecter ultérieurement au point d'accès 120, sauf dans le cas où il aurait été placé sur une liste d'exclusion par ce dernier).

Par ailleurs, dans le cas où au moins une des deux entités 110, 120 du système 100 a été en mesure de détecter une attaque menée par l'attaquant ATT, le procédé comporte une autre phase exécutée par ladite au moins une entité du système 100 et qui correspond à la mise en œuvre d'un processus de protection contre ladite attaque. Ledit processus de protection vise à permettre le maintien d'une connexion entre le dispositif client 110 et le point d'accès 120, de sorte que ces derniers puissent continuer à communiquer entre eux, même éventuellement de manière dégradée. Par « dégradée », on fait référence ici par exemple à une communication réalisée en retard, ce retard provenant du temps qu'il a été nécessaire d'allouer pour détecter une tentative de déconnexion malveillante. 16

Pour la suite de la description du procédé de défense de la figure 5, on considère de manière nullement limitative qu'un attaquant ATT réalise une tentative de déconnexion malveillante qui vise les deux entités 110, 120 du système 100. A cet effet, l'attaquant ATT transmet au dispositif client 110 (respectivement au point d'accès 120) un ensemble ENS_1 de requêtes de déconnexion (respectivement un ensemble ENS_2 de requêtes de déconnexion).

Dès lors, et tel qu'illustré par la figure 5, le procédé de défense comporte une étape E10 de réception, par le dispositif client 110, de l'ensemble ENS_1. Ladite étape E10 est mise en œuvre par le module de réception MOD_RX_l équipant le dispositif client 110.

Le procédé de défense comporte également une étape E20 de réception, par le point d'accès 120, de l'ensemble ENS_2. Ladite étape E20 est mise en œuvre par le module de réception MOD_RX_2 équipant le point d'accès 120.

On note que dans le procédé de défense de la figure 5, les étapes E10 et E20 sont mises en œuvre en parallèle, ce qui est dû au fait que les ensembles ENS_1 et ENS_2 sont supposés émis simultanément par l'attaquant ATT. Il convient toutefois de noter que rien n'exclut d'envisager des réceptions asynchrones desdites ensembles ENS_1 et ENS_2 (par exemple des réceptions consécutives) dans l'hypothèse où l'attaquant ATT n'émet pas lesdits ensembles ENS_1 et ENS_2 de manière simultanée.

Le procédé de défense comporte également une étape E30 d'évaluation, par le dispositif client 110, d'au moins un critère CRIT1 J (i étant un indice entier supérieur ou égal à 1) défini à partir d'une métrique MET1 J basée sur ledit ensemble ENS_1 de requêtes ou bien sur au moins une autre requête de déconnexion reçue après la réception dudit ensemble ENS_1 de requêtes, de sorte à permettre la détection d'une tentative de déconnexion malveillante. Ladite étape E30 est mise en œuvre par le module d'évaluation MOD_EVAL_l équipant le dispositif client 110.

De manière similaire à l'étape E30, le procédé de défense comporte également une étape E40 d'évaluation, par le point d'accès 120, d'au moins un critère CRIT2J (j étant un indice entier supérieur ou égale à 1) défini à partir d'une métrique MET2J basée sur ledit ensemble ENS_2 de requêtes ou bien sur au moins une autre requête de déconnexion reçue après la réception dudit ensemble ENS_2 de requêtes, de sorte à permettre la détection d'une tentative de déconnexion malveillante. Ladite étape E40 est mise en œuvre par le module d'évaluation MOD_EVAL_2 équipant le point d'accès 120.

Il est à noter que, dans le cadre de la présente invention, le nombre de métriques pouvant être envisagé, aussi bien dans l'étape E30 que dans l'étape E40, est supérieur ou égal à 1. On comprend dès lors que deux critères respectivement associés à deux métriques distinctes diffèrent nécessairement l'un de l'autre. 17

Il peut également être noté que l'invention n'exclut pas le fait d'envisager des critères s'appuyant sur la même métrique, mais néanmoins distincts entre eux (valeurs de seuil distinctes). En outre, la ou les métriques utilisées pour la mise en œuvre de l'étape E30 peuvent être en tout ou partie distinctes de la ou les métriques utilisées pour la mise en œuvre de l'étape E40.

Pour la description du procédé de défense de la figure 5, on suppose que, une fois lesdites étapes E30 et E40 exécutées, au moins un critère CRIT1J est satisfait pour le dispositif client 110, mais aussi qu'au moins un critère CRIT2J est satisfait pour le point d'accès 120.

Dès, et tel qu'illustré par la figure 5, le procédé de défense comporte une étape E50 d'exécution, par le dispositif client 110, d'un processus de protection contre la tentative de déconnexion malveillante qui le vise ainsi que le point d'accès 120, de sorte à maintenir une connexion entre lesdites deux entités 110, 120. Ladite étape E50 est mise en œuvre par le module d'exécution MOD_EXEX_l équipant le dispositif client 110.

De manière similaire à l'étape E50, le procédé de défense comporte une étape E60 d'exécution, par le point d'accès 120, d'un processus de protection contre la tentative de déconnexion qui le vise ainsi que le dispositif client 110, là aussi dans l'objectif de maintenir une connexion entre lesdites deux entités 110, 120. Ladite étape E60 est mise en œuvre par le module d'exécution MOD_EXEX_2 équipant le point d'accès 120.

Il importe de noter que les processus de protection respectivement exécutés par le dispositif client 110 et le point d'accès 120 peuvent différer l'un de l'autre. Ces aspects sont décrits plus en détails ultérieurement.

Des modes particuliers de mise en œuvre du procédé de défense de la figure 5 sont maintenant décrits. Plus particulièrement, et dans un premier temps, il est décrit des modes particuliers de mise en œuvre dans lesquels des métriques distinctes sont utilisées lors de l'exécution des étapes E30 et E40 (figures 6, 7, 8 et 9).

Comme mentionné ci-avant, la ou les métriques utilisées pour la mise en œuvre de l'étape E30 peuvent être en tout ou partie distinctes de la ou les métriques utilisées pour la mise en œuvre de l'étape E40. En tout état de cause, une métrique applicable à l'une des deux entités 110, 120 du système 100 peut également être appliquée, suivant des dispositions techniques tout à fait similaires, à l'autre desdites deux entités 110, 120. Pour cette raison, et de sorte à simplifier la description, les modes particuliers décrits ci-après, pour détailler des exemples de métriques, concernent uniquement l'étape E30, étant entendu que ces modes peuvent être envisagés de manière équivalente (i.e. en inversant les rôles respectifs du dispositif client 110 et du point d'accès 120) en ce qui concerne l'étape E40.

La figure 6 représente schématiquement un premier mode particulier de mise en œuvre du procédé de la figure 5. 18

Dans ledit premier mode, l'étape E30 est exécutée en utilisant une métrique MET1_1 correspondant au débit de réception DEB_RX des requêtes appartenant à l'ensemble ENS_1 de requêtes reçu par le dispositif client 110. Le critère CRIT1_1 associé à ladite métrique MET1_1 est quant à lui satisfait si ledit débit de réception DEB_RX est supérieur à un seuil donné Sl_l.

A titre d'exemple nullement limitatif, et tel qu'illustré par la figure 6, des requêtes de déconnexion REQ_DECl_k (k étant un indice entier), formant ledit ensemble ENS_1, sont reçues de manière continue (i.e. au fil de l'eau) par le dispositif client 110, après un échange de données avec le point d'accès 120 (cet échange de données est symbolisé par des flèches portant les références DATAI et DATA2).

Chaque requête de déconnexion REQ_DECl_k a :

- pour adresse source MAC_SRC (i.e. de provenance de ladite requête REQ_DECl_k), une adresse correspondant à un identifiant unique du point d'accès 120, à savoir dans cet exemple l'adresse matérielle MAC_2 (« MAC » étant l'acronyme de l'expression anglaise « Media Access Control ») dudit point d'accès 120,

- pour adresse destination MAC_DST, une adresse correspondant à un identifiant unique du dispositif client 110, à savoir dans cet exemple l'adresse matérielle MAC_1 dudit dispositif client 110.

Il importe de noter que les requêtes de déconnexion REQ_DECl_k ont pour origine réelle l'attaquant ATT, et qu'il s'agit donc bien de requêtes illégitimes puisqu'elles usurpent l'identité du point d'accès 120.

Dans l'exemple de la figure 6, le débit de réception DEB_RX desdites requêtes de déconnexion est égal à douze requêtes par seconde, alors même que le seuil Sl_l associé au critère CRIT1_1 est fixé à dix requêtes de déconnexion par seconde.

Aussi, au bout d'une seconde de réception de requêtes de déconnexion, douze requêtes de déconnexion REQ_DEC1_1,..., REQ_DEC1_12 sont reçues par le dispositif client 110. En conséquence, le seuil Sl_l est dépassé, et le critère CRIT1_1 est donc satisfait, de sorte qu'une tentative de déconnexion malveillante est détectée (en l'espèce, le dispositif client 110 détecte qu'il est attaqué).

Bien entendu, le fait de considérer un seuil Sl_l égal à dix requêtes de déconnexion par seconde ne constitue qu'un exemple d'implémentation dudit premier mode de mise en œuvre. D'une manière générale, aucune limitation n'est attachée à la valeur dudit seuil Sl_l.

La figure 7 représente schématiquement un deuxième mode particulier de mise en œuvre du procédé de la figure 5.

On note que les éléments similaires entre les figures 6 et 7 reprennent le même formalisme de notation. 19

Dans ledit deuxième mode, l'étape E30 est exécutée en utilisant une métrique MET1_2 correspondant au niveau de puissance en réception des requêtes appartenant à l'ensemble ENS_1 de requêtes reçu par le dispositif client 110, dit « niveau de déconnexion ». Dans l'exemple de la figure 7, ledit niveau de déconnexion correspond à un niveau de type « RSSI » (acronyme de l'expression anglaise « Received Signal Strength Indication »), noté ci-après RSSI_DEC.

Le critère CRIT1_2 associé à ladite métrique MET1_2 est quant à lui satisfait si l'écart entre ledit niveau de déconnexion RSSI et le niveau de puissance en réception RSSI_RX de trames de données valides (données « DATA2 » dans la figure 7) reçues par ledit dispositif client 110 antérieurement à la réception dudit ensemble ENS_1 est, en valeur absolue et pendant une durée déterminée, supérieur à un seuil donné Sl_2.

Dans l'exemple de la figure 7, le niveau de déconnexion RSSI_DEC est égal à -50 dBm pendant une durée de 1 seconde (trois requêtes REQ_DEC1_1, REQ_DEC1_2 et REQ_DEC1_3 sont reçues par le dispositif client 110 pendant 1 seconde, et chacune de ces requêtes est associé à un niveau de déconnexion RSSI_DEC est égal à -50 dBm). En comparaison, le niveau de puissance en réception RSSI_RX antérieur à la réception desdites requêtes de déconnexion est égal à -80 dBm. L'écart entre les niveaux RSSI_DEC et RSSI_RX, en valeur absolue et pendant 1 seconde, est donc égal à 30, alors même que le seuil Sl_2 associé au critère CRIT1_2 est fixé à 10 dBm par seconde.

En conséquence, le seuil Sl_2 est dépassé, et le critère CRIT1_2 est donc satisfait, de sorte qu'une tentative de déconnexion malveillante est détectée (en l'espèce, le dispositif client 110 détecte qu'il est attaqué).

Bien entendu, le fait de considérer un seuil Sl_2 égal à 10 dBm par seconde ne constitue qu'un exemple d'implémentation dudit deuxième mode de mise en œuvre. D'une manière générale, aucune limitation n'est attachée à la valeur dudit seuil Sl_2.

La figure 8 représente schématiquement un troisième mode particulier de mise en œuvre du procédé de la figure 5.

On note que les éléments similaires entre les figures 6 et 8 reprennent le même formalisme de notation.

Dans ledit troisième mode, le procédé de défense comporte en outre, lorsque le débit de réception DEB_RX des requêtes appartenant à l'ensemble ENS_1 de requêtes reçu par le dispositif client 110 a atteint un premier seuil donné Sl_3 (ledit débit de réception DEB_RX est ici évalué pendant l'étape E10 de réception), des étapes mises en œuvre par ledit dispositif client 110 et comprenant : - une activation (étape Eli) d'un mode moniteur (« monitor » en anglais). Une fois configuré dans ledit mode moniteur, le dispositif client 110 est en mesure d'écouter (« to sniff » en anglais) le trafic du réseau local 130. On note que le fait d'activer ledit mode moniteur, de la part du dispositif client 110, entraîne de facto la déconnexion (volontaire) du dispositif client 110, le point d'accès 20

120 étant informé de cette déconnexion (bien entendu, si le dispositif client 110 est équipé de plusieurs cartes réseau Wi-Fi, le passage en mode moniteur fait référence à la déconnexion de la carte Wi-Fi jusqu'alors utilisée pour permettre à ce dernier de communiquer avec le point d'accès 120, suite à la connexion initiale). Tous les aspects techniques liés à l'activation d'un tel mode moniteur, ainsi qu'aux capacités du dispositif client 110 une fois configuré dans ce mode moniteur, sont bien connus de l'homme du métier et ne sont donc pas décrits plus en détail ici,

- une surveillance (étape E12) du trafic réseau sur ledit canal de communication CAN, de sorte à pouvoir détecter au moins une requête de déconnexion, dite « requête falsifiée », émise par une source usurpant l'identité du dispositif client 110 et destinée au point d'accès 120.

En outre, dans ledit troisième mode, l'étape E30 est exécutée en utilisant une métrique MET1_3 correspondant au nombre N_FAL de requêtes falsifiées détectées par le dispositif client 110 (il s'agit de requêtes usurpant l'identité du dispositif client 110, destinées au point d'accès 120 et détectées après le passage en mode moniteur). Le critère CRIT1_3 associé à ladite métrique MET1_3 est quant à lui satisfait si ledit nombre N_FAL est supérieur à un deuxième seuil donné Sl_4.

Dans l'exemple de la figure 8, le premier seuil Sl_3 est égal à deux requêtes de déconnexion par seconde. Aussi, et comme illustré en figure 8, trois requêtes REQ_DEC1_1, REQ_DEC1_2 et REQ_DEC1_3 sont reçues par le dispositif client 110 pendant 1 seconde (DEB_RX = 3), de sorte que, sur réception de ladite troisième requête REQ_DEC1_3, le dispositif client 110 passe en mode moniteur et surveille le trafic réseau. Lors de cette surveillance, il détecte une requête de déconnexion REQ_DEC2_1 destinée au point d'accès 120 et usurpant l'identité dudit dispositif client 110 (N_FALS = 1), alors même que le seuil Sl_4 associé au critère CRIT1_3 est fixé à 0.

En conséquence, le seuil Sl_3 est dépassé, et le critère CRIT1_3 est donc satisfait, de sorte qu'une tentative de déconnexion malveillante est détectée (en l'espèce, le dispositif client 110 détecte que le point d'accès 120 est attaqué).

Bien entendu, le fait de considérer un premier seuil Sl_3 (respectivement un deuxième seuil Sl_4) égal à deux requêtes de déconnexion par seconde (respectivement égal à 0) ne constitue qu'un exemple d'implémentation dudit troisième mode de mise en œuvre. D'une manière générale, aucune limitation n'est attachée à la valeur dudit premier seuil Sl_3 (respectivement à la valeur dudit deuxième seuil Sl_4)·

Par ailleurs, la mise en œuvre dudit troisième mode n'est pas non plus limitée par le fait de considérer une métrique correspondant au nombre de requêtes falsifiées détectées par le dispositif client 110. Rien n'exclut en effet de considérer une autre métrique, comme par exemple une métrique correspondant au débit de réception de requêtes falsifiées détectées par le dispositif client 110, le seuil pris en compte pour le critère associé à cette autre métrique étant par exemple égal à dix requêtes falsifiées détectées en 1 seconde. 21

On note également que dans la mesure où le dispositif client 110 est ici déconnecté du point d'accès 120 (en raison du passage en mode moniteur), il convient d'envisager une reconnexion audit point d'accès 120 pour ledit dispositif client 110 étant donné qu'un objectif du procédé de défense est de maintenir une connexion entre ces deux entités. Une telle reconnexion peut être envisagée au cours de l'exécution du processus de protection (étape E50) si ce dernier consiste par exemple à ignorer les requêtes de déconnexion reçues, ou bien encore à l'issue dudit processus de protection si ce dernier consiste par exemple en une modification d'au moins un paramètre de communication utilisé par l'une desdites deux entités 110, 120 pour transmettre des données après l'établissement de la connexion initiale. De tels exemples de processus de protection sont décrits plus en détails ultérieurement. En tout état de cause, le mécanisme de reconnexion en tant que tel est connu de l'homme de l'art (attente de réception d'une trame balise, dite « beacon frame » en anglais, procédure de « poignée de main en 4 étapes », etc.).

La figure 9 représente schématiquement un quatrième mode particulier de mise en œuvre du procédé de la figure 5.

On note que les éléments similaires entre les figures 6 et 9 reprennent le même formalisme de notation.

Dans ledit quatrième mode, le procédé de défense comporte en outre, lorsque le débit de réception DEB_RX des requêtes appartenant à l'ensemble ENS_1 de requêtes reçu par le dispositif client 110 a atteint un premier seuil donné Sl_5 (ledit débit de réception DEB_RX est ici évalué pendant l'étape E10 de réception), des étapes mises en œuvre par ledit dispositif client 110 et comprenant :

- une activation (étape Eli) d'un mode moniteur,

- une surveillance (étape E12) du trafic réseau sur ledit canal de communication CAN, de sorte à pouvoir détecter au moins un paquet de données valide émis par le point d'accès 120, et destiné au dispositif client 110.

En outre, dans ledit quatrième mode, l'étape E30 est exécutée en utilisant une métrique MET1_4 correspondant au débit DEB_VAL de paquets de données valides détectés par le dispositif client 110. Le critère CRIT1_4 associé à ladite métrique MET1_4 est quant à lui satisfait si ledit débit DEB_VAL est supérieur à un deuxième seuil donné Sl_6.

Dans l'exemple de la figure 9, le premier seuil Sl_5 est égal à deux requêtes de déconnexion par seconde. Aussi, et comme illustré en figure 9, trois requêtes REQ_DEC1_1, REQ_DEC1_2 et REQ_DEC1_3 sont reçues par le dispositif client 110 pendant 1 seconde (DEB_RX = 3), de sorte que, sur réception de ladite troisième requête REQ_DEC1_3, le dispositif client 110 passe en mode moniteur et surveille le trafic réseau. Lors de cette surveillance, le dispositif client 110 détecte que le point d'accès 120 lui adresse cinq paquets de données valides PI, P2, P3 P4, P5 en une seconde 22

(DEB_VAL = 5), alors même que le seuil Sl_6 associé au critère CRIT1_4 est fixé à trois paquets de données valides par seconde.

En conséquence, le seuil Sl_6 est dépassé, et le critère CRI1_4 est donc satisfait, de sorte qu'une tentative de déconnexion malveillante est détectée.

Bien entendu, le fait de considérer un premier seuil Sl_5 (respectivement un deuxième seuil Sl_6) égal à deux requêtes de déconnexion par seconde (respectivement égal à trois paquets valides) ne constitue qu'un exemple d'implémentation dudit quatrième mode de mise en œuvre. D'une manière générale, aucune limitation n'est attachée à la valeur dudit premier seuil Sl_5 (respectivement à la valeur dudit deuxième seuil Sl_6).

On note par ailleurs qu'un tel quatrième mode de mise en œuvre trouve une application préférentielle (mais non exclusive) lorsque le dispositif client 110 est équipé d'une pluralité de cartes réseau (en l'espèce, il s'agit ici de cartes Wi-Fi, comme par exemple dans le cas d'un répéteur Wi-Fi), étant entendu que l'activation du mode moniteur s'effectue en déconnectant la carte Wi-Fi jusqu'alors utilisée pour permettre à ce dernier de communiquer avec le point d'accès 120, suite à la connexion initiale.

Lesdits premier, deuxième, troisième et quatrième modes de mise en œuvre ont été décrits de manière séparée et en supposant que la détection d'une tentative de déconnexion malveillante est effectuée par le dispositif client 110 (cette tentative pouvant viser le dispositif client 110 lui-même ou bien encore le point d'accès 120).

Cela étant, et comme déjà évoqué auparavant, ces modes s'appliquent tout autant (par inversion des rôles) au point d'accès 120, afin que ce dernier soit en mesure de détecter une tentative de déconnexion malveillante (cette tentative pouvant viser le point d'accès 120 lui-même ou bien encore le dispositif client 110).

En outre, quelle que soit l'entité 110, 120 du système 100 considérée, tout ou partie desdits premier, deuxième, troisième et quatrième modes de mise en œuvre peuvent être exécutés selon toutes combinaisons techniquement envisageables. Ainsi, si N modes (N compris entre 1 et 4) parmi lesdits premier, deuxième, troisième et quatrième modes sont combinés entre eux pour une entité 110, 120, une attaque peut être détectée par ladite entité 110, 120 si M critères (M compris entre 1 et N) sont satisfaits.

On va décrire maintenant encore d'autres modes particuliers de mise en œuvre du procédé de défense de la figure 5. Plus particulièrement, il est décrit des modes particuliers de mise en œuvre des étapes E50 et E60 permettant l'exécution, par chacune des entités 110, 120 du système 100, d'un processus de protection contre l'attaque menée par l'attaquant ATT.

Il convient de noter que les modes qui sont dorénavant décrits en lien avec les étapes E50 et E60 sont combinables (selon toutes combinaisons techniquement envisageables) avec tous les modes 23 précédemment décrits en référence aux figures 6, 7, 8 et 9 (premier, deuxième, troisième et quatrième modes).

La figure 10 représente schématiquement un cinquième mode particulier de mise en œuvre du procédé de la figure 5.

On note que les éléments similaires entre la figure 10 et l'une quelconque des figures 6, 7, 8 et 9 reprennent le même formalisme de notation.

Dans ledit cinquième mode de mise en œuvre, on observe tout d'abord que, suite à la mise en œuvre de la procédure de connexion (trames Tl à T6), de sorte à établir la connexion initiale, ainsi que de la mise en œuvre de la procédure de « poignée de main en 4 étapes » (« 4-way handshake » en anglais), le point d'accès 120 transmet au dispositif client 110 un message MESS_DEF (étape E00 du procédé de défense dans ledit cinquième mode de mise en œuvre).

Ledit message MESS_DEF est préférentiellement transmis de manière chiffrée et comporte les processus de protection que chacune des entités 110, 120 est destinée à appliquer au cas où une tentative de déconnexion malveillante visant au moins l'une desdites deux entités 110, 120 est détectée.

Dans ledit cinquième mode de mise en œuvre, le message MESS_DEF permet au point d'accès 120 d'informer le dispositif client 110 que, en cas de détection d'attaque, chaque entité 110, 120 doit modifier un paramètre de communication utilisé par ladite entité 110, 120 pour transmettre des données après l'établissement de la connexion initiale. Plus particulièrement, le point d'accès 120 modifie ici son adresse matérielle MAC_2 en MAC_4 et le dispositif client 110 doit modifier son adresse matérielle MAC_1 en MAC_3. Autrement dit, chacune des deux entités 110, 120 du système 100 modifie son adresse matérielle.

Il est à noter que le message MESS_DEF, et donc a fortiori les processus de protection qu'il contient, ont ici été mémorisés par ledit point d'accès 120 préalablement à la mise en œuvre du procédé de défense. Cette mémorisation est par exemple effectuée dans la mémoire non volatile 4_2 du point d'accès 120, lors de la conception et la fabrication de ce dernier.

En alternative, ledit message MESS_DEF transmis par le point d'accès 120 au dispositif client 110 peut correspondre à un message normalisé inscrit dans le standard sur lequel se base le protocole de communication utilisé par lesdites deux entités 110, 120. Dans ce cas, seul le dispositif client 110 mémorise le processus de protection qui lui est transmis lors de la mise en œuvre du procédé de défense, étant donné que c'est le point d'accès 120 qui est à l'origine de cette transmission standardisée.

Dans ledit cinquième mode de mise en œuvre, chacune des deux entités 110, 120 est visée par une tentative de déconnexion détectée suivant une mise en œuvre conforme audit troisième mode (figure 8) et dans laquelle la métrique prise en compte est le nombre de requêtes falsifiées 24 détectées par chacune des deux entités 110, 120. Il est considéré en outre qu'un critère commun auxdites deux entités 110, 120 est associé à ladite métrique, ce critère étant satisfait si ledit nombre de requêtes falsifiées détectées est supérieur ou égal à 1.

Aussi, et comme illustré par la figure 10 :

- le dispositif client 110 met en œuvre des étapes de réception E10, d'activation d'un mode moniteur Eli et de surveillance E12,

- le point d'accès 120 met en œuvre des étapes de réception E20, d'activation d'un mode moniteur E21 (similaire à l'étape Eli) et de surveillance E22 (similaire à l'étape E12).

De plus, chaque entité 110, 120 détecte une requête falsifiée :

- le dispositif client 110 détecte une requête REC_DEC1 usurpant l'identité dudit dispositif client 110 et adressée au point d'accès 120,

- le point d'accès 120 détecte une requête REC_DEC2 usurpant l'identité dudit point d'accès 120 et adressée au dispositif client 110.

En conséquence, chaque entité 110, 120 détecte une attaque et exécute donc le processus de protection qui lui est associé, c'est-à-dire un changement d'adresse matérielle.

En définitive, et comme illustré par la figure 10, une nouvelle procédure de connexion est mise en œuvre suite à l'exécution desdits processus de protection, cette nouvelle procédure de connexion s'appuyant sur les nouvelles adresses matérielles désormais utilisées (on rappelle que pour détecter des requêtes falsifiées, chaque entité 110, 120 passe ici en mode moniteur et par conséquent se déconnecte de l'autre entité 110, 120). Une connexion est donc maintenue entre le dispositif client 110 et le point d'accès 120, étant entendu qu'il s'agit là d'une connexion ultérieure à ladite connexion initiale.

Le cinquième mode de mise en œuvre de la figure 10 a été décrit en considérant que le paramètre de communication modifié par le point d'accès 120, lorsqu'il exécute le processus de protection qui lui est dédié, correspond à son adresse matérielle initiale MAC_2 (modification de MAC_2 en MAC_4)· Le procédé de défense n'est toutefois pas limité à une telle modification. A titre d'exemple nullement limitatif, un paramètre de communication modifié par le point d'accès 120 peut correspondre à l'un quelconque des paramètres de communication parmi :

- un identifiant unique dudit point d'accès 120, comme par exemple l'adresse matérielle MAC_2 de ce dernier, un identifiant de type BSSID (« Basic Service Set Identifier » en anglais), un identifiant de type ESSID (« Extended Service Set Identifier » en anglais), etc. ; et/ou

- le canal de communication CAN associé à ladite connexion initiale. Par exemple, dans le cas d'un réseau local Wi-Fi exploitant la bande fréquentielle 2,4 GHz, il existe treize canaux exploitables, le canal CAN faisant partie desdits treize canaux ; et/ou

- un identifiant du réseau de communication, comme par exemple un identifiant de type « SSID » (acronyme de l'expression anglaise « Service Set Identifier ») ; et/ou 25

- une donnée temporelle contenue dans des trames émises par ledit point d'accès 120, comme par exemple une indication de disponibilité (« uptime » en anglais ») contenue dans un en-tête se référant à un horodatage de type BSS (« BSS timestamp » en anglais, où « BSS » correspond à l'acronyme de l'expression anglaise « Basic Service Cet ») ; et/ou

- une puissance émettrice dudit point d'accès 120, et/ou

- une fréquence de saut de type « FH » (acronyme de l'expression anglaise « Frequency Hopping »).

Rien n'exclut d'envisager, suivant d'autres exemples non détaillés ici, encore d'autres paramètre de communication susceptibles d'être modifiés dans le cadre du processus de protection exécuté par le point d'accès 120 (numéro de série ou « serial number » en anglais, nom de modèle ou « model name » en anglais, etc.).

De plus, aucune limitation n'est attachée au nombre de paramètres de communication pouvant être modifiés par le point d'accès 120 lors d'une même exécution du processus de protection, en particulier parmi ceux cités ci-avant. Préférentiellement, un identifiant unique et/ou le canal de communication CAN sont modifiés en priorité, car cela permet d'accroitre la sécurité de la connexion existante (ou d'une future connexion le cas échéant) entre le point d'accès 120 et le dispositif client 110. On note que ces dispositions se combinent en outre au fait que l'adresse matérielle du dispositif client 110 peut également être modifiée dans le cadre de l'exécution du processus de protection dédié audit dispositif client 110.

Le cinquième mode de mise en œuvre de la figure 10 a également été décrit en considérant que l'émetteur du message MESS_DEF est le point d'accès 120. Bien entendu, il est aussi possible d'envisager que ce rôle d'émetteur soit joué par le dispositif client 110.

Il faut aussi noter que la mise en œuvre de deux processus de protection, par respectivement le point d'accès 120 et le dispositif client 110, ne constitue qu'une variante d'implémentation de l'invention. Ainsi, rien n'exclut d'envisager des modes dans lequel une seule desdites deux entités 110, 120 exécute un processus de protection. D'ailleurs, il est possible d'envisager l'exécution d'un processus de protection par une seule des deux entités 110, 120 :

- lorsqu'une tentative de déconnexion malveillante vise les deux entités 110, 120, ou

- lorsqu'une tentative de déconnexion malveillante vise une seule desdites deux entités 110, 120, étant entendu que l'unique entité 110, 120 exécutant un processus de protection peut correspondre ou non à l'unique entité attaquée.

Par exemple, si le dispositif client 110 est le seul attaqué et détecte cette attaque, il peut lui-même exécuter un processus de protection, ce processus de protection ayant été par exemple transmis par le point d'accès 120 via un message similaire au message MESS_DEF mentionné ci-avant. Ces dispositions sont transposables de manière symétrique au cas où le point d'accès 120 est le seul 26 attaqué, détecte cette attaque, et exécute un processus de protection transmis par le dispositif client 110.

En alternative, si le dispositif client 110 est le seul attaqué et détecte cette attaque, un processus de protection peut être exécuté par le point d'accès 120 après que le dispositif client 110 ait averti ledit point d'accès 120, par exemple au moyen d'un message d'alerte idoine. On comprend que, dans cette alternative, l'architecture matérielle du dispositif client 110 diffère de celle décrite ci- avant en référence à la figure 3, et que le dispositif client 110 comporte dès lors un module de réception, un module d'évaluation et aucun module d'exécution (ou bien un module d'exécution qui reste ici inactif). Par contre, le point d'accès 120 comporte quant à lui un module d'exécution configuré pour exécuter, sur réception dudit message d'alerte, le processus de protection qui lui est associé. Là encore, ces dispositions sont transposables au cas où le point d'accès 120 est le seul attaqué, détecte cette attaque, et le dispositif client 110 exécute un processus de protection après avoir été averti par le point d'accès 120.

En résumé, au sens de la présente invention, ce qui importe avant tout est qu'au moins une desdites deux entités 110, 120 (idéalement les deux entités 110, 120) soit en mesure de détecter une tentative de déconnexion malveillante qui la vise, et que, suite à une détection d'attaque, au moins une desdites deux entités 110, 120 soit en mesure d'exécuter un processus de protection, de sorte à maintenir une connexion entre lesdites deux entités 110, 120.

Il est à noter qu'encore d'autres modes de mises en œuvre du procédé défense (non illustrés sur les figures) peuvent être envisagés, notamment en termes d'exécution de processus de protection. De tels autres modes sont combinables (selon toutes combinaisons techniquement possibles) avec les modes décrits jusqu'à présent.

Ainsi, dans un autre mode particulier de mise en œuvre, chacune desdites deux entités 110, 120 exécute un processus de protection (étant entendu que lesdites deux entités 110, 120 sont attaquées ou bien une seule desdites deux entités est attaquée), et chaque processus de protection exécuté par une entité 110, 120 comporte une inversion de rôle avec l'autre entité 110, 120. De cette manière, le point d'accès 120 est configuré en tant que (i.e. joue un rôle de) dispositif client, et le dispositif client 110 est configuré en tant que (i.e. joue un rôle de) point d'accès.

Selon encore un autre mode de mise en œuvre, si au moins un critère est satisfait pour le dispositif client 110 uniquement (respectivement le point d'accès 120 uniquement), un processus de protection est exécuté par ledit dispositif client 110 (respectivement par ledit point d'accès 120) et consiste à ignorer la ou les requêtes de déconnexion reçues. Autrement, dans ce mode, le dispositif client 110 (respectivement le point d'accès 120) ne modifie aucun paramètre de communication, de sorte à pouvoir continuer à communiquer « normalement » avec le point 27 d'accès 120 (respectivement avec le dispositif client 110). Par « normalement », on fait référence au fait que l'attaque détectée est ignorée.

Selon encore un autre mode particulier de mise en œuvre, si au moins un critère est satisfait pour chacune desdites deux entités 110, 120, un processus de protection est exécuté par chacune desdites deux entités 110, 120 et consiste à ignorer la ou les requêtes de déconnexion reçues. Ce mode repose donc sur des bases similaires à celles évoquées dans le mode précédent, à la différence que cette fois-ci les deux entités 110, 120 du système 100 sont attaquées et ignorent toutes les deux les requêtes de déconnexion qu'elles reçoivent.

Encore d'autres variantes restent envisageables, comme par exemple maintenir plusieurs connexions entre le dispositif client 110 et le point d'accès 120 une fois qu'une attaque a été détectée, de sorte à augmenter la difficulté de réalisation d'une attaque pour l'attaquant ATT, ou bien encore que le dispositif client 110 et/ou le point d'accès émettent des trames volontairement erronées de sorte à désorienter l'attaquant ATT.

On note par ailleurs que l'invention a été décrite jusqu'à présent en considérant que lorsqu'un processus de protection est exécuté par une entité 110, 120, cette exécution n'a lieu qu'une seule fois. L'invention n'est toutefois pas limitée par de telles dispositions. A cet effet, il est possible d'envisager que l'exécution d'un processus de protection soit itérée, par exemple de manière périodique au sein d'une même session de communication. Le fait d'itérer un processus de protection (par exemple en modifiant de manière régulière au moins un paramètre de communication et/ou en réalisant de manière régulière une inversion de rôle) permet de consolider la défense pouvant être mise en œuvre par le système 100, et in fine améliorer la sécurité de la connexion entre le dispositif client 110 et le point d'accès 120.

Enfin, l'invention a aussi été décrite jusqu'à présent en considérant qu'aucune desdites deux entités 110, 120 n'est configurée de manière logicielle et matérielle pour mettre en œuvre une protection PMF. De cette manière, la solution proposée par l'invention est particulièrement simple à implémenter, le firmware des cartes Wi-Fi équipant les deux entités 110, 120 ne nécessitant pas d'être modifié. L'invention n'en reste pas moins applicable, au prix d'une implémentation technique plus complexe, dans les cas où au moins une entité 110, 120 du système 100 peut mettre en œuvre une protection PMF (étant entendu qu'une entité apte à mettre en œuvre une protection PMF ne peut pas l'activer si l'autre entité n'est pas en mesure de gérer cette protection PMF).