L'invention concerne un procédé de prévention d'usurpation d'adresses dans un réseau

IP.

L'invention trouve une application particulièrement intéressante dans la prévention de certains types d'attaque basés sur une usurpation d'adresse, par exemple des attaques par déni de service, au cours desquelles un terminal qui souhaite perpétrer une telle attaque masque son identité, c'est-à-dire son adresse IP, en usurpant l'adresse IP et donc l'identité d'un autre terminal. Ainsi, il devient difficile de localiser le terminal en tant que source de l'attaque.

II existe différents mécanismes permettant de prévenir l'usurpation d'adresses IP.

Un premier mécanisme connu, que nous ne détaillerons pas ici, permet de détecter une usurpation d'adresses entre machines de sous-réseaux différents, par analyse des préfixes réseau des champs adresse source des messages.

Il existe également un mécanisme connu qui permet de détecter une usurpation d'adresse d'une première machine par une deuxième machine à l'intérieur d'un même sous- réseau. Ce mécanisme, appelé « SAVI » (pour « Source Address Validation Improvement »), en cours de standardisation à « IETF » (pour « Internet Engineering Task Force »), détecte une usurpation d'adresse dans un sous-réseau à l'intérieur duquel toutes les machines ont le même préfixe d'adresse IP. Ce mécanisme est mis en œuvre lorsque l'adresse IP est attribuée à une machine, conformément à l'une des deux méthodes suivantes :

soit l'adresse est obtenue auprès d'un serveur « DHCP » (pour « Dynamic Host Configuration Protocol »), dans le cas d'une adresse IPv4, ou d'une adresse IPv6,

soit l'adresse est définie par auto-configuration de la machine, dans le cas d'une adresse IPv6.

Le mécanisme SAVI va être décrit pour les deux méthodes d'attribution d'adresse IP, en relation avec les figures 1A et 1B.

Un équipement 10 qui met en œuvre le mécanisme SAVI est positionné au plus près des machines, notées Ml, M2, et M3, .... L'équipement 10 est en coupure des échanges entre les machines Ml, M2, M3, ... et d'autres équipements d'un réseau 12, par exemple le réseau Internet. Le mécanisme peut être mis en œuvre par un équipement dédié, ou par un équipement réseau connu, tel qu'un routeur, un switch, un « DSLAM » (pour « Digital Subscriber Line Access Multiplexer »), un réseau privé virtuel (ou « VPN », pour Virtual Private Network »), etc. Dans l'exemple décrit en relation avec la figure 1A, l'équipement 10 est un équipement dédié appelé par la suite « dispositif SAVI ». Selon la figure 1A, dans le cas de l'obtention d'une adresse IP auprès d'un serveur DHCP 11 , une machine, par exemple Ml requiert auprès du serveur DHCP 11 une adresse IP en diffusant une requête DHCP_DISCOVER. Le serveur DHCP 11 qui reçoit la requête diffuse à l' attention de la machine Ml une offre DHCP_OFFER qui comprend une adresse IP proposée par le serveur DHCP 11. La machine Ml, si elle accepte cette adresse, répond à cette offre en envoyant une requête DHCP_REQUEST qui comprend l'adresse IP qui vient de lui être proposée. Le message DHCP_REQUEST qui transite par le dispositif S AVI 10 permet à ce dernier d'enregistrer dans une table d' association BT (on parle habituellement de « Binding Table ») une correspondance entre, par exemple un numéro de port pl sur lequel le dispositif SAVI 10 reçoit le message DHCP_REQUEST de la machine Ml, et l'adresse IP qui a été attribuée et acceptée par la machine Ml . Le message DHCP_REQUEST, en clair, est analysé par le dispositif SAVI 10 et l'adresse IP associée à la machine Ml récupérée lors de cette analyse. Ainsi, le dispositif SAVI 10 gère la table d'association BT qui enregistre pour chaque machine Ml , M2, M3, .. . qui se voit attribuer une adresse IP par le serveur DHCP 11 une correspondance entre un numéro de port du dispositif SAVI 10 sur lequel la machine communique sur le réseau, et l'adresse IP attribuée à ladite machine.

Ensuite, si une machine, par exemple M3, usurpe l' adresse IP d'une autre machine, par exemple Ml , et envoie un datagramme IP sur le réseau comprenant comme adresse IP source l' adresse usurpée de la machine Ml , alors le dispositif SAVI détecte une incohérence. En effet, il y a alors incohérence entre l'adresse IP source contenue dans le datagramme et l' adresse IP normalement associée dans la table d' association BT au port réseau sur lequel il vient de recevoir le datagramme, en l'espèce le port p3 associé à la machine M3. Le dispositif SAVI 10 bloque alors le datagramme émis depuis la machine M3 qui comprend comme adresse source, l' adresse de la machine Ml.

Dans un cas d'attribution d' adresse IPv6 par auto-configuration, décrit en relation avec la figure 1B, une machine, par exemple Ml, reçoit d'un routeur 13 dans un message « Router Advertisment », un préfixe réseau pfx. La machine Ml génère alors un identifiant d'interface qui lui est propre, en tant que suffixe de l'adresse IPv6. La machine Ml concatène alors le préfixe réseau et le suffixe généré pour forger son adresse IP IP1. Une fois l' adresse IPv6 forgée par la machine Ml , celle-ci doit s'assurer que l' adresse IP est unique sur le réseau. A cette fin, elle met en œuvre un mécanisme de détection d'adresse dupliquée appelé « DAD » (pour « Duplicate Address Détection »), décrit dans la « RFC » 4862 (pour « Request For Comment »). Avec ce mécanisme, la machine Ml émet à l'attention de ses voisins du même sous-réseau, ici les machines M2, M3, un message de sollicitation comprenant l'adresse qu'il s'est forgé. Lors de la diffusion de ce message, l'équipement SAVI 10 enregistre dans une table d'association une correspondance temporaire entre l'adresse IP de la machine Ml , extraite du message de sollicitation, et le numéro de port sur lequel il a reçu ce message. Si aucune autre machine du sous-réseau ne répond à ce message de sollicitation pendant une durée prédéfinie, alors cela signifie que l'adresse IPv6 forgée par la machine Ml est unique dans le sous-réseau et que l'adresse IPv6 est valable pour la machine Ml . Au niveau de l'équipement SAVI, l' association entre l' adresse IP et le numéro de port est validée et devient définitive au terme de cette période prédéfinie pendant laquelle l'équipement SAVI n' a vu passer aucune réponse au message de sollicitation. Si au contraire, une machine du sous-réseau répond au message de sollicitation afin d'informer la machine Ml que l' adresse est déjà attribuée, alors l'équipement SAVI efface la correspondance temporaire qu'il a enregistrée.

Une fois que toutes les adresses IP ont été forgées pour les machines du sous-réseau, et que l'équipement SAVI possède donc une table d'association complète et à jour, la prévention d'usurpation d'adresse est alors opérée de la même manière que précédemment.

Cependant, à chaque mécanisme d' attribution d' adresse IP utilisé, en l'espèce l' auto- configuration IPv6, ou l'attribution d'une adresse IPv4 ou IPv6 via un serveur DHCP, correspond un équipement SAVI particulier ou/et une mise en œuvre particulière. Ainsi, lorsque les deux mécanismes d'attribution d' adresse sont déployés dans un réseau, de premières machines forgeant leur adresse par auto-configuration et d'autres machines l'obtenant auprès d'un serveur DHCP, alors il est nécessaire de mettre en œuvre les deux mécanismes, ce qui génère un surcoût. Par ailleurs, si aucune des deux méthodes d' attribution d'adresse n'est employée, alors aucune solution n'existe pour prévenir des attaques par déni de service. C'est le cas par exemple lorsque l' adresse IP d'un équipement est configurée manuellement.

L'invention remédie aux inconvénients présentés ci-dessus en proposant un procédé de prévention d'usurpation d'une adresse IP d'une première machine, ladite adresse IP ayant été préalablement configurée, le procédé comprenant :

- une étape d'interception d'une requête d'enregistrement de l'adresse IP en provenance de la première machine et à destination d'un serveur d'enregistrement, la requête comprenant au moins l'adresse IP de la première machine,

- une étape de mémorisation dans une table d' association, d'une association entre l' adresse IP reçue et un premier paramètre de liaison physique sur laquelle la requête est reçue,

- une étape ultérieure d'interception d'un paquet IP en provenance d'une deuxième machine (M2), un deuxième paramètre de liaison physique étant associé à la transmission dudit paquet, - un blocage du paquet IP reçu si un champ adresse source du paquet IP comprend l' adresse IP de la première machine et que le deuxième paramètre de liaison physique est différent du premier paramètre de liaison physique mémorisé.

Avec le procédé de l'invention, un seul mécanisme de prévention d'usurpation d'adresse convient à différentes méthodes de configuration d'adresse IP. En effet, selon que les machines obtiennent leur adresse IP auprès d'un serveur DHCP, dans le cas des adresses IPv4 ou IPv6, ou par auto-configuration dans le cas des adresses IPv6, il n'est plus nécessaire de mettre en œuvre différents mécanismes de prévention d'usurpation d'adresse. Ainsi, le mécanisme de l'invention évite des surcoûts liés à la mise en œuvre dans un réseau de plusieurs mécanismes.

Dans un exemple de réalisation, l'adresse IP de la première machine a été configurée selon une méthode connue parmi le groupe comprenant : une auto-configuration d' adresse IPv6, une configuration manuelle, l'obtention d'une adresse auprès d'un serveur DHCP.

Le mécanisme de l'invention est adapté à toutes les méthodes de configuration d' adresse IP connues. En particulier, le mécanisme de l'invention est également adapté à un réseau où des machines configurent leur adresse IP manuellement. Or, aucune solution de prévention d'usurpation d'adresse n'était proposée jusqu' à présent dans ce cas. Ainsi, l'invention propose une solution à un problème jusqu'alors non résolu de prévention d'usurpation d'adresse dans le cas d'une configuration manuelle d' adresse IP.

Selon un exemple de réalisation, le serveur d'enregistrement est un serveur de noms de domaine.

Dans un autre exemple de réalisation, le procédé comprend en outre :

- une étape d'interception d'une deuxième requête d'enregistrement de l'adresse IP en provenance de la première machine, la requête comprenant une nouvelle adresse IP,

- une étape de mise à jour de la table d' association par remplacement dans l'association entre l'adresse IP et le premier paramètre physique, de l' adresse IP de la première machine par la nouvelle adresse IP.

Le procédé de l'invention permet de tenir compte d'éventuelles mises à jour d'adresse IP. Une telle mise à jour peut se produire lorsqu'un nouveau préfixe réseau est transmis depuis un routeur. Dans ce cas il est nécessaire que les machines dont les paquets sont routés par ce routeur mettent à jour leur adresse, conformément à ce nouveau préfixe. Ainsi, on est assuré que la table d'association est toujours à jour.

Dans un exemple de réalisation, le procédé comprend en outre la réception d'un message de validation de l'adresse IP de la machine en provenance du serveur d'enregistrement, consécutive à la transmission de ladite requête au serveur d'enregistrement, et conditionnant l'étape de mémorisation. Dans cet exemple, la mémorisation d'une association d'ancrage dans la table d'association est conditionnée par l'enregistrement de l'adresse IP de la machine dans le serveur d'enregistrement. Ainsi, la validité de la table d'association est prouvée. En effet, seules les associations correspondant à des adresses IP correctement enregistrées auprès du serveur d'enregistrement sont mémorisées.

Selon un exemple de réalisation, le procédé comprenant une sécurisation des échanges entre le serveur d'enregistrement et la machine conforme à un schéma de cryptographie à clé publique, le procédé comprend une étape de vérification d'une signature du message de validation de l'adresse IP reçu du serveur d'enregistrement.

Ce mode de réalisation est adapté à une sécurisation des échanges entre les machines et le serveur d'enregistrement nommé SIG(O).

Dans un exemple de réalisation, l'association mémorisée au cours de l'étape de mémorisation comprend également un nom pleinement qualifié de la première machine.

Ce mode de réalisation renforce la sécurité du procédé et permet de pallier une usurpation d'adresse IP durant la phase d'enregistrement auprès du serveur d'enregistrement. En effet, pour tromper le mécansiem de l'invention, il faudrait qu'une machine qui usurpe une adresse IP, usurpe également le FQDN enregistré dans le serveur DNS. Or, si un mécanisme de sécurisation DNS est utilisé, en l'espère TSIG, ou SIG(O), cela n'est pas possible car la machine qui usurpe ne peut signer les requêtes d'enregistrement à la place d'une autre machine.

L'invention concerne aussi un dispositif de prévention d'usurpation d'une adresse IP d'une première machine, ladite machine ayant préalablement configuré son adresse IP, ledit dispositif comprenant :

- des moyens de mémorisation, agencés pour mémoriser dans une table d'association une association entre l'adresse IP de la première machine et un premier paramètre de liaison physique sur laquelle une requête d'enregistrement est interceptée,

- des moyens d'interception, agencés pour intercepter une requête d'enregistrement de l'adresse IP en provenance de la première machine et à destination d'un serveur d'enregistrement, la requête comprenant au moins l'adresse IP de la première machine, et pour intercepter un paquet IP en provenance d'une deuxième machine, un deuxième paramètre de liaison physique étant associé à la transmission dudit paquet,

- des moyens de blocage, agencés pour bloquer le paquet IP reçu si un champ adresse source du paquet IP comprend l'adresse IP de la première machine et que le deuxième paramètre de liaison physique est différent du premier paramètre de liaison physique mémorisé.

L'invention concerne aussi un programme d'ordinateur destiné à être installé dans une mémoire d'un ordinateur, comprenant des instructions pour la mise en œuvre des étapes du procédé de prévention d'usurpation d'adresses IP l'invention qui sont exécutées par le dispositif, lorsque le programme est exécuté par un processeur.

L'invention porte également sur un support de données sur lequel est enregistré le programme d'ordinateur selon l'invention.

De nombreux détails et avantages de l'invention seront mieux compris à la lecture de la description de modes particuliers de réalisation en référence aux dessins annexés donnés à titre non limitatif, et dans lesquels :

- les figures 1A et 1B illustrent des méthodes de prévention d'usurpation d'adresse IP selon un mécanisme connu appelé SAVI selon que l'adresse IP est obtenue par une machine auprès d'un serveur DHCP, respectivement par auto-configuration de la machine ;

- la figure 2 présente les étapes d'un mécanisme de prévention d'usurpation d' adresse IP selon un premier exemple de réalisation de l'invention ;

- la figure 3 représente un équipement apte à mettre en œuvre le procédé de prévention d'usurpation d'adresse IP selon l'invention.

Le procédé de prévention d'usurpation d'adresse IP dans un réseau, selon un premier exemple de réalisation, va maintenant être décrit en relation avec la figure 2.

Une pluralité de machines Ml , M2, M3, d'un sous-réseau IP (non représenté sur la figure 2) est reliée à un équipement 20 de prévention d'usurpation d'adresses IP selon l'invention. Il faut comprendre ici que l'équipement 20 est situé au plus proche des machines Ml , M2, M3, .. . et que des messages en provenance ou à destination des machines transitent par l'équipement 20. Un dispositif serveur d'enregistrement des noms de domaine 21 (le terme habituellement utilisé est le terme anglais « DNS » pour « Domain Name Server ») est destiné à mémoriser des enregistrements associés aux machines du réseau. Un enregistrement est une donnée qui comprend au moins une adresse IP de machine et une information propre à la machine, par exemple, un nom de machine pleinement qualifié, ou « FQDN » (de l'anglais « Fully Qualified Domain Name »), ou nom de domaine. Le nom de domaine, ou FQDN, permet de nommer la machine Ml de manière compréhensible, par exemple www.MachineMl .corn, plutôt qu'au moyen d'une adresse IP, difficile à mémoriser. Ainsi, lorsqu'un message est envoyé à www.MachineMl .coin, le serveur d'enregistrement est interrogé afin d'obtenir l'adresse IP associée et d' acheminer correctement le message dans le réseau.

Dans une étape initiale E0 de configuration, la machine Ml configure son adresse IP. Une telle configuration peut être obtenue selon différents mécanismes connus : soit auprès d'un serveur « DHCP » (de l'anglais « Dynamic Host Configuration Protocol »), pour une adresse IPv4 ou IPv6,

soit par auto-configuration, pour une adresse IPv6,

soit par configuration manuelle de la machine, pour une adresse IPv4 ou IPv6. Quelque soit le mécanisme de configuration utilisé, la machine Ml possède au terme de l'étape initiale E0 une adresse IP IPl .

Dans une étape El d'enregistrement, la machine Ml s'enregistre auprès du serveur d'enregistrement 21 afin de déclarer qu' à son nom de machine pleinement qualifié, www.MachineMl .fr est associé l'adresse IPl nouvellement configurée. A cet effet, la machine Ml envoie au serveur d'enregistrement 21 une requête d'enregistrement DNS comprenant au moins son adresse IP et son nom de machine pleinement qualifié. Cette requête est transmise conformément au protocole de mise à jour DNS dynamique (l'expression « Dynamic DNS Update » est habituellement utilisée), décrit dans la RFC 2136.

L'équipement 20, en coupure des échanges entre le machine Ml et le réseau intercepte dans une étape E2 d'interception la requête d'enregistrement DNS envoyée par la machine Ml. Dans une étape E3 d'analyse, l'équipement 20 analyse la requête DNS et extrait de cette requête l' adresse IPl de la machine Ml . Cette analyse est possible du fait que la requête DNS est un message en clair. En fin d'étape E3 d' analyse, l'équipement 20 retransmet la requête d'enregistrement au serveur d'enregistrement 21. Le serveur d'enregistrement 21 reçoit et enregistre alors l'enregistrement DNS en base dans une étape E4 de réception et de mise en base.

Dans une étape E5 d'association, l'équipement 20 enregistre dans une table d' association (le terme habituellement utilisé est le terme anglais « Binding Table ») une association entre l'adresse IP IPl de la machine Ml et un paramètre physique associé à la liaison physique sur laquelle fonctionne le réseau de la machine Ml . L'association consiste ainsi en un lien fort destiné à lier l'adresse IP, logique, de la machine Ml à une identité de la machine Ml , indépendante de l' adresse logique. Une telle association est connue aussi sous le nom d' « association d' ancrage » (le terme habituellement utilisé est le terme anglais « binding anchor »). En d' autres termes, le lien fort associe à l'adresse IP de la machine Ml une information qui permet de caractériser la communication entre la machine Ml et l'équipement 20. Le paramètre physique associé à la liaison physique est indépendant de l'adresse IP de la machine Ml . Par exemple, le lien fort, ou l'association d'ancrage associe à l'adresse IP de la machine Ml un numéro de port de l'équipement 20 par lequel l'équipement reçoit, respectivement transmet, les messages de, respectivement à, la machine Ml . Par exemple, l' adresse IPl de la machine Ml est associé à un port noté pl , l'adresse de la machine M2 à un port noté p2, l' adresse de la machine M3 à un port noté p3, etc.

Lorsque les étapes E0 de configuration, El d'enregistrement, E2 d'interception, E3 d' analyse et E5 d'association ont été exécutées pour les machines Ml , M2, M3, .. . du même sous-réseau, l'équipement 20 possède dans sa table d' association, une association d'ancrage propre à chacune des machines Ml , M2, M3, .. . qui à chaque adresse IP associe un numéro de port de l'équipement 20 qui caractérise le point par lequel chaque machine Ml , M2, M3, .. . communique avec les autres machines, que ce soit les machines de ce sous-réseau ou les autres machines du réseau (non représentées sur la figure 2).

Dans une étape ultérieure E6 de tentative d'usurpation de l' adresse IP de la machine Ml par la machine M2, la machine M2 émet des messages en usurpant l' adresse IP de la machine Ml (le terme habituellement utilisé pour une telle opération est le terme anglais « spoofing »). A cette fin, tous les champs adresse source des paquets IP qui constituent les messages transmis depuis la machine M2 sont falsifiés et comprennent l'adresse IPl de la machine Ml au lieu de l' adresse IP de la machine M2 qui envoie les paquets.

Dans une étape suivante E7 de détection et de réaction, l'équipement 20, en coupure des échanges en provenance et à destination des machines Ml , M2, M3, intercepte les paquets IP envoyés par la machine M2. L'équipement 20 consulte alors sa table d' association mémorisée au cours de l'étape E5 d' association afin de vérifier que les données qui figurent dans les paquets IP sont cohérentes avec les données mémorisées dans la table d' association. A cette fin, l'équipement 20, qui reçoit les paquets sur un certain port, vérifie que l'adresse IP qui figure dans le champ adresse source des paquets reçus est identique à l'adresse IP qui est associée dans la table d'association au paramètre physique de valeur le numéro du port. Les paquets IP émis depuis la machine M2 sont reçus par l'équipement 20 sur le port p2. L'adresse IP associée au port p2 dans la table d' association est l' adresse IP2 de la machine M2. Ainsi, l'équipement 20 détecte aisément qu'il y a tentative d'usurpation de l'adresse IPl de la machine Ml par la machine M2, puisque le champ adresse source des paquets IP comprend l'adresse IPl et non l'adresse IP2 de la machine M2, comme attendu. L'équipement 20 bloque alors les paquets émis par la machine M2 au cours d'une étape E8 de blocage. Ainsi, la tentative d'usurpation d'adresse par la machine M2 ne peut aboutir.

Dans un exemple de réalisation, une machine, par exemple la machine Ml change d' adresse IP. Par exemple, dans le cas où l'adresse IP de la machine Ml a été obtenue par autoconfiguration et que le préfixe du réseau change, alors la machine Ml change d' adresse IP afin d' avoir une adresse cohérente avec le nouveau préfixe. Dans ce cas, la machine Ml transmet un message d'enregistrement DNS au serveur d'enregistrement 21 pour que celui-ci mette à jour sa table d'enregistrement. L'équipement 20 qui voit passer une telle requête met alors à jour la table d'association en remplaçant dans l' association d' ancrage concernée l'adresse IP de la machine Ml préalablement enregistrée par l'adresse IP nouvellement configurée.

Dans les exemples de réalisation décrits ici, l'équipement 20 de prévention d'usurpation d' adresses est un équipement dédié. L'invention n'est pas limitée à ce mode de réalisation. Ainsi, dans un autre exemple de réalisation, le procédé de l'invention est mis en œuvre dans un équipement réseau existant. Par exemple, le procédé peut être mis en œuvre dans un commutateur réseau (on parle habituellement de « switch »), dans un routeur, etc. Dans le cas d'un routeur, le paramètre physique qui est associé à une adresse IP dans la table d'association est une adresse « MAC » (de l' anglais « Media Access Control ») des machines Ml , M2, M3, .. . , ou une interface réseau. L'invention peut également être mise en œuvre dans un réseau sans- fil. Dans cet exemple, si les échanges entre un point d' accès et les machines sont sécurisés au moyen de « WPA2 » (« de l' anglais « Wi-Fi Protected Access »), alors le paramètre physique associé aux adresses IP dans la table d' association est une association de sécurité (« Security Association » en anglais). Les paramètres physiques permettent d'identifier l'interface réseau de communication entre l'équipement 20 et les machines Ml , M2, M3.. . Il peut être un numéro de port, une adresse MAC, une association de sécurité, un canal radio, un index de VPN, etc.

Dans un exemple de réalisation (non représenté sur la figure 2), les échanges entre les machines Ml , M2, M3, .. . et le serveur d'enregistrement 21 sont sécurisés. Dans un premier mode de sécurisation de ces échanges, le serveur d'enregistrement 21 partage avec chacune des machines Ml , M2, M3, .. . une clé secrète Ki, K ₂ , K ₃ , .. . Ce mode de sécurisation, appelé « TSIG » (pour « Transaction SIGnature ») est décrit dans la RFC 2845. Conformément à ce mode de sécurisation, la machine Ml signe, au moyen de la clé secrète partagée K _{l 5} la requête d'enregistrement DNS qu'elle envoie au serveur d'enregistrement 21 au cours de l'étape El d'enregistrement. Le serveur d'enregistrement 21 vérifie la signature de la requête au cours de l'étape E4 de réception et de mise en base. Dans un premier cas où la signature est valide, le serveur d'enregistrement 21 envoie à la machine Ml un message d' accusé de réception positif. Ce message, intercepté par l'équipement 20, permet à celui-ci de valider le lien d'ancrage entre l' adresse IP1 de la machine Ml et le paramètre physique, en l'espèce le numéro de port, mémorisé au cours de l'étape E5 d'association. Dans ce mode de réalisation, le lien d'ancrage associé à l' adresse IP de la machine Ml et mémorisé au cours de l'étape E5 est temporaire. La mémorisation définitive de ce lien d'ancrage dans la table d'association est conditionnée par la réception d'un message d'accusé de réception positif du serveur d'enregistrement 21. Dans le cas contraire, c'est-à-dire si la signature de la requête n'est pas valide, le serveur d'enregistrement 21 envoie à la machine Ml un accusé de réception négatif. Cet accusé de réception est intercepté par l'équipement 20 qui efface alors dans la table d'association la liaison d' ancrage associée à la machine Ml lors de l'étape E5 d' association. En effet, l'adresse IP1 de la machine Ml ne pouvant être enregistrée dans le serveur d'enregistrement 21 , elle n'est alors pas valide.

Dans un deuxième mode de sécurisation des échanges entre les machines et le serveur d'enregistrement 21, basé sur de la cryptographie asymétrique, le serveur d'enregistrement 21 et chaque machine Ml, M2, M3, .. . possèdent un couple de clés privée/publique. Ce mode de sécurisation, appelé SIG(O) est décrit dans la RFC 2931. Avec ce mode de sécurisation, la machine Ml signe la requête qu'elle envoie au serveur d'enregistrement 21 au moyen de sa clé privée. Le serveur d'enregistrement 21 vérifie la signature au moyen de la clé publique de la machine Ml et dans un exemple de réalisation envoie à la machine Ml un accusé de réception positif ou négatif, selon le résultat de la vérification de la signature, signé au moyen de la clé privée du serveur. L'équipement 20 qui intercepte cet accusé de réception vérifie la signature de l' accusé de réception au moyen de la clé publique du serveur d'enregistrement 21. Cette vérification permet à l'équipement 20 de confirmer ou d'effacer la liaison d'ancrage associée à la machine Ml au cours de l'étape E5 d'association. Cette vérification conditionne la mémorisation du lien d' ancrage associé à la machine Ml dans la table d'association

Dans ces deux modes de réalisation, l'équipement 20 s' appuie sur la sécurisation des échanges entre le serveur d'enregistrement 21 et les machines pour sécuriser la table d' association.

Dans un autre exemple de réalisation, il est prévu de mémoriser dans la table d' association une troisième information, en plus de l' adresse IP et du paramètre physique représentatif de l'interface réseau de communication entre le dispositif 20 et les machines. Cette troisième information est le nom pleinement qualifié, ou FQDN des machines. La mémorisation du nom pleinement qualifié a lieu au cours de l'étape E5 d' association. En effet, le nom pleinement qualifié est compris dans la requête d'enregistrement transmise par la machine Ml au cours de l'étape El d'enregistrement et interceptée par le dispositif 20 au cours de l'étape E2. Le nom pleinement qualifié peut donc être extrait de la requête au cours de l'étape E3 d'analyse et mémorisé au cours de l'étape E5 de mémorisation. La présence du nom pleinement qualifié de la machine Ml permet de pallier une usurpation d'adresse IP qui interviendrait au moment de l'enregistrement d'une machine auprès du serveur d'enregistrement 21. En effet, dans ce cas, la machine M2 qui tente d'usurper l'adresse IP de la machine Ml envoie une requête d'enregistrement qui comprend l'adresse IP de la machine Ml . Ainsi, à l' adresse IP de la machine Ml est associée dans la table d'association le paramètre physique correspondant à l'interface de communication entre la machine M2 et le dispositif 20. Le nom pleinement qualifié qui a été envoyé dans la requête d'enregistrement et que l'on suppose être celui de la machine M2 est alors un élément différenciant supplémentaire lorsque des paquets IP émis par la machine M2 usurpent l'adresse IP de la machine Ml. Si TSIG ou SIG(O) est utilisé, la machine M2 ne possède pas la/les clé(s) nécessaire(s) pour envoyer une requête signée pour mener à bien l'enregistrement dans le serveur d'enregistrement 21. Dans ce cas, le serveur d'enregistrement répond que la mise à jour n'est pas valide et l'équipement 20 ne met alors pas à jour sa table d'association. Ainsi, les paquets IP envoyés depuis la machine M2 en falsifiant l'adresse IP de la machine Ml sont bloqués, conformément au procédé de l'invention.

Un équipement 20 de prévention d'usurpation d'adresses IP va maintenant être décrit en relation avec la figure 3.

L'équipement 20 de prévention d'usurpation d'adresses est situé au plus proches des machines Ml, M2, M3, ... (non représentées sur la figure 3) et est en coupure des échanges de chacune des machines avec d'autres équipements du réseau, par exemple le serveur d'enregistrement 21.

L'équipement 20 peut être un équipement dédié à la prévention d'usurpation d'adresses à l'intérieur d'un même sous-réseau. Dans un autre exemple de réalisation, l'équipement 20 est un équipement réseau, par exemple un switch, un routeur, etc. qui met en œuvre le procédé de l'invention.

L'équipement 20 comprend :

un microprocesseur 201, ou « CPU ») (de l'anglais « Central Processing Unit ») qui est une unité de traitement,

une mémoire vive 202, ou « RAM » (pour « Random Access Memory ») qui permet de charger des instructions logicielles correspondant aux étapes du procédé de prévention d'usurpation d'adresses telles que décrites précédemment, et de les faire exécuter par le processeur 201, des moyens de mémorisation 203, par exemple une mémoire de type « ROM » (de anglais « Read Only Memory ») adaptée pour mémoriser la table d'association qui à chaque adresse IP de machine Ml, M2, M3, ... associe un paramètre physique de la liaison physique sur laquelle une requête d'enregistrement envoyée depuis la machine vers le serveur d'enregistrement 21 transite,

des interfaces réseau 204, adaptées pour communiquer d'une part avec les machines Ml, M2, M3, ... et d'autre part avec d'autres équipements du réseau, tels que le serveur d'enregistrement 21, ou des machines d'autres sous-réseaux, des moyens d'interception 205, agencés pour intercepter une requête d'enregistrement de l'adresse IP en provenance des machines Ml, M2, M3, ... et à destination du serveur d'enregistrement 21, la requête comprenant au moins l'adresse IP des machines. Les moyens d'interception 205 sont également agencés pour intercepter un paquet IP en provenance des machines, dans le but de vérifier qu'il n'y a pas usurpation d'une adresse IP,

des moyens de blocage 206, agencés pour bloquer un paquet IP reçu d'une machine s'il s'avère que l'adresse source qui figure dans le paquet a été usurpée. Plus précisément les moyens de blocage 26 sont adaptés pour bloquer le paquet IP reçu d'une certaine machine sur une interface réseau correspondant à un paramètre physique donné, si l'adresse IP associée à ce paramètre physique de liaison physique dans la table d'association est différente de l'adresse IP qui figure dans le champ adresse source du paquet IP en cours d'analyse.

Les interfaces réseau 204, les moyens d'interception 205 et les moyens de blocage 206 sont de préférence des modules logiciels comprenant des instructions logicielles pour faire exécuter les étapes du procédé de prévention d'usurpation d'adresses IP précédemment décrites.

L'invention concerne donc aussi :

- un programme d'ordinateur comportant des instructions pour la mise en œuvre du procédé de prévention d'usurpation d'adresse IP tel que décrit précédemment lorsque ce programme est exécuté par un processeur, et

- un support d'enregistrement lisible par un dispositif de prévention d'usurpation d'adresse sur lequel est enregistré le programme d'ordinateur décrit ci-dessus.

Les modules logiciels peuvent être stockés dans, ou transmis par un support de données. Celui-ci peut être un support matériel de stockage, par exemple un CD-ROM, une disquette magnétique ou un disque dur, ou bien un support de transmission tel qu'un signal ou un réseau de télécommunication.