Procédé de surveillance de flux de messagerie émis et/ou reçus par un client d'un fournisseur d'accès Internet au sein d'un réseau de télécommunication
La présente invention concerne un procédé de surveillance de flux de messagerie émis et/ou reçus par un client d'un fournisseur d'accès Internet au sein d'un réseau de télécommunication. Le procédé selon l'invention vise notamment à détecter les virus et les spams contenus dans de tels flux de messagerie. Un virus est un petit programme informatique capable d'infecter un ordinateur par exemple en modifiant l'un de ses programmes informatiques. Les virus sont fréquemment transmis par l'intermédiaire de courriers électroniques. Un spam est un courrier électronique transmis au sein d'un flux de messagerie de manière intentionnelle ou non en grand nombre à l'attention de destinataires ne les ayant pas sollicités. Les méthodes utilisées pour transmettre des spams deviennent de plus en plus poussées. Parmi ces méthodes, on connaît celles qui consistent à transmettre via un courrier électronique un virus ou un ver, qui une fois acheminé sur le terminal du client destinataire installe ce que l'on appelle une porte dérobée. A partir de cette porte dérobée, des spams sont transférés sur commande à des adresses électroniques par exemple comprises dans le carnet d'adresse de la messagerie de ce client destinataire ou connues du virus par ailleurs.
Le phénomène d'envoi intensif de virus et de spams s 'accroissant, des solutions juridiques ont été adoptées pour les combattre et les émetteurs de virus et de spams font par ailleurs de plus en plus souvent l'objet de poursuites judiciaires. Cependant, ce type de solution ne résout pas vraiment le problème de l'envoi de courriers électroniques de type spam, notamment du fait que ces spams sont souvent envoyés par des clients qui ne savent pas que des portes dérobées ont été installées sur leurs terminaux.
De plus, les protocoles utilisés pour l'envoi des courriers électroniques, tel que par exemple le protocole SMTP (Simple Mail Transfert Protocol) ou le protocole ESMTP (Extended Simple Mail Transfert Protocol), n'effectuent aucun contrôle des courriers électroniques émis. La diffusion de spams n'est donc pas aujourd'hui contrôlée lors de l'émission.
Enfin, le protocole SMTP autorisant la modification des informations nécessaires à l'envoi des courriers électroniques, il est souvent difficile de combattre ces envois illicites car il est difficile d'en déterminer l'auteur réel, l'émetteur du courrier électronique usurpant généralement l'identité d'autres clients.
Des solutions logicielles ont par ailleurs été développées. Une première solution logicielle s'installe sur des serveurs de messagerie. Cette solution logicielle est prévue pour inspecter le courrier électronique après son émission et avant sa réception par son destinataire.
Une seconde solution logicielle installée sur les terminaux clients est prévue pour inspecter le courrier électronique au moment de sa réception par les terminaux.
Ces solutions n'empêchent cependant pas les virus et spams d'emprunter les voies de communication établies entre l'émetteur et le serveur SMTP et ainsi de consommer des ressources importantes du fournisseur d'accès Internet utilisé.
En outre, ces solutions ne sont pas totalement efficaces dans la distinction des courriers électroniques puisqu'elles ne permettent pas de regrouper les clients émetteur ou récepteur de ces courriers électroniques entre eux en populations de comportements homogènes vis-à-vis des spams ou des virus. Les fournisseurs d'accès Internet rencontrent donc des difficultés à appliquer des traitements cohérents et efficaces sur les courriers électroniques infectés.
De plus, les solutions logicielles existantes ne permettent pas toujours la détection de virus ou de spams en réception de courriers électroniques, par exemple lorsque le fournisseur de messagerie choisi par le client est indépendant du fournisseur d'accès Internet choisi par le client. En effet, lorsqu'un courrier électronique est reçu via le fournisseur de messagerie, la plate-forme de messagerie du fournisseur d'accès Internet n'en a pas systématiquement connaissance. De même, les solutions logicielles existantes ne permettent pas la détection de virus ou de spams en émission de courrier électronique, par exemple lorsque le client dispose de son propre serveur de messagerie. En effet, lorsqu'un courrier électronique est transmis du client à un destinataire, le courrier électronique ne passe pas systématiquement par le fournisseur d'accès Internet, qui n'en a donc pas connaissance.
Le but de l'invention est donc de proposer un procédé de surveillance d'un flux de messagerie et de détection de virus et de spams n'ayant pas les inconvénients des solutions précédemment citées et tentant de pallier aux inconvénients inhérents aux protocoles de messagerie utilisés.
A cet effet, la présente invention concerne un procédé de surveillance de flux de messagerie émis par un client d'un fournisseur d'accès Internet vers un serveur de messagerie destinataire et/ou reçus par ledit client depuis son serveur de messagerie au sein d'un réseau de télécommunication. Selon l'invention, le procédé consiste à inspecter en temps réel lesdits flux de messagerie entre ledit client et le serveur de messagerie destinataire en émission et entre le client et son serveur de messagerie en réception.
Selon un mode de mise en œuvre avantageux de l'invention, le procédé comprend : - une étape de détermination de la catégorie à laquelle appartient ledit client ;
- une étape d'analyse d'un paquet dudit flux de messagerie afin de mettre en évidence des indices de virus et de spams ;
- une étape d'interrogation prévue pour déterminer, à l'aide des indices mis en évidence au cours de l'étape d'analyse, si le paquet analysé contient au moins un virus ou appartient à un flux de messagerie de type spam ;
- une étape de traitement du flux de messagerie en fonction du résultat de l'étape d'interrogation et de la catégorie dudit client.
De manière avantageuse, préalablement à l'étape de détermination, le procédé comprend une étape d'identification du client.
Selon un mode de mise en œuvre particulier de l'invention, les étapes d'interrogation sont suivies d'une étape de modification du profil du client. Selon un autre mode de mise en oeuvre particulier de l'invention, le procédé comprend une étape de comparaison du profil à un seuil prédéterminé prévue pour permettre une modification de catégorie du client lorsque le profil dudit client dépasse ce seuil prédéterminé et inversement.
Selon un autre mode de mise en œuvre particulier de l'invention, le procédé comporte une étape de mise à la disposition de données audit fournisseur d'accès Internet après exécution des étapes d'analyse, de traitement et de modification du profil.
Selon un autre mode de mise en œuvre particulier de l'invention, le procédé comporte une étape de notification dudit fournisseur d'accès Internet après chaque détection de virus et/ou de spam.
Selon un mode de mise en œuvre original de l'invention, le procédé consiste à transmettre ledit flux de messagerie même si un virus ou un spam à été détecté, lorsque la catégorie du client l'impose.
Selon un autre mode de mise en œuvre original de l'invention, le procédé consiste à interrompre ledit flux de messagerie lorsque la catégorie du client l'impose sans exécuter l'étape d'analyse.
Selon un autre mode de mise en œuvre original de l'invention, le procédé consiste à transmettre ledit flux de messagerie lorsque la catégorie du client l'impose sans exécuter l'étape d'analyse. Selon un autre mode de mise en œuvre original de l'invention, le procédé consiste à surveiller des courriers électroniques contenus dans lesdits flux de messagerie.
L'invention concerne également un système de surveillance de flux de messagerie émis par un client d'une fournisseur d'accès internet vers un serveur de messagerie destinataire et/ou reçus par ledit client depuis son serveur de messagerie au sein d'un réseau de télécommunication, caractérisé en ce qu'il comprend des moyens pour inspecter en temps réel lesdits flux de messagerie entre ledit client et le serveur
de messagerie destinataire en émission et entre le client et son serveur de messagerie en réception.
Selon un mode de réalisation avantageux de l'invention, le système comprend :
- des moyens de détermination de la catégorie à laquelle appartient ledit client ; - des moyens d'analyse d'un paquet dudit flux de messagerie prévus pour mettre en évidence des indices de virus et de spams ;
- des moyens d'interrogation prévus pour déterminer, à l'aide des indices mis en évidence au cours de l'étape d'analyse, si le paquet analysé contient au moins un virus ou appartient à un flux de messagerie de type spam. - des moyens de traitement du flux de messagerie en fonction du résultat de l'étape d'interrogation et de la catégorie dudit client.
Avantageusement, le système comprend des moyens d'identification du client. Selon un mode de réalisation particulier de l'invention, le système comprend des moyens de modification du profil du client. Selon un autre mode de réalisation particulier de l'invention, le système comprend des moyens de comparaison du profil à un seuil prédéterminé prévus pour permettre une modification de catégorie du client lorsque le profil dudit client dépasse ce seuil prédéterminé et inversement.
Selon un autre mode de réalisation particulier de l'invention, le système comporte des moyens de mise à disposition de données audit fournisseur d'accès Internet de détections de virus et/ou de spam.
Selon un autre mode de réalisation particulier de l'invention, le système comporte des moyens de notification dudit fournisseur d'accès Internet de détections de virus et/ou de spam. Selon un mode de réalisation original de l'invention, le système comprend des moyens pour transmettre ledit flux de messagerie même si un virus" ou un spam à été détecté, lorsque la catégorie du client l'impose.
L'invention concerne également une sonde de surveillance de flux de messagerie émis par un client vers un serveur de messagerie destinataire et/ou reçus par ledit client depuis son serveur de messagerie au sein d'un réseau de télécommunication. Selon l'invention, la sonde comporte des moyens permettant de mettre en œuvre certaines des étapes du procédé décrit ci-dessus.
Selon un mode de réalisation avantageux de l'invention, la sonde comporte des moyens de détermination d'une catégorie client, des moyens de modification du profil client, des moyens de notification du fournisseur d'accès Internet du client et des moyens de traitement du flux de messagerie. Les caractéristiques de l'invention mentionnées ci-dessus, ainsi que d'autres, apparaîtront plus clairement à la lecture de la description suivante d'un exemple de réalisation, ladite description étant faite en relation avec les dessins joints, parmi lesquels :
- la Fig. 1 est un algorithme du procédé de surveillance de flux de messagerie selon 1 ' invention ;
- la Fig. 2 est une représentation schématique d'un premier mode de réalisation du système de surveillance selon l'invention ; et
- la Fig. 3 est une représentation schématique d'un second mode de réalisation du système de surveillance selon l'invention. Le procédé selon l'invention est prévu pour limiter le nombre de flux de messagerie de type spam ou comprenant des virus circulant dans un réseau de télécommunication. Le procédé permet en outre d'informer un fournisseur d'accès Internet déterminé des spams et virus émis et/ou reçus par ses clients.
Le procédé selon l'invention s'applique à tout protocole de messagerie prévu pour mettre en œuvre une session TCP (Transmission Control Protocol). Selon l'invention, les protocoles utilisés pour l'émission de flux de messagerie sont de préférence le protocole SMTP et le protocole ESMTP et le protocole utilisé pour la réception de flux de messagerie est le protocole POP3 (Post Office Protocol) ou IMAP4 (Internet Message Access Protocol). On notera que dans la suite du présent exposé on parlera de flux de messagerie plutôt que de courrier électronique, les informations émises et reçues par un client d'un fournisseur d'accès Internet n'étant pas limitées aux seuls courriers électroniques. En effet, un courrier électronique comporte un en-tête et dans une partie appelée corps de message, l'information proprement dite que le client du fournisseur d'accès souhaite envoyer. Ce courrier électronique est accompagné au sein d'un flux de messagerie de commandes protocolaires permettant par exemple de spécifier l'origine et la destination du courrier électronique, ainsi que de réponses protocolaires
permettant par exemple de préciser si une commande protocolaire est refusée ou acceptée et la raison associée.
Selon le procédé de l'invention, l'émission de flux de messagerie se fait à l'initiative du client qui établit une session TCP, soit vers un serveur SMTP relais qui peut être celui de son fournisseur d'accès Internet qui sert de relais, soit vers le serveur SMTP du destinataire du flux de messagerie. De même, la réception d'un flux de messagerie se fait à l'initiative du récepteur qui établit une session TCP vers le serveur POP ou IMAP de son fournisseur de messagerie.
Le procédé selon l'invention intervient en temps réel suite à chaque initialisation d'une session TCP à l'initiative du récepteur ou de l'émetteur qui peut être, soit un client du fournisseur d'accès Internet, soit un serveur SMTP relais. Le procédé est décrit en relation avec la Fig. 1.
Au cours d'une première étape de détection ElOO, la session qui vient d'être initialisée est détectée. Suite à cette étape, une étape d'identification ElOl est mise en œuvre. Au cours de cette étape d'identification, le client à l'origine de la session détectée est reconnu.
Au cours d'une étape de détermination El 02, la catégorie à laquelle appartient le client précédemment identifié est déterminée. Cette catégorie est prédéfinie par le fournisseur d'accès Internet du client. Une telle catégorie peut par exemple être intitulée « VIP » ou « liste noire », la catégorie « VIP » correspondant à des clients jugés importants et la catégorie « liste noire » correspondant à des clients jugés nuisibles du point de vue des virus et des spams. Cette catégorie a des conséquences sur le déroulement des étapes qui vont suivre et notamment des étapes d'analyse et de traitement qui seront décrites ci-après. On notera que le procédé selon l'invention prévoit, pour certaines catégories de clients, comme par exemple les clients de la catégorie « VIP », de transférer directement le flux de messagerie détecté sans rechercher les virus et les spams et pour certaines autres catégories de clients, comme par exemple les clients de la catégorie « liste noire », d'interrompre directement le flux de messagerie détecté sans rechercher les virus et les spams (Voir flèches en pointillés).
Pour chaque client connu d'un fournisseur d'accès Internet sont également prévus des profils clients. Ces profils client définissent un comportement du client en
relation avec les virus et les spams. Par exemple, un client pourra être émetteur assidu de spams, que cette émission soit intentionnelle ou non. Le profil client pourra être déterminé en même temps que la catégorie à laquelle appartient le client. Ce profil est mis à jour lors de chaque session et est mémorisé pour être utilisé lors de sessions ultérieures et consulté par le fournisseur d'accès Internet du client à qui correspond ce profil. Les informations contenues dans ces profils sont par exemple la présence ou l'absence d'éléments révélateurs de virus ou de spams dans les flux de messagerie inspectés, le nombre de ces éléments détectés, le nom des virus associés aux éléments détectés, le nombre de courriers électroniques émis contenant de tels éléments, etc. Au cours d'une seconde étape de détection El 03, le flux de messagerie transmis dans la session en cours est détecté.
Au cours d'une étape d'analyse El 04, la présence d'éléments révélateurs de virus et de spams est recherchée. Pour cela, des paquets disposés à la suite les uns des autres et formant ainsi le flux de messagerie détecté, sont analysés un par un à l'aide de plusieurs techniques d'analyse. Le choix des techniques d'analyse utilisées est déterminé par la catégorie du client à l'origine du flux de messagerie analysé.
De telles méthodes d'analyse peuvent par exemple consister en l'analyse des champs d'entêté d'un courrier électronique, l'analyse de mots clés significatifs d'un courrier électronique de type spam, l'analyse de chaînes de caractère ou de suites d'octets correspondant à un virus, l'analyse du format de pièce jointe à un courrier électronique, etc.
Ainsi, une technique utilisée dans l'analyse de virus est la recherche de signatures de virus. L'analyse de spams est différente. Elle consiste à rechercher des indices de spams. En fonction de l'indice recherché, la présence ou la répétition de cet indice est recherchée et concourt à dire que le flux de messagerie dans lequel il se trouve est un spam. De tels indices de spam peuvent par exemple être des chaînes de caractères malformés, ou des chaînes de caractères comprenant un mélange de chiffres et de lettres, un flux de messagerie à destination de plus de 100 destinataires, etc.
Au cours d'une étape d'interrogation E105, le bilan des analyses effectuées sur le paquet du flux de messagerie est effectué. Ce bilan consiste à définir si d'après ces analyses le paquet analysé contient un virus ou appartient à un flux de messagerie de type spam. Si le résultat de l'étape d'interrogation El 05 permet de dire que le paquet
analysé ne contient pas de virus ou n'appartient pas à un flux de messagerie de type spam alors l'étape suivante est l'étape El I l.
Au cours de cette étape El 11, on vérifie que le paquet analysé est un paquet de fin de flux de messagerie. Si le paquet analysé n'est pas le dernier du flux de messagerie, l'étape suivante est à nouveau l'étape d'analyse de paquet E104. Si le paquet analysé clôt le flux de messagerie, alors l'étape El I l est suivie d'une étape
El 12 de modification de profil. Au cours de cette étape de modification de profil
El 12, le profil du client est modifié de manière à faire apparaître l'absence de virus ou de spam dans le flux de messagerie transmis. Cette modification consiste par exemple à insérer une information représentative de l'absence de virus ou encore à modifier des statistiques.
Au cours d'une étape de transmission El 13, le flux de messagerie est ensuite transmis à son destinataire sans subir de modification de son contenu.
Au cours d'une étape consécutive d'interrogation El 14, on vérifie que la session en cours est terminée. Si la session en cours n'est pas terminée alors l'algorithme reprend à l'étape de détection d'un flux de messagerie El 03. Sinon, le procédé se termine.
Par contre, si un virus est mis en évidence dans le paquet analysé ou si le flux de messagerie dont le paquet a été analysé est considéré comme un spam alors l'étape suivante est une étape de modification de profil El 06.
Au cours de l'étape de modification de profil El 06, le profil du client émetteur du flux de messagerie est modifié de manière à faire apparaître la présence du virus ou du spam mis en évidence.
Au cours d'une étape de comparaison El 07, le profil du client est comparé à un seuil. Ce seuil est défini par le fournisseur d'accès Internet et correspond à un profil au-delà duquel la catégorie du client est modifiée. Ainsi, si le profil nouvellement mis à jour au cours de l'étape El 06 est une valeur qui dépasse une valeur prédéfinie représentant ce seuil, la catégorie du client est modifiée au cours d'une étape El 08.
Au cours d'une étape de décision E109, le traitement du flux de messagerie est déterminé. Cette étape est exécutée consécutivement à l'une des étapes E107 ou E108.
Ainsi, si la catégorie du client est telle qu'aucun transfert n'est possible, le flux de messagerie est interrompu (Etape EI lO). Sinon, si la catégorie du client l'autorise,
un transfert du flux de messagerie est effectué (Etape El 13). Ce transfert peut s'effectuer de manière classique, ou par exemple avec ralentissement de la vitesse de transmission, ou encore avec modification du flux de messagerie pour un traitement ultérieur. Suite à cette étape El 13, les données issues de l'analyse des paquets du flux de messagerie, les modifications de profil et les traitements effectués sur le flux de messagerie sont mis à la disposition du fournisseur d'accès du client. En outre, notification peut être faite au fournisseur d'accès Internet du client émetteur du flux de messagerie de la présence de virus dans le flux de messagerie analysé par le procédé selon l'invention. Un courrier électronique d'avertissement peut en outre être transmis au client afin de l'avertir de l'infection de son flux de messagerie par un virus ou un spam et, par exemple, lui proposer des solutions pour se décontaminer.
L'étape suivante est alors l'étape El 14 au cours de laquelle on vérifie que la session en cours est terminée. Si la session en cours n'est pas terminée alors l'algorithme reprend à l'étape de détection d'un flux de messagerie E103. Sinon, le procédé se termine.
Le procédé précédemment décrit peut être implémenté au sein d'un système dont deux modes de réalisation sont décrits ci-après en relation avec respectivement les Figs. 2 et 3. Un premier mode de réalisation du système selon l'invention est représenté à la
Fig. 2. Sur cette Fig. 2, le système est mis en oeuvre en émission de flux de messagerie. On comprendra cependant qu'un tel système peut aussi bien être mis en œuvre en réception de flux de messagerie.
Dans ce mode de réalisation, des clients 10 envoient et reçoivent des flux de messagerie par l'intermédiaire de fournisseurs d'accès Internet 70 et de fournisseurs de messagerie 80 appartenant à des fournisseurs d'accès Internet ou distincts de ceux- ci.
Un modem 20, un répartiteur réseau DSLAM (Digital Subscriber Line Access Multiplexer) 30 fonctionnant à l'aide d'un protocole ATM (Asynchronous Transmission Mode) et un routeur BAS 60 (Broadband Access Server) relient chaque client 10 à son fournisseur de messagerie 80 directement ou par l'intermédiaire d'un
fournisseur d'accès Internet 70. Le client 10 peut également être directement relié au fournisseur de messagerie 90 du destinataire du flux de messagerie.
Une architecture de surveillance à deux niveaux est disposée entre les clients 10 et leurs fournisseurs d'accès Internet respectifs 70 ou leurs fournisseurs de messagerie 80 ou les fournisseurs de messagerie 90 des destinataires.
Un premier niveau d'architecture est illustré par des dispositifs de premier niveau 40. Chacun des dispositifs de premier niveau d'architecture 40 est de préférence une sonde utilisée comme moyen pour détecter les paramètres du flux de messagerie détecté et notamment pour déterminer la catégorie du client émetteur du flux de messagerie détecté.
Le dispositif de premier niveau 40 peut indifféremment être placé dans le modem 20, entre le modem 20 et le répartiteur réseau DSLAM 30, dans le répartiteur réseau DSLAM 30, en sortie du répartiteur DSLAM 30, dans le routeur BAS 60 ou en sortie du routeur BAS 60. Le second niveau d'architecture est illustré par un dispositif de second niveau
50. Ce dispositif de second niveau 50 est un moyen de traitement prévu pour réaliser les étapes du procédé à l'exception des étapes déjà réalisées par le dispositif de premier niveau 40. Ce dispositif de second niveau 50 est relié au dispositif de premier niveau 40. Dans l'exemple représenté chaque flux de messagerie émis par un terminal client 10 est acheminé vers un dispositif de premier niveau d'architecture 40 qui détermine la catégorie du client émetteur du flux de messagerie détecté et si cette catégorie le permet transfère le flux de messagerie au dispositif de second niveau d'architecture 50. Dans le cas contraire, le dispositif de premier niveau d'architecture 40 transfère directement le flux de messagerie.
On notera que le dispositif de premier niveau d'architecture 40 pourrait réaliser d'autres étapes du procédé et notamment l'étape d'analyse.
Un second mode de réalisation du système selon l'invention est décrit en relation avec la Fig. 3. Le système qui est représenté est installé en émission et réception du trafic de flux de messagerie SMTP.
Dans ce mode de réalisation, un serveur de messagerie clients 10 est relié à un serveur de messagerie destinataire 100 par l'intermédiaire d'un routeur CE (Client
Edge) client 20 et d'un routeur PE (Provider Edge) 30 du fournisseur d'accès Internet du client.
Selon l'invention, un dispositif de traitement 40 est relié au routeur PE 30 du fournisseur d'accès Internet du client. Ce dispositif de traitement 40 est prévu pour réaliser l'ensemble des étapes du procédé selon l'invention.
Le routeur PE 30 redirige l'ensemble des flux de messagerie vers le dispositif de traitement 40 qui exécute l'algorithme de la Fig. 1. Au cours de l'exécution de l'algorithme, le dispositif de traitement 40 redirige les paquets analysés vers le serveur de messagerie destinataire 100. On notera que le dispositif de traitement 40 pourrait être relié au routeur client CE 20 à la place du routeur PE 30.
Dans ce second mode de réalisation, seul le trafic SMTP est dévié vers l'unique dispositif de traitement 40. Avantageusement, ce dispositif de traitement 40 est donc un unique dispositif ne nécessitant pas de posséder une puissance importante.