de ressources informatiques

La présente invention concerne un procédé de détection d'un détournement de ressources informatiques.

Un nombre croissant d'utilisateurs disposent de ressources informatiques, tels que des ordinateurs personnels ou des téléphones portables, connectées à des réseaux publics comme le réseau Internet.

Ces connexions peuvent alors être mises à profit par des tiers malveillants, également dénommés « pirates » ou « hackers », pour contaminer ces ressources au moyen de logiciels, dénommés virus, et détourner leur activité au profit d'opérations abusives, voire illicites.

Généralement les utilisateurs des ressources détournées manquent d'une formation en informatique leur permettant de protéger leurs ordinateurs de façon satisfaisante et/ou de détecter la contamination desdites ressources.

De fait les détournements des ressources informatiques sont généralement mises en œuvre de façon à ne pas perturber le fonctionnement des ressources, ce qui permet notamment de ne pas éveiller les soupçons de l'utilisateur desdites ressources quant à une contamination.

Tel est le cas des virus informatiques dénommés « Bots », ou « Bot- Nets » pour « Network of Bots », qui se propagent en minimisant l'impact visible sur les ordinateurs contaminés.

Il convient de noter que de tels virus peuvent néanmoins effectuer des opérations de piratage particulièrement dommageables pour les utilisateurs des ressources contaminées et détournées.

A titre d'exemple, de tels virus « discrets » connus peuvent subtiliser des données confidentielles, tels que des numéros de codes et de comptes bancaires, pour les communiquer à des tiers qui utiliseront ces données confidentielles de façon frauduleuse. Egalement, on connaît des virus discrets qui commandent l'envoi de courrier abusif, ou « SPAM » en anglais, de « Distributed Déniai of Services » (DDOS) qui génère l'envoi en grand volume (depuis plusieurs centaines ou milliers de machines infectées) de messages réseau erronés, en di- rection d'un site du réseau Internet afin d'en perturber ou d'en stopper le service, voire même qui commandent l'hébergement de contenus illégaux relatifs à, par exemple, de la pédophilie.

Dans ce cas, de tels virus portent atteinte à la réputation, voire à la responsabilité juridique, de l'utilisateur des ressources détournées.

En effet, il apparaît que les utilisateurs encourent le risque d'être tenu pour responsables des dommages commis par leurs ressources informatiques contaminés si ces utilisateurs ne démontrent pas avoir mis en place des mesures de sécurité adéquates, ce qui n'est pas simple pour un utilisateur non spécialisé en informatique.

Finalement un dernier problème avec de tels virus « discrets » réside dans leur forte capacité de contamination puisque, à défaut de constater un dysfonctionnement de ses ressources contaminées, un utilisateur tardera un temps significatif - au cours duquel se propagera la contamination - avant d'agir éventuellement à l'égard du virus.

Afin de détecter de tels détournements des ressources informatiques, il est connu de mettre en œuvre des logiciels anti-virus dont les performances sont limitées à des virus préalablement identifiés, selon une approche statique selon laquelle les signatures, ou empreintes, de virus dans les bases d'antivirus sont statiques, alors même que des nouveaux virus sont fré- quemment générés avec, pour certains, la propriété de modifier dynamiquement leur empreinte numérique. En outre, un nombre limité d'utilisateurs effectue des mises à jour régulières de leur anti-virus.

Par ailleurs, les utilisateurs de ressources informatiques sont confrontés au problème de la confidentialité des données, notamment lorsqu'un tel utilisateur se présente sous la forme d'une entreprise dans laquelle opère une pluralité de salariés.

En effet, dans ce cas, les législations de nombreux états, par exemple en France, interdisent la prise de connaissance, par l'entreprise ou par un fournisseur d'accès, des connexions effectuées par un salarié à titre privé ou par un abonné au service d'accès au réseau Internet de telle sorte qu'il est n'est pas permis de détecter des connexions à des sites potentiellement dangereux.

La présente invention résulte de la constatation que, en dehors d'un réseau interne formé par des ressources informatiques soumises à des contraintes de sécurité et de confidentialité, il est possible d'identifier un détournement desdites ressources informatiques du réseau interne en analysant leur comportement, c'est-à-dire leurs connexions et/ou leurs communica- tions effectuées, vis-à-vis d'un réseau externe dépourvu de ces contraintes de sécurité et de confidentialité, typiquement un réseau public comme le réseau Internet.

L'invention comprend également la constatation que dans de nombreux cas, par exemple lorsque l'utilisateur est une entreprise de petite ou de moyenne taille, voire un particulier, cet utilisateur ne dispose pas des moyens pour analyser le comportement de ces ressources et détecter un détournement de ces dernières par une telle analyse comportementale.

C'est pourquoi, la présente invention concerne un procédé de détection d'un détournement de ressources informatiques, situées dans un réseau interne mettant en œuvre des critères de sécurité et de confidentialité propres à ce réseau interne, reliées à un réseau externe, dépourvu de tels critères de sécurité et de confidentialité, au moyen d'une connexion gérée par un fournisseur d'accès, caractérisé en ce qu'il comprend les étapes suivantes:

- L'étape de mémoriser un paramètre de connexion mis en œuvre par les ressources informatiques pour communiquer avec le réseau externe,

- L'étape de traiter ce paramètre mémorisé selon une fonction irréversible, générant un code unique correspondant au paramètre mémorisé mais ne permettant pas l'identification dudit paramètre mémorisé, et

- L'étape de transmettre à un serveur localisé dans le réseau externe ledit code généré afin que ce serveur puisse effectuer une analyse de l'activité des ressources informatiques à partir dudit code unique et détecter un détournement des ressources informatiques. Grâce à l'invention, un opérateur extérieur au réseau interne peut analyser le comportement desdites ressources tout en respectant les critères de confidentialité et de sécurité du réseau interne. Ainsi, un utilisateur ayant des moyens d'analyse informatique limités peut faire appel à un opérateur extérieur ayant les moyens, et l'expertise, nécessaires pour détecter un détournement de ses ressources tout en préservant la confidentialité et la sécurité de ses connexions.

Typiquement, le paramètre de connexion peut être un nom de domaine, du type (google.fr), et/ou un nom du serveur de mail sortant du type (smtp.neuf.fr) où smtp est le protocole de courrier sortant pour « Simple Mail Transfer Protocol » en anglais.

En appliquant à une pluralité de noms de domaine et/ou de serveurs de mail sortant le procédé, ce dernier peut alors détecter une activité dont l'intensité et/ou la diversité permet de suspecter un détournement des res- sources analysées.

Dans une réalisation, le procédé comprend l'étape de considérer au moins un des éléments suivant comme un paramètre de connexion : un contenu d'un en-tête et/ou d'un corps d'un paquet transmis du réseau interne au réseau externe, des identifiants compris dans des requêtes du type DNS émises par le réseau interne vers le réseau externe, des identifiants de destinataires de courriers électroniques adressés du réseau interne vers le réseau externe.

Selon une réalisation, le procédé comprend l'étape d'utiliser une fonction de hachage pour générer un code unique à partir dudit paramètre de connexion comme, en particulier, un nom de domaine ou une adresse de serveur de courrier.

Dans une réalisation, le procédé comprend l'étape d'effectuer dans le réseau interne une analyse interne du paramètre de connexion, préalablement à son traitement, afin de détecter un détournement des ressources ou de générer un nouveau paramètre de connexion.

Selon une réalisation, le procédé comprend l'étape supplémentaire de transmettre un rapport de l'analyse interne au serveur distant. Dans une réalisation, le procédé comprend l'étape de transmettre des paramètres non codés avec les codes uniques générés transmis au serveur distant.

Selon une réalisation, le procédé comprend l'étape de considérer des informations relatives aux conditions d'utilisation de l'utilisateur pour se connecter au réseau externe pour détecter un détournement des ressources informatiques.

Dans une réalisation, le procédé comprend l'étape de considérer des informations relatives aux conditions d'accès de l'utilisateur au réseau ex- terne, ces informations étant transmises par le fournisseur d'accès, pour détecter un détournement des ressources.

L'invention concerne également des ressources informatiques, situées dans un réseau interne mettant en œuvre des critères de sécurité et de confidentialité propres à ce réseau interne, reliées à un réseau externe, dépour- vu de tels critères de sécurité et de confidentialité, au moyen d'une connexion gérée par un fournisseur d'accès, caractérisé en ce qu'il comprend:

- Des moyens pour mémoriser un paramètre de connexions mis en œuvre pour communiquer avec le réseau externe,

- Des moyens pour traiter ce paramètre mémorisé selon une fonction irré- versible, générant un code unique pour ce paramètre mémorisé, ne permettant pas l'identification dudit paramètre à partir du code généré correspondant, et

- Des moyens pour transmettre à un serveur localisé dans le réseau externe lesdits codes générés afin que ce serveur puisse effectuer une analyse de l'activité des ressources informatiques à partir dudit code unique et détecter un détournement des ressources informatiques selon un procédé conforme à l'une des réalisations précédentes.

L'invention concerne également un serveur de détection d'un détournement de ressources informatiques, situées dans un réseau interne met- tant en œuvre des critères de sécurité et de confidentialité propres à ce réseau interne, reliées à un réseau externe, dépourvu de tels critères de sécurité et de confidentialité, au moyen d'une connexion gérée par un fournisseur d'accès, caractérisé en ce que, le serveur étant situé dans le réseau ex- terne, il comprend des moyens pour effectuer une analyse des ressources informatiques à partir de codes uniques générés par ces ressources informatiques selon un procédé conforme à l'une des réalisations précédentes.

D'autres caractéristiques et avantages de l'invention apparaîtront à la lumière de la description ci-dessous, effectuée à titre illustrative et non limitatif, en référence aux figures ci-jointes sur lesquelles :

- la figure 1 représente une mise en œuvre de l'invention de façon schématique, et

- la figure 2 est un tableau d'analyse mis en œuvre par un serveur conforme à l'invention.

En référence à la figure 1 , un procédé de détection d'un détournement de ressources informatiques 101 conformément à l'invention est mis en œuvre vis-à-vis d'un réseau interne 100 mettant en œuvre des critères de sécurité et de confidentialité propres à ce réseau interne.

Dans cet exemple, ce réseau interne 100 est un réseau intranet d'une entreprise comprenant une pluralité de terminaux interconnectés, le critère de confidentialité comprenant l'interdiction d'identifier les noms de domaines requis par un terminal déterminé tandis que le critère de sécurité comprend l'utilisation obligatoire d'une connexion 1 04 à haut débit, type ADSL pour Asymmetric Subscriber Line en anglais, pour communiquer avec un réseau externe 102 formé, dans cet exemple, par le réseau Internet.

Alors même que le réseau Internet 102 est dépourvu des critères de sécurité et de confidentialité précédemment mentionnés, un fournisseur d'accès gérant la connexion 104 peut implémenter un procédé de détection des détournements des ressources informatiques du réseau 100 grâce à l'invention depuis ce réseau externe 102.

A cet effet le réseau interne 100 effectue l'étape 106 de filtrer et de mémoriser des paramètres 108 de connexions mises en œuvre par les ressources informatiques 101 pour communiquer avec le réseau externe 102.

Dans cette réalisation, on considère au moins un des éléments suivant comme un paramètre de connexion pouvant être ainsi filtré et mémorisé: - un contenu d'un en-tête et/ou d'un corps de paquets de données transmis du réseau interne 100 au réseau externe 102. De fait le contenu du corps et/ou de l'en-tête de certains paquets peuvent se révéler caractéristique d'un détournement de ressources tout comme une activité suspecte comme, par exemple, un taux d'envoi de courriels relativement important (plusieurs messages par seconde) et/ via plusieurs fournisseurs de mail sortant (serveur SMTP), supérieur à 2.

- des identifiants 108 compris dans des requêtes transmises à un serveur du type DNS du réseau externe.

A ce titre, il convient de rappeler qu'un serveur DNS a pour rôle de résoudre une requête émise à l'égard d'un nom de domaine, par exemple www.alcatel-lucent.com. Plus précisément, le serveur DNS a des bases de données associant un nom de domaine à au moins une adresse IP, pour « Internet Protocol » en anglais, qui se présente sous une forme telle que 93.178.174.3.

Dès lors, les requêtes auprès des serveurs DNS permettent de connaître l'activité des ressources internes 101 en termes, par exemple, de diversité de serveurs avec lesquelles ces ressources communiquent, étant entendu que cette diversité est généralement anormalement élevée lors- qu'un détournement des ressources internes 101 se produit.

- des identifiants des serveurs courriers, types serveurs smtp, traitant les courriers électroniques adressés au réseau externe comme, dans ce cas, au moyen du protocol SMTP pour « Simple Mail Transfer Protocol » en anglais. De fait, à nouveau, des ressources détournées présentent une acti- vité particulièrement élevée et variable lorsque, par exemple, ils génèrent du courrier abusif ou « spam ».

Sur la base de ces paramètres, l'invention met en œuvre une étape 1 12 pour traiter ces paramètres 108 mémorisés selon une fonction irréversible générant un code unique à partir de chaque paramètre mémorisé, de façon à bloquer toute identification postérieure du paramètre traité à partir du code correspondant. Dans cette réalisation de l'invention, on utilise une fonction de ha- chage pour coder un paramètre mémorisé en un code unique comme, par exemple, les fonctions MD5 ou SHA-1 .

Ainsi la confidentialité des paramètres de connexion est préservée mais permet néanmoins une analyse du comportement des ressources 1 1 1 , notamment en termes de diversité et de quantité de connexions effectuées.

Il convient de noter qu'on peut effectuer, dans le réseau interne 100, une analyse 1 10 des paramètres, préalablement à leur traitement, afin de détecter en interne un détournement des ressources et/ou de générer de nouveaux paramètres, par exemple statistiques, ultérieurement transmis - étape 1 14 - dans un rapport assurant la confidentialité des communications effectuées par les ressources 101 .

En référence à la figure 2, une telle analyse préalable ou interne peut mettre en œuvre un récapitulatif des connexions effectuées, par exemple des noms de DNS requis - e.g. « 4thfirework.com » ou « fireholiday.com » - avec un récapitulatif de paramètres qui permettent de suspecter ou de caractériser un détournement de ressources dans les réseaux dits « fast flux », détournant l'usage du protocole DNS comme, par exemple :

- « messages occurrences » qui vise à analyser si les adresses re- tournées pour différentes requêtes d'un même nom de domaine proviennent de différents serveurs du réseau internet. De fait, les adresses associées à des noms de domaines liés au BotNets sont des adresses de machines de particuliers, situées partout dans le monde, sans aucun lien géographie, technique ou administratif, ce qui devrait pourtant être le cas pour un nom de domaine régulier et/ou légal.

- une durée de vie (Time to Live ou TTL) pour les données DNS retournées, de quelques secondes seulement,

Une telle étape 1 14 peut être mise en œuvre à partir d'une pluralité de rapports lorsque, par exemple, différentes connexions 104 sont mises en œuvre.

Dans cette réalisation il est également envisagé que des données non codées, i.e. des paramètres de connexions non traités, soient directe- ment transmis à l'étape 1 14 avec des données codées, puis à un serveur 1 18 extérieur lorsque les contraintes de confidentialité le permettent.

De fait, cet ensemble d'informations est transmis, lors d'une étape 1 16, audit serveur 1 18 localisé dans le réseau externe 102. Ce serveur 1 18 peut ainsi effectuer une analyse externe de des codes uniques, générés à l'étape 1 12, et des éventuels paramètres de connexion transmis à l'étape 1 10, afin d'étudier l'activité des ressources informatiques 1 1 1 et de détecter - étape 120 - un détournement des ressources informatiques.

A cet effet, on compare le comportement des ressources 1 1 1 , en ter- mes de connexion, avec des comportements prédéterminés correspondant à différents types de contamination.

Par exemple, des comportements de « fast flux » peuvent être détectés en identifiant des comportements DNS spécifiques, comme déjà décrits ci-dessus, ou en reconnaissant des noms de domaines spécifiques à des virus lorsque ces noms de domaines peuvent être transmis.

De même, des détournements des ressources pour effectuer du spam peuvent être détectés par analyse du comportement SMTP des ressources 1 1 1 , i.e. relatifs aux destinataires des courriers transmis par ces ressources 1 1 1 , ou dans le contenu des courriers transmis identifiant un site du réseau Internet pour lequel est effectué le spam ou un virus du type bot- net.

En fonction de l'abonnement de l'util isateur des ressources 1 1 1 , d'autres procédés de détection peuvent être mis en œuvre. Par exemple, un particulier ne met généralement pas en oeuvre chez lui un serveur http de telle sorte que la réception par les ressources 1 1 1 d'une requête selon le protocole HTTP peut être considéré comme un indice de détournement et déclencher un message à l'adresse de cet utilisateur, selon une page sécurisée HTTPS telle que :

« Cher Laurent Clevy, vous avez reçu ce message parce que vous avez souscrit un abonnement au service de « surveillance d'intrusion de réseau » de votre fournisseur. Veuillez suivre le lien sécurisé ci-dessous afin de redéfinir votre profil Web puisque nous avons peut être détecté un comportement anormal de votre ordinateur. https://local/webprofile/LC »

En cliquant sur ce lien « https://local/webprofile/LC » l'utilisateur - dénommé Laurent Clevy dans cet exemple - reçoit un message tel que :

« Hebergez-vous un site http afin que des tiers accèdent à des infor- mations stockées dans votre ordinateur ? Oui / Non ».

Ainsi, l'utilisateur peut aider à la détection d'un comportement anormal de ses ressources comme, dans d'autres exemples, en indiquant les serveurs auxquels il adresse volontaires des courriers.

Egalement, l'utilisateur peut être requis pour permettre un stockage complet - étape 122 - de connexions effectuées afin de réaliser des analyses sur une période de temps glissante, les données stockées depuis un délai prédéterminé étant effacées.

La présente invention est susceptible de nombreuses variantes, notamment lorsque sa mise en œuvre par l'intermédiaire d'un abonnement lors de l'ouverture d'une ligne d'accès au réseau Internet à haut débit.

Dans ce cas, il est possible d'envisager un abonnement de l'utilisateur au service de détection des détournements de ressources, ce service effectuant une veille vis-à-vis des requêtes DNS et/ou SMTP afin de détecter des activités caractéristiques des ressources contaminées.

Un tel abonnement peut être effectué par téléphone, puis configuré par l'utilisateur lui-même lorsqu'il installe les moyens nécessaires pour assurer sa liaison 104 - typiquement un boîtier ADSL pour « Asymmetric Subscriber Line » en anglais lorsque les ressources informatiques 101 sont des ordinateurs.

Dans d'autres cas, par exemple lorsque ces ressources 101 sont des terminaux mobiles comme des téléphones, des smartsphones, des PDA pour « Personal Digital Assistant » en anglais et/ou des ordinateurs portables, la configuration des moyens requis pour mettre en œuvre les étapes 108, 1 10, 1 12 et 1 14 précédemment mentionnées peuvent être configurées dans le terminal lors de sa fabrication, ces ressources étant limitées compte tenu des faibles moyens requis pour cette mise en œuvre.

Par la suite, l'abonnement peut comprendre trois niveaux de services avec une assistance croissante en termes de rapidité, d'alerte, de stockage préventif de données et de disponibilité des techniciens en charge d'aider l'utilisateur des ressources 101 .

En outre, dans ce cas d'abonnement, des informations peuvent être fournies par le fournisseur d'accès lors de différentes étapes:

- Lors de l'étape 106 de filtrage et de mémorisation des paramètres de connexions, des informations relatives à une ou plusieurs adresses de courriers électroniques de l'utilisateur peuvent être transmises - étape 124 - pour permettre l'identification de serveurs dédiés au transport et/ou au stockage de ces mails afin que les connexions des ressources à ces serveurs soient considérées comme prévisibles.

- Lors de l'étape 1 12 de hachage, des informations relatives à une éventuelle autorisation de stocker des paquets transmis qui permet ainsi d'analyser des paquets pour lesquels une infection est suspectée. Suite à une telle autorisation détenue par le fournisseur d'accès, une analyse de ces paquets peut être effectuée, par exemple sur une fenêtre temporaire glissante telle que les paquets stockés depuis un délai prédéterminé sont effacés.

- Lors d'une étape 128 de traitement préventif d'un détournement des ressources comprenant, par exemple ; un stockage complet des paquets transmis par les ressources 1 1 1 , d'une sauvegarde de données personnelles scannées via un logiciel anti-virus à jour et d'une proposition de téléchargement de logiciels sécurisés, en particulier pour naviguer sur le réseau Internet et transmettre des courriers électroniques.

Dans ce cas, le fournisseur peut fournir - étape 130 - des informations relatives à la souscription de l'utilisateur des ressources 1 1 1 à ce service de traitement préventif, par exemple vis-à-vis d'options acquises ou non dans son abonnement.

- Lors d'une étape 132 de traitement de base comprenant, dans cette réalisation, la communication à l'utilisateur de la détection d'une activité dé- tournée de ses ressources 1 1 1 , d'un avertissement sur le risque de piratage de données personnelles, d'un diagnostic limité et d'une adresse de contact d'une assistance à distance. Dans ce cas, le fournisseur peut fournir - étape 134 - des informations relatives à un abonnement à ce service de traitement préventif ou à un service de traitement à distance 136 - visant à désinfecter les ressources 1 1 1 contaminées et de proposer un devis pour des opérations ultérieures de traitement - ou de traitement 138 sur place - visant à fournir un technicien sur le site des ressources 1 1 1 dans un délai requis afin d'identifier les ressources 1 1 1 contaminées, sauvegarder des données stratégiques et éventuellement proposer une solution de remplacement.

Comme illustré sur la figure 1 , les étapes 132, 136 et 138 peuvent être mises en œuvre successivement en fonction de l'abonnement dont dispose l'utilisateur des ressources 1 1 1 vis-à-vis de l'opérateur effectuant l'analyse de leur comportement.

La présente invention est susceptible de nombreuses variantes. De fait, elle a été décrite en faisant principalement référence à des noms de domaine et/ou à des noms de serveur de mail sortant car, actuellement, les autres paramètres réseau des connexions dans le réseau Internet sont généralement anonymes ou fournis par l'operateur internet (adresse IP) mais il est clair que l'invention peut être mis en œuvre avec des paramètres équivalents selon d'autres protocoles de communications que le protocole Internet.

En outre, il est clair que l'invention peut être opérée en mettant en œuvre l'analyse de plusieurs paramètres de connexions ainsi que combinée avec différents procédés de détection de contamination par virus informatique.