FR3057122B1

FR3057122B1 - METHOD AND DEVICE FOR DETECTING INTRUSIONS ON A NETWORK USING A HOMOMORPHIC ENCRYPTION ALGORITHM

Info

Publication number: FR3057122B1
Application number: FR1659537A
Authority: FR
Inventors: Sebastien Canard; Aida Diop; Nizar Kheir; Marie Paindavoine
Original assignee: Orange SA
Current assignee: Orange SA
Priority date: 2016-10-03
Filing date: 2016-10-03
Publication date: 2019-08-16
Anticipated expiration: 2036-10-03
Also published as: WO2018065707A1; FR3057122A1

Abstract

Le procédé de détection d'intrusions comprend : - la réception depuis un dispositif de sécurité (RG 6) ayant accès à au moins une règle de détection d'intrusions comprenant au moins une expression régulière établie à partir d'au moins une signature, d'au moins une fonction décrivant l'expression pouvant être évaluée au moyen d'une fonction d'évaluation homomorphe d'un algorithme de chiffrement homomorphe, et d'un chiffré de chaque signature par une procédure de chiffrement de l'algorithme homomorphe et une clé publique du dispositif de sécurité ; - la réception depuis un émetteur (TX 2) d'un chiffré T d'un contenu dérivé d'un message obtenu par chiffrement symétrique au moyen d'une clé secrète ; - l'obtention d'un chiffré T' du chiffré T et d'un chiffré S de la clé secrète correspondant à la procédure de chiffrement de l'algorithme homomorphe et la clé publique du dispositif de sécurité ; - l'évaluation d'un déchiffrement symétrique sur le chiffré T' par la fonction d'évaluation homomorphe avec le chiffré S, fournissant un chiffré V du message ; - l'évaluation de ladite au moins une fonction décrivant ladite au moins une expression régulière sur le chiffré V avec les chiffrés des signatures, fournissant un chiffré d'un résultat de détection ; et - la détection d'une intrusion si le résultat déchiffré indique l'existence d'une expression régulière correspondant au message.The intrusion detection method comprises: receiving from a security device (RG 6) having access to at least one intrusion detection rule comprising at least one regular expression established from at least one signature, at least one function describing the expression that can be evaluated by means of a homomorphic evaluation function of a homomorphic encryption algorithm, and an encryption of each signature by an encryption procedure of the homomorphic algorithm and a public key of the security device; - Receiving from a transmitter (TX 2) a T encrypted content derived from a message obtained by symmetric encryption by means of a secret key; obtaining an encryption T 'of the encryption T and an encryption S of the secret key corresponding to the encryption procedure of the homomorphic algorithm and the public key of the security device; the evaluation of a symmetric decryption on the encrypted T 'by the homomorphic evaluation function with the encrypted S, providing an encrypted V of the message; evaluating said at least one function describing said at least one regular expression on the encrypted V with the encrypted signatures, providing an encryption of a detection result; and the detection of an intrusion if the decrypted result indicates the existence of a regular expression corresponding to the message.

Description

Arrière-plan de l'invention L'invention se rapporte au domaine général des télécommunications.BACKGROUND OF THE INVENTION The invention relates to the general field of telecommunications.

Elle concerne plus particulièrement la détection d'intrusions sur un réseau detélécommunications via lequel un dispositif émetteur et un dispositif récepteur s'échangent dutrafic chiffré.It relates more particularly to the detection of intrusions on a telecommunications network via which a sending device and a receiving device exchange dutrafic encrypted.

De façon connue, les protocoles SSL (Secure Sockets Layer), et plus récemment TLS(Transport Layer Security), sont des protocoles de sécurisation couramment utilisés sur les réseauxcomme par exemple sur le réseau public Internet par le protocole HTTPS (HyperText TransferProtocol Secure) pour assurer la confidentialité des échanges. Ces protocoles permettent deprotéger toute donnée sensible partagée par divers dispositifs sur le réseau, en chiffrant leséchanges entre ces dispositifs. Malheureusement ce chiffrement rend impuissantes les techniquesexistantes de détection d'intrusions, qui sont incapables d'inspecter le trafic chiffré échangé sur leréseau.In a known manner, SSL (Secure Sockets Layer) protocols, and more recently Transport Layer Security (TLS), are security protocols commonly used on networks such as for example on the public Internet network by HTTPS (HyperText TransferProtocol Secure) for ensure the confidentiality of the exchanges. These protocols protect any sensitive data shared by various devices on the network, by encrypting the exchanges between these devices. Unfortunately, this encryption renders impossible the existing intrusion detection techniques, which are unable to inspect the encrypted traffic exchanged on the network.

En effet, les systèmes de détection et de protection contre les intrusions (aussicouramment désignés par IDS (Intrusion Détection Systems) et IPS (Intrusion ProtectionSystems)) sont classiquement configurés pour surveiller le trafic échangé sur le réseau et identifierdes signatures ou des comportements caractéristiques dans ce trafic associés à diverses menacessusceptibles d'affecter le réseau, telles que par exemple l'intrusion de logiciels malveillants oumalwares, la fuite de données sensibles, des attaques perpétrées contre le réseau, etc. A cet effet,ces systèmes mettent en œuvre une inspection des paquets en profondeur plus communémentdésignée par DPI (pour Deep Packet Inspection en anglais), qui consiste à analyser le contenu d'unpaquet réseau (ex. paquet IP) et non pas uniquement son entête, et à comparer ce contenu avecdes signatures (ou « patterns » ou encore mots-clés en anglais) caractéristiques de scénariid'attaques connus. Une telle comparaison peut être réalisée via des tests d'égalité simples ou enutilisant des expressions régulières plus complètes dérivées à partir de ces signatures. On parlealors de systèmes « full IDS ». Ces signatures ou mots-clés, et le cas échéant les expressionsrégulières, sont déterminé(e)s et fourni(e)s par des éditeurs de sécurité ou autres logiciels à codesource ouvert (i.e. « open source »), qui rivalisent entre eux pour proposer un catalogue designatures à jour couvrant le plus large éventail d'attaques possible sachant que de nouvellesattaques apparaissent chaque jour.Indeed, intrusion detection and protection systems (commonly referred to as Intrusion Detection Systems (IDS) and Intrusion ProtectionSystems (IPS)) are conventionally configured to monitor the traffic exchanged on the network and to identify signatures or characteristic behaviors in this network. traffic associated with various threats that may affect the network, such as for example the intrusion of malware or malware, the leakage of sensitive data, attacks on the network, etc. For this purpose, these systems implement an in-depth packet inspection more commonly referred to by DPI (for Deep Packet Inspection in English), which consists in analyzing the content of a network packet (eg IP packet) and not only its header. , and compare this content with signatures (or "patterns" or keywords in English) characteristics of scenarios known attacks. Such a comparison can be achieved by simple equality tests or by using more complete regular expressions derived from these signatures. We are talking about "full IDS" systems. These signatures or keywords, and where applicable the regular expressions, are determined and provided by security editors or other open source code software (ie "open source"), which compete with one another for offer an up-to-date design catalog covering the widest range of possible attacks knowing that new attacks are appearing every day.

Le point commun de ces systèmes IDS est qu'ils se basent sur l'analyse decommunications transmises en clair sur le réseau afin de pouvoir comparer le contenu de cescommunications aux signatures préétablies par les éditeurs de sécurité. L'utilisation sur le réseaude procédures de sécurisation telles que SSL ou TLS rend donc impossible l'utilisation en l'état deces systèmes, de sorte que les systèmes d'information qui s'appuient sur des échanges chiffrés surle réseau sont vulnérables à de nombreuses cyber-attaques.The common point of these IDS systems is that they are based on the analysis of communications transmitted in clear on the network in order to be able to compare the content of these communications with the signatures pre-established by the security editors. Using network security procedures such as SSL or TLS makes it impossible to use these systems as they are, so that information systems that rely on encrypted exchanges on the network are vulnerable to many problems. cyber attacks.

Pour contourner cette limitation, de nombreux éditeurs de sécurité proposent desapplications qui se comportent de façon non sécurisée en se positionnant en tant qu'« homme dumilieu » (ou man-in-the-middle en anglais) sur une connexion SSL/TLS reliant un dispositifémetteur à un dispositif récepteur, de sorte à intercepter les communications entre ces deuxdispositifs. Cette interception est mise en œuvre via l'utilisation de faux certificats de confiance quipermettent de casser le chiffrement de bout en bout utilisé entre les deux dispositifs et d'accéderau contenu en clair de leur échange.To get around this limitation, many security vendors offer applications that behave unsafe by positioning themselves as a "man-in-the-middle" on an SSL / TLS connection connecting a transmitter device to a receiving device, so as to intercept communications between these two devices. This interception is implemented via the use of false trust certificates that make it possible to break the end-to-end encryption used between the two devices and to access the clear content of their exchange.

Si une telle solution est satisfaisante du point de vue de la détection des intrusions,elle n'en pose pas moins des problèmes éthiques, juridiques et en termes de confidentialité et deprotection de la vie privée des utilisateurs, de sorte que plusieurs navigateurs web aujourd'huiembarquent des plug-ins qui permettent de détecter et de révoquer les faux certificats deconfiance utilisés par les systèmes IDS.While such a solution is satisfactory from the point of view of intrusion detection, it nevertheless raises ethical, legal and privacy issues for users, so that many web browsers today and ship plug-ins that detect and revoke false trust certificates used by IDS systems.

Il a ainsi été longtemps considéré qu'il n'était pas possible de satisfaire simultanémentaux deux conditions de sécurité du réseau en termes de surveillance et de détection d'intrusions,et de garantie de la vie privée des utilisateurs via le chiffrement de leurs communications. J. Sherry et al., dans le document intitulé « BlindBox : Deep Packet Inspection overEncrypted Traffic », SIGCOMM'15, 17-21 août 2015, proposent une technique d'inspection de traficchiffré utilisant des protocoles de chiffrement avancé. Cette technique permet de détecter desattaques perpétrées sur du trafic chiffré via un proxy IDS se trouvant en coupure du trafic (aussidésigné par « middlebox » en anglais). Elle s'appuie sur la fourniture en clair, par l'éditeur desécurité, des mots-clés à rechercher dans le trafic et le chiffrement par le proxy IDS de ces mots-clés en préliminaire de chaque connexion chiffrée (ex. à chaque connexion SSL) mise en œuvreentre un dispositif émetteur et un dispositif récepteur. Le proxy IDS compare alors via des testsd'égalité les mots-clés ainsi chiffrés avec le trafic échangé entre le dispositif émetteur et ledispositif récepteur. Si une concordance est détectée, le trafic est considéré comme suspect, etdifférentes actions peuvent dès lors être entreprises, comme par exemple l'envoi d'une notificationà l'administrateur du réseau, la suppression du paquet identifié comme suspect, l'arrêt de laconnexion entre le dispositif émetteur et le dispositif récepteur, etc. La solution BlindBox prévoitégalement un mode de réalisation dans lequel, lorsqu'un paquet suspect est identifié, ce paquetest déchiffré par le proxy IDS pour lui appliquer une procédure IDS classique. Il est alors possibleau proxy IDS lors de cette procédure de réaliser sur les données en clair de simples tests d'égalitéà partir des mots-clés mais également de rechercher dans les données en clair des expressionsrégulières plus complexes construites à partir des mots-clés.It has long been considered that it is not possible to satisfy simultaneously the two network security conditions in terms of intrusion monitoring and detection, and guaranteeing the privacy of users via the encryption of their communications. J. Sherry et al., In "BlindBox: Deep Packet Inspection overEncrypted Traffic," SIGCOMM'15, August 17-21, 2015, provide a technique for inspecting encrypted traffic using advanced encryption protocols. This technique is used to detect attacks on encrypted traffic via an IDS proxy that is cut off from traffic (also known as the middlebox). It relies on the clear delivery, by the security editor, keywords to look for traffic and encryption by proxy IDS of these keywords in preliminary of each encrypted connection (eg with each SSL connection ) implementing a transmitting device and a receiving device. The IDS proxy then compares via equalization tests the keywords thus encrypted with the traffic exchanged between the sending device and the receiving device. If a match is detected, the traffic is considered suspect, and different actions can then be taken, such as sending a notification to the network administrator, deleting the packet identified as suspicious, stopping the connection. between the transmitting device and the receiving device, etc. The BlindBox solution also provides an embodiment in which, when a suspicious packet is identified, this packet is decrypted by the IDS proxy to apply a conventional IDS procedure to it. It is then possible to use IDS proxy during this procedure to perform on the plain data simple tests of equality from the keywords but also to search in the clear data more complex regular expressions built from the keywords.

La solution BlindBox proposée par Sherry et al. présente toutefois divers inconvénientsmajeurs.The BlindBox solution proposed by Sherry et al. However, there are several major disadvantages.

En premier lieu, elle est incompatible avec les règles imposées aujourd'hui parl'écosystème auquel participent les éditeurs de sécurité et les systèmes IDS. En effet, commementionné précédemment, la solution BlindBox requiert que l'ensemble des mots-clés et des règles de détection (ex. combinaison de plusieurs mots-clés et/ou expressions régulières) proposés parl'éditeur de sécurité soit accessible en clair par le proxy IDS afin qu'il puisse les chiffrer, et doncplus généralement, par chaque proxy IDS présent dans le réseau. Si cette contrainte n'en est pasune du point de vue théorique, elle n'est pas du tout en phase avec les pratiques en la matière deséditeurs de sécurité, pour des raisons économiques évidentes, les bases de mots-clés et autresrègles de détection constituant la valeur ajoutée des éditeurs de sécurité. Par conséquent, bienque théoriquement envisageable, la solution proposée par Sherry et al. n'est pas applicable enpratique dans un réseau.In the first place, it is incompatible with the rules imposed today by the ecosystem in which security editors and IDS systems participate. Indeed, as previously mentioned, the BlindBox solution requires that all the keywords and detection rules (eg combination of several keywords and / or regular expressions) proposed by the security editor be accessible in clear by the user. proxy IDS so that it can encrypt them, and thus more generally, by each IDS proxy present in the network. Although this constraint is not a theoretical one, it is not at all in line with the practices of the security publishers, for obvious economic reasons, the basics of keywords and other rules of detection constituting the added value of security vendors. Therefore, although theoretically conceivable, the solution proposed by Sherry et al. is not applicable in practice in a network.

En outre, la solution BlindBox requiert que l'ensemble des mots-clés soit chiffré àchaque connexion entre un dispositif émetteur et un dispositif récepteur traitée par le proxy IDS(typiquement, à chaque connexion SSL/TLS). Le temps nécessaire à ce chiffrement peut êtreconsidérable puisqu'il est directement proportionnel au nombre de mots-clés à prendre en compte,qui peut facilement atteindre quelques centaines voire quelques milliers de mots-clés. De plus, lesmots-clés chiffrés pour chaque connexion doivent être stockés en mémoire durant toute la duréede la connexion. L'espace mémoire requis à cette fin doit donc être d'une part, proportionnel aunombre de mots-clés à considérer et d'autre part, au nombre de connexions simultanées pouvantêtre inspectées par le proxy IDS. On comprend bien dès lors que l'utilisation de la solution BlindBoxn'est envisageable que dans des conditions réseau limitées.In addition, the BlindBox solution requires that all keywords be encrypted at each connection between a sending device and a receiving device processed by the IDS proxy (typically, at each SSL / TLS connection). The time required for this encryption can be considerable since it is directly proportional to the number of keywords to be taken into account, which can easily reach a few hundred or even a few thousand keywords. In addition, the encrypted keywords for each connection must be stored in memory for the duration of the connection. The memory space required for this purpose must therefore be, on the one hand, proportional to the number of keywords to be considered and, on the other hand, to the number of simultaneous connections that can be inspected by the IDS proxy. It is therefore clear that the use of the BlindBox solution is possible only under limited network conditions.

Par ailleurs, l'approche retenue par BlindBox n'offre une solution « full IDS » qu'au prixd'un déchiffrement des données issues d'un paquet identifié comme suspect. Même si ledéchiffrement des données échangées entre le dispositif émetteur et le dispositif récepteur n'estpas systématique, ceci constitue néanmoins une atteinte à la confidentialité de leurs échanges.In addition, BlindBox's approach offers a "full IDS" solution only at the cost of decrypting data from a packet identified as suspicious. Even if the decryption of the data exchanged between the sending device and the receiving device is not systematic, this nevertheless constitutes an infringement of the confidentiality of their exchanges.

Objet et résumé de l'invention L'invention permet de remédier à ces inconvénients en proposant un procédé dedétection d'intrusions sur un réseau via lequel sont aptes à communiquer un dispositif émetteur etun dispositif récepteur en utilisant un algorithme de chiffrement/déchiffrement symétriqueparamétré par une clé de chiffrement secrète partagée entre le dispositif émetteur et le dispositifrécepteur, ce procédé de détection étant destiné à être mis en œuvre par un dispositif de détectiond'intrusions et comprenant : — une étape de réception, en provenance d'un dispositif de sécurité ayant accès à au moins unerègle de détection d'au moins une intrusion susceptible d'affecter le réseau, ladite au moinsune règle de détection comprenant une expression régulière établie à partir d'au moins unesignature caractéristique de ladite au moins une intrusion : o d'au moins une fonction décrivant ladite au moins une expression régulière et pouvantêtre évaluée au moyen d'une fonction d'évaluation homomorphe d'un algorithme dechiffrement homomorphe ; et o d'un chiffré de chaque signature caractéristique de ladite au moins une intrusion,obtenu en appliquant une procédure de chiffrement dudit algorithme de chiffrementhomomorphe paramétrée par une clé publique de chiffrement du dispositif desécurité ; — une étape de réception, en provenance du dispositif émetteur d'un chiffré T d'un contenudérivé d'un message destiné au dispositif récepteur, ce chiffré T ayant été obtenu en utilisantune procédure de chiffrement de l'algorithme de chiffrement/déchiffrement symétriqueparamétré par ladite clé de chiffrement secrète ; — une étape d'obtention d'un chiffré T' du chiffré T et d'un chiffré S de la clé de chiffrementsecrète, les chiffrés T' et S correspondant à l'application sur le chiffré T et sur la clé dechiffrement secrète de la procédure de chiffrement dudit algorithme de chiffrementhomomorphe paramétrée par la clé de chiffrement publique du dispositif de sécurité ; — une première étape d'évaluation d'une procédure de déchiffrement de l'algorithme dechiffrement/déchiffrement symétrique sur le chiffré T en utilisant ladite fonction d'évaluationhomomorphe dudit algorithme de chiffrement homomorphe et le chiffré S de la clé dechiffrement secrète, cette première étape d'évaluation fournissant un chiffré V dumessage destiné au dispositif récepteur par la procédure de chiffrement dudit algorithme dechiffrement homomorphe paramétrée par la clé publique de chiffrement du dispositif desécurité ; — une seconde étape d'évaluation de ladite au moins une fonction décrivant ladite au moins uneexpression régulière sur le chiffré V du message en utilisant les chiffrés des signatures, cetteseconde étape d'évaluation fournissant un chiffré d'un résultat de détection indiquantl'existence ou non d'une dite expression régulière correspondant au message ; et — une étape de détection d'une intrusion sur le réseau si le résultat de détection déchiffréindique qu'il existe au moins une dite expression régulière correspondant au message.OBJECT AND SUMMARY OF THE INVENTION The invention overcomes these drawbacks by proposing an intrusion detection method on a network via which are able to communicate a transmitting device and a receiving device by using a symmetric encryption / decryption algorithmparameterized by a secret encryption key shared between the transmitting device and the receiving device, said detection method being intended to be implemented by an intrusion detection device and comprising: a reception step, originating from a security device having access at least one rule for detecting at least one intrusion capable of affecting the network, said at least one detection rule comprising a regular expression established from at least one characteristic of said at least one intrusion: o of at least one a function describing said at least one regular expression and be assessed through a homomorphic evaluation function of deciphering homomorphic algorithm; and o an encryption of each characteristic signature of said at least one intrusion, obtained by applying an encryption procedure of said homomorphic encryption algorithm parameterized by a public encryption key of the security device; A reception step, originating from the device transmitting an encryption T of a content of a message intended for the receiving device, this encryption T having been obtained by using an encryption procedure of the symmetric encryption / decryption algorithmparameterized by said secret encryption key; A step of obtaining an encryption T 'of the encryption T and an encryption S of the secret encryption key, the encrypts T' and S corresponding to the application on the encryption T and on the secret decryption key of the encryption key encryption procedure of said homomorphic encryption algorithm parameterized by the public encryption key of the security device; A first step of evaluating a procedure for decrypting the symmetric decryption / decryption algorithm on the encrypted T using said homomorphic evaluation function of said homomorphic encryption algorithm and the encryption S of the secret decryption key, this first step evaluation method providing an encryption V message for the receiving device by the encryption procedure of said homomorphic decryption algorithm parameterized by the public key encryption device security; A second step of evaluating said at least one function describing said at least one regular expression on the encrypted message V using the encrypted signatures, said second evaluation step providing an encryption of a detection result indicating the existence or not of a said regular expression corresponding to the message; and a step of detecting an intrusion on the network if the decrypted detection result indicates that there exists at least one said regular expression corresponding to the message.

Corrélativement, l'invention vise aussi un dispositif de détection d'intrusions sur unréseau via lequel sont aptes à communiquer un dispositif émetteur et un dispositif récepteur enutilisant un algorithme de chiffrement/déchiffrement symétrique paramétré par une clé dechiffrement secrète partagée entre le dispositif émetteur et le dispositif récepteur, ledit dispositifde détection étant destiné à être localisé entre le dispositif émetteur et le dispositif récepteur etcomprenant : — un premier module de réception, apte à recevoir en provenance d'un dispositif de sécuritéayant accès à au moins une règle de détection d'au moins une intrusion susceptible d'affecterle réseau, ladite au moins une règle de détection comprenant une expression régulière établieà partir d'au moins une signature caractéristique de ladite au moins une intrusion : o au moins une fonction décrivant ladite au moins une expression régulière et pouvantêtre évaluée au moyen d'une fonction d'évaluation homomorphe d'un algorithme dechiffrement homomorphe ; et o un chiffré de chaque signature caractéristique de ladite au moins une intrusion, obtenuen appliquant une procédure de chiffrement dudit algorithme de chiffrementhomomorphe paramétrée par une clé publique de chiffrement du dispositif desécurité ; — un second module de réception, apte à recevoir en provenance du dispositif émetteur unchiffré T d'un contenu dérivé d'un message destiné au dispositif récepteur, ce chiffré T ayantété obtenu en utilisant une procédure de chiffrement de l'algorithme dechiffrement/déchiffrement symétrique paramétré par ladite clé de chiffrement secrète ; — un module d'obtention d'un chiffré T' du chiffré T et d'un chiffré S de la clé de chiffrementsecrète, les chiffrés T' et S correspondant à l'application sur le chiffré T et sur la clé dechiffrement secrète de la procédure de chiffrement dudit algorithme de chiffrementhomomorphe paramétrée par la clé de chiffrement publique du dispositif de sécurité ; — un premier module d'évaluation d'une procédure de déchiffrement de l'algorithme dechiffrement/déchiffrement symétrique sur le chiffré T configuré pour utiliser ladite fonctiond'évaluation homomorphe dudit algorithme de chiffrement homomorphe et le chiffré S de la cléde chiffrement secrète, ce premier module d'évaluation étant en outre configuré pour fournirun chiffré V du message destiné au dispositif récepteur par la procédure de chiffrement duditalgorithme de chiffrement homomorphe paramétrée par la clé publique de chiffrement dudispositif de sécurité ; — un second module d'évaluation configuré pour évaluer ladite au moins une fonction décrivantladite au moins une expression régulière sur le chiffré V du message en utilisant les chiffrésdes signatures, ce second module d'évaluation étant en outre configuré pour fournir un chiffréd'un résultat de détection indiquant l'existence ou non d'une dite expression régulièrecorrespondant au message ; et — un module de détection d'une intrusion sur le réseau activé si le résultat de détection déchiffréindique qu'il existe au moins une dite expression régulière correspondant au message.Correlatively, the invention also relates to an intrusion detection device on a network via which are able to communicate a transmitting device and a receiving device using a symmetric encryption / decryption algorithm parameterized by a secret decryption key shared between the transmitting device and the device. receiving device, said detection device being intended to be located between the transmitting device and the receiving device andcomprising: a first receiving module, able to receive from a security device having access to at least one detection rule from least an intrusion capable of affecting the network, said at least one detection rule comprising a regular expression established from at least one characteristic signature of said at least one intrusion: at least one function describing said at least one regular expression and which can be evaluated by means a homomorphic evaluation function of a homomorphic decryption algorithm; and o an encryption of each characteristic signature of said at least one intrusion, obtained by applying an encryption procedure of said homomorphic encryption algorithm parameterized by a public encryption key of the security device; A second reception module, able to receive from the transmitting device a coded T of a content derived from a message intended for the receiving device, this encryption T having been obtained by using an encryption procedure of the symmetric decryption / decryption algorithm; set by said secret encryption key; A module for obtaining an encryption T 'of the encryption T and an encryption S of the secret encryption key, the encrypts T' and S corresponding to the application on the encryption T and on the secret encryption key of the encryption procedure of said homomorphic encryption algorithm parameterized by the public encryption key of the security device; A first evaluation module of a procedure for decrypting the symmetric decryption / decryption algorithm on the encrypted T configured to use said homomorphic evaluation function of said homomorphic encryption algorithm and the encryption S of the secret encryption key, this first an evaluation module being further configured to provide an encrypted V of the message intended for the receiving device by the encryption procedure of the homomorphic encryption algorithm parameterized by the public encryption key of the security appliance; A second evaluation module configured to evaluate said at least one function describing itadds at least one regular expression on the encrypted V of the message by using the encrypted signatures, this second evaluation module being furthermore configured to provide a result encrypted detecting whether or not a said regular expression corresponding to the message exists; and an intrusion detection module on the activated network if the decrypted detection result indicates that there exists at least one said regular expression corresponding to the message.

On note qu'aucune limitation n'est attachée à la façon dont une intrusion détectée parle dispositif de détection d'intrusions est traitée. La détection d'une telle intrusion peut ainsi parexemple faire uniquement l'objet d'une notification envoyée par le dispositif de détectiond'intrusions à l'administrateur du réseau, ou déclencher une action corrective, comme par exemplele rejet du message examiné, l'interruption de la connexion entre le dispositif émetteur et ledispositif récepteur, etc. L'invention propose ainsi une nouvelle approche permettant le chiffrement d'unecommunication entre un dispositif émetteur et un dispositif récepteur tout en gardant possible unedétection d'intrusions sur le réseau de type DPI (i.e. Deep Packet Inspection ou inspection despaquets en profondeur) par un dispositif intermédiaire ou « middlebox » se trouvant entre ledispositif émetteur et le dispositif récepteur (dispositif de détection d'intrusions au sens de l'invention). Autrement dit, l'invention offre la possibilité d'assurer la sécurité du réseau tout engarantissant aux utilisateurs de ce réseau le respect de la confidentialité de leurs échanges.Note that there is no limitation on how an intrusion detected by the intrusion detection device is processed. The detection of such an intrusion can thus, for example, only be the subject of a notification sent by the intrusion detection device to the network administrator, or trigger a corrective action, such as for example the rejection of the message examined. interruption of the connection between the transmitting device and the receiving device, etc. The invention thus proposes a new approach allowing the encryption of a communication between a transmitting device and a receiving device while keeping a detection of intrusions on the DPI type network (ie Deep Packet Inspection or inspection of the packages in depth) by a device intermediate or "middlebox" between the transmitter device and the receiving device (intrusion detection device within the meaning of the invention). In other words, the invention offers the possibility of ensuring the security of the network while giving the users of this network respect for the confidentiality of their exchanges.

Cette approche s'appuie sur l'utilisation d'un algorithme de chiffrement homomorphequi vient en complément de l'algorithme de chiffrement/déchiffrement symétrique utilisé entre ledispositif émetteur et le dispositif récepteur (ex. algorithme de chiffrement symétrique utilisé lorsde connexions SSL/TLS). L'algorithme de chiffrement homomorphe permet avantageusement derechercher des expressions régulières directement dans le trafic chiffré échangé entre le dispositifémetteur et le dispositif récepteur, ces expressions régulières étant dérivées à partir de signatures(ou de mots-clés) caractéristiques d'intrusions et définies par un éditeur de sécurité (dispositif desécurité au sens de l'invention). Le schéma de détection d'intrusions proposé par l'invention estdonc « full IDS » et très efficace. Il ne requiert aucun déchiffrement pour cela, même partiel, desdonnées échangées entre le dispositif émetteur et le dispositif récepteur, contrairement à lasolution BlindBox.This approach is based on the use of a homomorphic encryption algorithm that complements the symmetric encryption / decryption algorithm used between the sending device and the receiving device (eg symmetric encryption algorithm used during SSL / TLS connections). . The homomorphic encryption algorithm advantageously makes it possible to look for regular expressions directly in the encrypted traffic exchanged between the sending device and the receiving device, these regular expressions being derived from signatures (or keywords) characteristic of intrusions and defined by a security editor (security device within the meaning of the invention). The intrusion detection scheme proposed by the invention is therefore "full IDS" and very effective. It requires no decryption for that, even partial, of the data exchanged between the sending device and the receiving device, unlike the BlindBox solution.

En effet, un algorithme de chiffrement homomorphe est classiquement défini par unalgorithme de génération de clés cryptographiques, une procédure de chiffrement notée ici ENC etune procédure de déchiffrement notée ici DEC, ainsi que par une fonction d'évaluationhomomorphe, notée ici HOM. Cette fonction d'évaluation homomorphe HOM prend en entrée unepluralité de chiffrés cl,c2,...,cN, N désignant un entier supérieur à 1, obtenus au moyen de laprocédure de chiffrement ENC ainsi qu'une fonction f qui se présente sous une forme qui peut êtreévaluée par la fonction d'évaluation homomorphe, par exemple sous la forme d'un circuitarithmétique. La fonction HOM délivre alors en sortie le résultat de l'application de la fonction f surles chiffrés cl,c2,...,cN (on dit alors que la fonction d'évaluation homomorphe HOM « évalue » lafonction f sur les chiffrés cl,c2,...,cN). Par abus de notation, on note que la fonction d'évaluationhomomorphe HOM vérifie la relation suivante : HOM(cl, ...,cN;f') = /(cl, ...,cN) = ENC(f(ml, ...,ι·ηΝ~),ρ1<) où ci=ENC(mi) pour i=l,...,N, mi désignant un message qui, une fois chiffré par la procédure dechiffrement ENC paramétrée par la clé publique pk, donne le chiffré ci. L'abus de notation vient icidu fait que ce n'est pas exactement la même fonction f qui est appliquée sur les messages en clairml,...,mN et sur les messages chiffrés cl,...,cN. En effet, comme mentionné ci-avant et de façonconnue en soi, la fonction d'évaluation homomorphe impose certaines contraintes sur la forme dela fonction f pour pouvoir l'évaluer sur les chiffrés cl,...,cN, contraintes qui ne sont pas nécessairespour appliquer cette fonction aux messages en clair. Au sens strict du terme, on a donc deuxfonctions f et f' appliquées respectivement sur les chiffrés et sur les messages en clair. Toutefois,par souci de simplification dans la suite de la description, et pour faciliter la compréhension del'invention, on considère une unique notation f pour désigner cette fonction et on entend parévaluation d'une fonction f par la fonction d'évaluation homomorphe, l'évaluation de la fonction fdans sa forme transformée. Ainsi, à titre d'exemple, et par abus de langage, on entend par évaluation de la procédure de déchiffrement, l'évaluation de cette procédure de déchiffrement sousune forme éventuellement transformée et évaluable par la fonction d'évaluation homomorphe.Indeed, a homomorphic encryption algorithm is conventionally defined by a cryptographic key generation algorithm, an encryption procedure noted here ENC and a decryption procedure noted here DEC, as well as by a homomorphic evaluation function, noted here HOM. This homomorphic evaluation function HOM takes as input a plurality of c, c2,..., CN, N denoting an integer greater than 1, obtained by means of the ENC encryption procedure and a function f which is presented under a form that can be evaluated by the homomorphic evaluation function, for example in the form of a circuitarithmetic. The function HOM then outputs the result of the application of the function f to the variables c1, c2,..., CN (it is said that the homomorphic evaluation function HOM "evaluates" the function f on the numbers c1, c2 ... cN). By misuse of notation, we note that the homomorphic evaluation function HOM satisfies the following relation: HOM (cl, ..., cN; f ') = / (cl, ..., cN) = ENC (f (ml, ..., ι · ηΝ ~), ρ1 <) where ci = ENC (mi) for i = l, ..., N, mi denoting a message which, once encrypted by the decryption procedure ENC parameterized by the public key pk, give the figure ci. The misuse of notation comes icidu fact that it is not exactly the same function f which is applied on the messages in clairml, ..., mN and on the encrypted messages cl, ..., cN. Indeed, as mentioned above and by itself, the homomorphic evaluation function imposes certain constraints on the form of the function f in order to be able to evaluate it on the c1, ..., cn, constraints that are not necessary to apply this function to unencrypted messages. In the strict sense of the term, we therefore have two functions f and f 'applied respectively to the ciphers and to the messages in the clear. However, for the sake of simplification in the remainder of the description, and to facilitate the understanding of the invention, consider a single notation f to designate this function and we mean by evaluation of a function f by the homomorphic evaluation function. evaluation of the function f in its transformed form. Thus, by way of example, and by abuse of language, evaluation of the decryption procedure is understood to mean the evaluation of this decryption procedure in a form that may be transformed and evaluated by the homomorphic evaluation function.

La fonction d'évaluation homomorphe HOM permet donc de réaliser toute sorted'opérations sur des chiffrés résultant de la procédure de chiffrement ENC. Typiquementconformément à l'invention, elle permet d'évaluer d'une part, l'algorithme de déchiffrementsymétrique correspondant à l'algorithme de chiffrement symétrique utilisé pour chiffrer les donnéesen clair échangées entre le dispositif émetteur et le dispositif récepteur, et d'autre part, desfonctions décrivant les expressions régulières à rechercher dans le trafic chiffré. En exploitant cettepropriété de la fonction d'évaluation homomorphe HOM, l'invention permet au dispositif dedétection d'intrusions de manipuler les données chiffrées échangées entre le dispositif émetteur etrécepteur sans ne jamais accéder aux données en clair, et d'opérer une recherche d'expressionsrégulières dérivées par l'éditeur de sécurité à partir des signatures caractéristiques d'intrusions surle réseau.The homomorphic evaluation function HOM therefore makes it possible to perform any operation on encrypted data resulting from the ENC encryption procedure. Typically, according to the invention, it makes it possible to evaluate, on the one hand, the decryption algorithm corresponding to the symmetric encryption algorithm used to encrypt the clear data exchanged between the sending device and the receiving device, and on the other hand , functions that describe regular expressions to look for in encrypted traffic. By exploiting this property of the homomorphic evaluation function HOM, the invention enables the intrusion detection device to manipulate the encrypted data exchanged between the transmitting and receiving device without ever accessing the data in the clear, and to perform a search for Regular expressions derived by the security editor from the characteristic signatures of intrusions on the network.

Plus particulièrement, et de façon schématique, conformément à l'invention lesdonnées en clair échangées entre le dispositif émetteur et le dispositif récepteur sont encapsuléesdans deux boîtes hermétiques (c'est-à-dire verrouillées l'une par rapport à l'autre), imbriquéesl'une dans l'autre : la boîte « interne » résulte du chiffrement des données en clair au moyen del'algorithme de chiffrement symétrique utilisé par les dispositifs émetteur et récepteur (donnant unchiffré T), et la boîte « externe » résulte du chiffrement par la procédure de chiffrement del'algorithme homomorphe du chiffré T ainsi obtenu (donnant un chiffré T'). Puis, l'inventionmanipule en quelque sorte les données contenues dans ces boîtes pour effectuer une détectionDPI sur les données chiffrées en exploitant à deux reprises les propriétés de la fonctiond'évaluation homomorphe : — une première fois pour supprimer la couche de chiffrement symétrique interne. Ceci est réaliséen évaluant au moyen de la fonction d'évaluation homomorphe HOM l'algorithme dedéchiffrement symétrique sur le chiffré T'. On déchiffre ainsi en quelque sorte ce qu'il y a àl'intérieur de la boîte externe, sans toutefois accéder directement aux données et clair, puisquele résultat de cette première évaluation est un chiffré V des données en clair via la procédurede chiffrement homomorphe ; — puis une seconde fois, pour rechercher dans le chiffré V les expressions régulières spécifiéespar l'éditeur de sécurité et définies à partir des chiffrés des signatures caractéristiques desintrusions. Cette recherche est permise via l'évaluation au moyen de la fonction d'évaluationhomomorphe des expressions régulières ou plus particulièrement d'une description appropriéede chacune des expressions régulières fournie au dispositif de détection d'intrusions et apte àêtre évaluée par la fonction d'évaluation homomorphe. Une telle description est typiquementun circuit arithmétique (ou circuit booléen), fournie par le dispositif de sécurité pour une ouplusieurs expressions régulières destinées à être recherchées dans le trafic chiffré échangéentre le dispositif émetteur et le dispositif récepteur. Grâce à cette description sous forme de circuit arithmétique, l'invention permet de ne pas se limiter à de simples tests d'égalité maisd'être en mesure de rechercher dans le trafic chiffré échangé entre le dispositif émetteur et ledispositif récepteur des expressions plus complexes définies à partir des signaturescaractéristiques des intrusions.More particularly, and schematically, according to the invention, the clear data exchanged between the transmitting device and the receiving device are encapsulated in two sealed boxes (that is to say locked with respect to each other), nested inside one another: the "internal" box results from the encryption of the data in the clear by means of the symmetric encryption algorithm used by the transmitter and receiver devices (giving a T-coded), and the "external" box results from the encryption by the encryption procedure of the homomorphic algorithm of the encryption T thus obtained (giving an encryption T '). Then, the inventionmanipulates somehow the data contained in these boxes to performDPI detection on the encrypted data by exploiting twice the properties of the homomorphic evaluation function: - a first time to delete the internal symmetric encryption layer. This is accomplished by evaluating using the HOM homomorphic evaluation function the symmetric decryption algorithm on the cipher T '. In this way, it is possible to decipher what is inside the external box, without, however, accessing the data directly and clearly, since the result of this first evaluation is an encryption V of the data in the clear via the homomorphic encryption procedure; And then a second time, to search in the encryption V for the regular expressions specified by the security editor and defined on the basis of the signatures of the characteristic signatures of the intrusions. This search is allowed via the evaluation by means of the homomorphic evaluation function of the regular expressions or more particularly of an appropriate description of each of the regular expressions supplied to the intrusion detection device and able to be evaluated by the homomorphic evaluation function. . Such a description is typically an arithmetic circuit (or boolean circuit), provided by the security device for one or more regular expressions to be searched for in encrypted traffic exchanged between the sending device and the receiving device. With this description in the form of an arithmetic circuit, the invention makes it possible not to be limited to simple equality tests but to be able to search the encrypted traffic exchanged between the sending device and the receiving device for more complex expressions defined from the signatures features of intrusions.

On note que le résultat de la seconde application de la fonction d'évaluationhomomorphe est par définition un chiffré d'un résultat de la détection opérée par le dispositif dedétection d'intrusions. Son déchiffrement permet de détecter si une expression régulière spécifiéepar l'éditeur de sécurité a été détectée dans les données échangées entre le dispositif émetteur etle dispositif récepteur et en corollaire, de détecter la présence ou non d'une intrusion sur le réseau.Note that the result of the second application of the homomorphic evaluation function is by definition an encryption of a result of the detection performed by the intrusion detection device. Its decryption makes it possible to detect whether a regular expression specified by the security editor has been detected in the data exchanged between the transmitting device and the receiving device and, as a corollary, detecting the presence or absence of an intrusion on the network.

Ce déchiffrement peut être opéré soit par le dispositif d'intrusions lui-même. Ainsi, parexemple, dans un mode particulier de réalisation, le procédé de détection comprend en outre : — une étape d'obtention d'une clé privée de déchiffrement associée à la clé publique dechiffrement du dispositif de sécurité et stockée dans un module matériel de sécurité (ou HSMpour Hardware Security Module) ; et — une étape de déchiffrement du chiffré du résultat de détection en utilisant la procédure dedéchiffrement de l'algorithme de chiffrement homomorphe paramétrée par cette clé privée dedéchiffrement.This decryption can be operated either by the intrusion device itself. Thus, for example, in a particular embodiment, the detection method further comprises: a step of obtaining a decryption private key associated with the public key decrypting the security device and stored in a security hardware module; (or HSM for Hardware Security Module); and a step of decrypting the encryption of the detection result by using the decryption procedure of the homomorphic encryption algorithm parameterized by this private decryption key.

Ceci permet de rendre autonome le dispositif de détection d'intrusions vis-à-vis dudispositif de sécurité lors de l'étape ultime de détection d'intrusions. Ce mode de réalisationnécessite toutefois que le dispositif de sécurité « livre » sa clé privée de déchiffrement au dispositifde détection d'intrusions. Le recours à un module matériel de sécurité pour stocker la clé privée dedéchiffrement du dispositif de sécurité permet de sécuriser cette solution.This makes it possible to make the intrusion detection device independent of the security device during the final step of detecting intrusions. This embodiment, however, requires the security device to "deliver" its private decryption key to the intrusion detection device. The use of a security hardware module to store the decryption private key of the security device makes it possible to secure this solution.

Dans un autre mode de réalisation, le procédé de détection d'intrusions est interactif etcomprend en outre : — une étape de transmission du chiffré du résultat de détection au dispositif de sécurité pourdéchiffrement en utilisant une procédure de déchiffrement dudit algorithme de chiffrementhomomorphe paramétrée par une clé privée de déchiffrement associée à la clé publique dechiffrement du dispositif de sécurité ; et — une étape de réception du résultat de détection déchiffré en provenance du dispositif desécurité.In another embodiment, the intrusion detection method is interactive and further comprises: - a step of transmitting the encryption of the detection result to the security device for decryption using a decryption procedure of said key parameterizedhomomorphic encryption algorithm private decryption associated with the public key decryption of the security device; and a step of receiving the decrypted detection result from the security device.

Dans ce mode de réalisation, il n'est pas nécessaire au dispositif de sécurité de fournirsa clé secrète au dispositif de détection d'intrusions. Toutefois, ce mode de réalisation interactifnécessite que, lors de la détection d'intrusions mise en œuvre par le dispositif de détectiond'intrusions, le dispositif de sécurité soit accessible par celui-ci.In this embodiment, it is not necessary for the security device to provide its secret key to the intrusion detection device. However, this interactive embodiment requires that, during the detection of intrusions implemented by the intrusion detection device, the security device is accessible by it.

Comme mentionné, l'invention permet donc de réaliser une détection de type DPI fullIDS sur le réseau sans compromettre à aucun moment la confidentialité des échanges entre ledispositif émetteur et le dispositif récepteur. Par ailleurs, à cet effet, seule la structure desexpressions régulières est fournie par le dispositif de sécurité au dispositif de détection d'intrusions, les signatures caractéristiques des intrusions n'étant livrées à ce dernier que sous forme chiffrée.L'utilisation d'un algorithme de chiffrement homomorphe telle que proposée par l'invention permetdonc avantageusement à l'éditeur de sécurité de garder secrets à l'égard du dispositif de détectiond'intrusions les signatures qu'il a établies pour la détection d'intrusions. L'approche proposée parl'invention est donc parfaitement compatible avec les modèles économiques existants des éditeursde sécurité : aucune signature n'est fournie en clair par l'éditeur de sécurité au dispositif dedétection d'intrusions.As mentioned, the invention thus makes it possible to carry out a DPI type fullIDS detection on the network without compromising at any time the confidentiality of the exchanges between the transmitting device and the receiving device. In addition, for this purpose, only the structure of the regular expressions is provided by the security device to the intrusion detection device, the characteristic signatures of the intrusions being delivered to the latter only in encrypted form. The use of a Homomorphic encryption algorithm as proposed by the invention advantageously allows the security editor to keep secret with respect to the intrusion detection device the signatures it has established for the detection of intrusions. The approach proposed by the invention is therefore perfectly compatible with existing business models of security editors: no signature is provided in clear by the security editor to the intrusion detection device.

En outre, les chiffrés des signatures caractéristiques des intrusions étant chiffrés aumoyen de la clé publique du dispositif de sécurité, ils n'ont besoin d'être générés et transmisqu'une seule fois au dispositif de détection d'intrusions, par exemple lors d'une étaped'initialisation, du fait de leur indépendance vis-à-vis des dispositifs émetteurs et récepteurs. Ilspeuvent ensuite être utilisés par le dispositif de détection d'intrusions pour gérer plusieursconnexions simultanées ou successives entre différents dispositifs émetteurs et récepteurs. Il enest de même de la description des expressions régulières. Il en résulte donc une mise en œuvresimplifiée de la détection DPI full IDS proposée par l'invention, et un gain substantiel en termes decomplexité par rapport à la solution BlindBox qui requiert le chiffrement des mots-clés par le proxyIDS à chaque nouvelle connexion entre un dispositif émetteur et un dispositif récepteur. L'invention offre de plus la possibilité de tenir compte facilement et rapidement d'unemise à jour des signatures et des expressions régulières par l'éditeur de sécurité, par exemple enraison de l'apparition de nouveaux types d'intrusions susceptibles d'affecter le réseau.Furthermore, since the encryptions of the signatures characteristic of the intrusions are encrypted by means of the public key of the security device, they only need to be generated and transmitted once to the intrusion detection device, for example when a step of initialization, because of their independence vis-à-vis the sending and receiving devices. They can then be used by the intrusion detection device to manage several simultaneous or successive connections between different transmitting and receiving devices. The same is true of the description of regular expressions. This therefore results in a simplified implementation of the full IDS DPI detection proposed by the invention, and a substantial gain in terms of complexity compared to the BlindBox solution which requires the encryption of the keywords by the proxyIDS at each new connection between a transmitter device and receiver device. The invention also offers the possibility of easily and rapidly taking into account the updating of signatures and regular expressions by the security editor, for example due to the appearance of new types of intrusions that may affect the security editor. network.

Dans un mode particulier de réalisation, le contenu dérivé du message est constitué dumessage destiné au dispositif récepteur ou d'une concaténation de ce message et d'un aléa connudu dispositif de sécurité et du dispositif de détection d'intrusions.In a particular embodiment, the content derived from the message is constitutedessessage for the receiving device or a concatenation of this message and a known hazard security device and the intrusion detection device.

Par ailleurs, dans un mode de réalisation dans lequel le contenu dérivé du message estconstitué d'une concaténation du message et d'un aléa connu du dispositif de sécurité et dudispositif de détection d'intrusions, la première étape d'évaluation peut fournir en outre un chiffréV' de l'aléa par la procédure de chiffrement de l'algorithme de chiffrement homomorpheparamétrée par la clé publique de chiffrement du dispositif de sécurité, le procédé de détectioncomprenant alors en outre une étape de transmission dudit chiffré V' de l'aléa au dispositif desécurité pour vérification.Furthermore, in an embodiment in which the content derived from the message is formed of a concatenation of the message and a known hazard of the security device and the intrusion detection device, the first evaluation step can further provide an encryptionV 'of the hazard by the encryption procedure of the homomorphic encryption algorithmparamétrée by the public key encryption of the security device, the detection methodcomprenant then further a step of transmitting said encryption V' of the hazard to security device for verification.

Cette vérification de l'aléa effectuée par le dispositif de sécurité force le dispositifémetteur à chiffrer correctement le message envoyé au dispositif récepteur et l'aléa sous peined'être « démasqué ». Ce mode de réalisation rend ainsi possible l'application de l'invention nonseulement dans un contexte où le dispositif émetteur et le dispositif récepteur sont honnêtes quedans un contexte où l'un au moins de ces dispositifs est « malhonnête », c'est-à-dire qu'il peut êtreà l'origine de l'intrusion perpétrée sur le réseau (volontairement ou involontairement) ou collaboreravec l'entité à l'origine de cette intrusion. Cela correspond par exemple à un cas où un dispositifémetteur, dont le contrôle a été pris par un attaquant transmet des données sensibles qui sont reçues et attendues par le dispositif récepteur. Un tel contexte a une importance primordiale dèslors qu'on constate aujourd'hui que la plupart des attaques proviennent des systèmes d'informationeux-mêmes, via des logiciels malveillants qui prennent le contrôle des terminaux des systèmesd'information. Par conséquent, le dispositif émetteur comme le dispositif récepteur peuvent êtreassez facilement corrompus par une entité distante malveillante qui peut en prendre le contrôle demanière totale ou partielle (par exemple, un terminal victime infecté peut faire fuiter des donnéessensibles vers son logiciel maître via une telle prise de contrôle). On se limitera toutefois ici au casoù, lorsque les deux dispositifs sont « malhonnêtes » indépendamment l'un de l'autre, c'est-à-direqu'aucune entente préalable n'a été conclue entre eux (par exemple pour transmettre des donnéessensibles d'une manière spécifique en découpant et en transmettant ces données d'une façon telleque le procédé serait inefficace pour détecter la façon dont la fuite de données a été opérée). Aucontraire, l'approche proposée dans le document de J. Sherry et al. ne permet pas de gérer unesituation dans laquelle les dispositifs émetteur et récepteur sont tous les deux malhonnêtesindépendamment l'un de l'autre.This verification of the hazard carried out by the security device forces the transmitter device to correctly encrypt the message sent to the receiving device and the hazard under penalty of being "unmasked". This embodiment thus makes it possible to apply the invention only in a context where the sending device and the receiving device are honest only in a context where at least one of these devices is "dishonest", that is to say to say that it can be at the origin of the intrusion perpetrated on the network (voluntarily or involuntarily) or to collaborate with the entity at the origin of this intrusion. This corresponds for example to a case where a transmitter device, whose control has been taken by an attacker transmits sensitive data that is received and expected by the receiving device. Such a context is of paramount importance nowadays as it is seen today that most attacks come from information systems themselves, via malware that takes control of information system terminals. Therefore, both the sending device and the receiving device can be easily corrupted by a malicious remote entity that can take full or partial control over it (for example, an infected victim terminal may leak sensitive data to its master software via such a socket. control). However, here we will limit ourselves to the case where the two devices are "dishonest" independently of one another, that is to say that no prior agreement has been reached between them (for example to transmit sensitive data in a specific way by cutting and transmitting this data in such a way that the method would be ineffective in detecting how the data leakage was made). On the other hand, the approach proposed in the paper by J. Sherry et al. does not manage a situation in which the transmitter and receiver devices are both dishonest independently of each other.

Conformément à l'invention, l'évaluation de l'algorithme de déchiffrement symétriquevia la fonction d'évaluation homomorphe requiert la fourniture à cette fonction d'évaluation d'unchiffré (i.e. le chiffré T'), mais également d'un chiffré S de la clé de chiffrement secrète utilisée lorsdu chiffrement symétrique, généré en utilisant la procédure de chiffrement de l'algorithme dechiffrement homomorphe paramétrée par la clé de chiffrement publique du dispositif de sécurité.According to the invention, the evaluation of the symmetric decryption algorithm by the homomorphic evaluation function requires the provision to this evaluation function of an encrypted (ie the encrypted T '), but also of an encrypted S of the secret encryption key used during the symmetric encryption, generated using the encryption procedure of the homomorphic decryption algorithm parameterized by the public encryption key of the security device.

Dans un mode particulier de réalisation, le chiffré S de la clé de chiffrement secrète estobtenu du dispositif émetteur.In a particular embodiment, the encryption S of the secret encryption key is obtained from the sending device.

Ce mode de réalisation est particulièrement simple à mettre en œuvre, le dispositifémetteur disposant de la clé secrète.This embodiment is particularly simple to implement, the transmitter device having the secret key.

Toutefois, dans ce mode de réalisation, la clé secrète étant chiffrée au moyen de la cléde chiffrement publique du dispositif de sécurité, rien n'empêche à un dispositif de sécurité un peutrop curieux d'accéder à la clé secrète et de déchiffrer au moyen de cette clé le message chiffrééchangé entre le dispositif émetteur et le dispositif récepteur.However, in this embodiment, the secret key being encrypted by means of the public key encryption of the security device, nothing prevents a security device a little curious to access the secret key and decrypt by means of this key the encrypted message exchanged between the transmitting device and the receiving device.

Pour pallier à cette éventualité, dans un mode particulier de réalisation, l'étaped'obtention du chiffré S de la clé de chiffrement secrète comprend : — une étape de réception, en provenance du dispositif émetteur, d'un chiffré dit intermédiaire S'de la clé de chiffrement secrète obtenu en utilisant la procédure de chiffrement duditalgorithme de chiffrement homomorphe paramétrée par une clé de chiffrement publique dudispositif récepteur ; — une étape d'obtention d'une clé de rechiffrement du dispositif récepteur vers le dispositif desécurité ; et — une étape de rechiffrement du chiffré intermédiaire S' en utilisant ladite clé de rechiffrement,cette étape de rechiffrement fournissant ledit chiffré S de la clé de chiffrement secrète.To mitigate this possibility, in a particular embodiment, the step of obtaining the encryption S of the secret encryption key comprises: a step of receiving, from the sending device, a so-called intermediate encryption the secret encryption key obtained by using the encryption procedure of the homomorphic encryption algorithm parameterized by a public encryption key of the receiving device; A step of obtaining a re-encryption key from the receiver device to the security device; and - a step of re-encrypting the intermediate encryption S 'using said re-encryption key, this re-encrypting step providing said encryption S of the secret encryption key.

Autrement dit, on se prémunit dans ce mode de réalisation contre un dispositif desécurité trop curieux en combinant à l'algorithme de chiffrement homomorphe utilisé dansl'invention un schéma de rechiffrement (ou « proxy reencryption » en anglais). De façon connue,un tel schéma de rechiffrement permet de donner accès à un tiers B à des données chiffrées parexemple au moyen d'un algorithme de chiffrement à clé publique utilisant la clé publique d'uneentité A, et ce sans que l'entité A n'ait à divulguer sa clé privée de chiffrement et même si lesdonnées n'étaient pas initialement destinées au tiers. A cet effet, le schéma de rechiffrements'appuie sur une clé dite de rechiffrement ou de transition à l'attention du tiers B donnant un droitd'accès au tiers B aux données chiffrées avec la clé publique de l'entité A. Cette clé est utiliséepour rechiffrer les données chiffrées de l'entité A de sorte à les rendre accessibles au tiers B enutilisant sa propre clé privée de déchiffrement.In other words, in this embodiment, this device is protected against an excessively curious security device by combining with the homomorphic encryption algorithm used in the invention a re-encryption scheme (or "proxy reencryption"). In a known manner, such a re-encryption scheme makes it possible to give access to a third party B to encrypted data, for example by means of a public-key encryption algorithm using the public key of entity A, and this without entity A did not disclose his private key encryption and even if the data was not initially intended for the third party. For this purpose, the re-encryption scheme is based on a so-called re-encryption or transition key addressed to the third party B giving a right of access to the third party B to the data encrypted with the public key of the entity A. This key is used to re-encrypt the encrypted data of the entity A so as to make them accessible to the third party B using its own private decryption key.

Ainsi, dans ce mode de réalisation « combiné », la clé secrète utilisée par l'algorithmede chiffrement symétrique n'est plus chiffrée en utilisant la clé publique de chiffrement du dispositifde sécurité mais en utilisant une clé publique de chiffrement du dispositif récepteur, qui est le seulà détenir la clé privée de déchiffrement associée. Pour permettre au dispositif de sécuritéd'effectuer les tâches qui lui incombent (ex. déchiffrement du chiffré du résultat de détection,vérification de l'aléa, etc.) en dépit du fait qu'il ne connaît pas la clé privée de déchiffrement dudispositif récepteur, le dispositif de détection d'intrusions utilise une clé de rechiffrement dudispositif récepteur vers le dispositif de sécurité pour rechiffrer le chiffré S' de la clé secrètetransmis par le dispositif émetteur. Ceci permet au dispositif de détection d'intrusions d'obtenir unchiffré S de la clé de chiffrement secrète correspondant à la clé publique de chiffrement dudispositif de sécurité qu'il peut alors utiliser lors de l'évaluation de l'algorithme de déchiffrementsymétrique. Grâce à ce rechiffrement, le dispositif de sécurité est en mesure de déchiffrer leséléments qui lui sont envoyés par le dispositif de détection d'intrusions dans un mode interactif.Thus, in this "combined" embodiment, the secret key used by the symmetric encryption algorithm is no longer encrypted using the security device's public encryption key but by using a public key for encrypting the receiving device, which is the only one to hold the associated decryption private key. To enable the security device to perform the tasks incumbent on it (eg decryption of the detection result encryption, hazard checking, etc.) despite not knowing the decryption private key of the receiving device , the intrusion detection device uses a re-encryption key of the receiving device to the security device to re-encrypt the encrypted S 'secret keytransmitted by the transmitter device. This allows the intrusion detection device to obtain a decrypted S of the secret encryption key corresponding to the public encryption key of the security appliance which it can then use when evaluating the decryption algorithm. Thanks to this re-encryption, the security device is able to decrypt the elements sent to it by the intrusion detection device in an interactive mode.

Selon un autre aspect, l'invention vise un procédé de communication d'un dispositif desécurité avec un dispositif de détection d'intrusions sur un réseau, le dispositif de sécurité ayantaccès à au moins une règle de détection d'au moins une intrusion susceptible d'affecter le réseau,ladite au moins une règle de détection comprenant une expression régulière établie à partir d'aumoins une signature caractéristique de ladite au moins une intrusion, le procédé de communicationcomprenant : — une étape de transformation de ladite au moins une expression régulière en une fonctiondécrivant ladite au moins une expression régulière et pouvant être évaluée au moyen d'unefonction d'évaluation d'un algorithme de chiffrement homomorphe ; — une étape de génération d'un chiffré de chaque signature caractéristique de ladite au moinsune intrusion en appliquant une procédure de chiffrement dudit algorithme de chiffrementhomomorphe paramétrée par une clé publique de chiffrement du dispositif de sécurité ; et — une étape de transmission de ladite au moins une fonction décrivant ladite au moins uneexpression régulière et de chaque chiffré de chaque signature caractéristique de ladite aumoins une intrusion à un dispositif de détection d'intrusions sur le réseau.According to another aspect, the invention relates to a method for communicating a security device with an intrusion detection device on a network, the security device having access to at least one rule for detecting at least one intrusion capable of allocating the network, said at least one detection rule comprising a regular expression established from at least one characteristic signature of said at least one intrusion, the communication methodcomprenant: a step of transforming said at least one regular expression into a function describing said at least one regular expression and evaluable by means of an evaluation function of a homomorphic encryption algorithm; A step of generating an encryption of each characteristic signature of said at least one intrusion by applying an encryption procedure of said homomorphic encryption algorithm parameterized by a public encryption key of the security device; and a step of transmitting said at least one function describing said at least one regular expression and each cipher of each characteristic signature of said at least one intrusion to an intrusion detection device on the network.

Corrélativement, l'invention vise également un dispositif de sécurité ayant accès à aumoins une règle de détection d'au moins une intrusion susceptible d'affecter un réseau, ladite aumoins une règle de détection comprenant une expression régulière établie à partir d'au moins unesignature caractéristique de ladite au moins une intrusion, le dispositif de sécurité comprenant : — un module de transformation, configuré pour transformer ladite au moins une expressionrégulière en une fonction décrivant ladite au moins une expression régulière et pouvant êtreévaluée au moyen d'une fonction d'évaluation d'un algorithme de chiffrement homomorphe ; — un module de chiffrement, configuré pour générer un chiffré de chaque signaturecaractéristique de ladite au moins une intrusion en appliquant une procédure de chiffrementdudit algorithme de chiffrement homomorphe paramétrée par une clé publique de chiffrementdu dispositif de sécurité ; et — un module de transmission, configuré pour transmettre ladite au moins une fonction décrivantladite au moins une expression régulière et chaque chiffré de chaque signature caractéristiquede ladite au moins une intrusion à un dispositif de détection d'intrusions sur le réseau.Correlatively, the invention also relates to a security device having access to at least one rule for detecting at least one intrusion capable of affecting a network, said at least one detection rule comprising a regular expression established from at least one signature characteristic of said at least one intrusion, the security device comprising: - a transformation module, configured to transform said at least one regular expression into a function describing said at least one regular expression and which can be evaluated by means of an evaluation function a homomorphic encryption algorithm; An encryption module, configured to generate an encryption of each signaturecharacteristic of said at least one intrusion by applying a cryptographic procedure of a homomorphic encryption algorithm parameterized by a public encryption key of the security device; and a transmission module, configured to transmit said at least one describing function ,adds at least one regular expression and each cipher of each characteristic signature of said at least one intrusion to an intrusion detection device on the network.

Dans un mode particulier de réalisation dit interactif, le procédé de communicationcomprend en outre : — une étape de réception en provenance du dispositif de détection d'un chiffré d'un résultat dedétection ; — une étape de déchiffrement du chiffré du résultat de détection en utilisant une procédure dedéchiffrement de l'algorithme de chiffrement homomorphe paramétrée par une clé privée dedéchiffrement associée à la clé publique de chiffrement du dispositif de sécurité ; et i — une étape de transmission du résultat de détection déchiffré au dispositif de détectiond'intrusions.In a particular interactive embodiment, the communication method further comprises: a reception step from the device for detecting an encryption of a detection result; A step of decrypting the encryption of the detection result by using a decryption procedure of the homomorphic encryption algorithm parameterized by a decryption private key associated with the public encryption key of the security device; and i - a step of transmitting the decrypted detection result to the intrusion detection device.

Corrélativement, le dispositif de sécurité comprend en outre : — un module de réception, apte à recevoir en provenance du dispositif de détection un chiffréd'un résultat de détection ; i — un module de déchiffrement, configuré pour déchiffrer ledit chiffré du résultat de détection enutilisant une procédure de déchiffrement dudit algorithme de chiffrement homomorpheparamétrée par une clé privée de déchiffrement associée à la clé publique de chiffrement dudispositif de sécurité ; et — un module de transmission, configuré pour transmettre le résultat de détection déchiffré aui dispositif de détection d'intrusions.Correlatively, the security device further comprises: a reception module, able to receive from the detection device a code of a detection result; i - a decryption module, configured to decrypt said encryption of the detection result using a decryption procedure of said encryption algorithm homomorphousparamétrée by a private decryption key associated with the public key encryption of the security device; and a transmission module, configured to transmit the decrypted detection result to the intrusion detection device.

Le procédé de communication et le dispositif de sécurité dans ces différents modes deréalisation bénéficient des mêmes avantages que ceux cités précédemment pour le procédé et ledispositif de détection d'intrusions selon l'invention.The communication method and the security device in these various embodiments have the same advantages as those mentioned above for the method and the intrusion detection device according to the invention.

On note que conformément à l'invention, le dispositif de sécurité fournit au dispositifde détection d'intrusions différents éléments lui permettant de réaliser une détection DPI full IDS,sans ne jamais lui livrer les signatures caractéristiques des intrusions qu'il a établies. Celles-ci sontavantageusement gardées secrètes par le dispositif de sécurité à l'égard du dispositif de détectiond'intrusions qui n'a accès qu'à la structure en définitive des expressions régulières et aux chiffrésdes signatures.It should be noted that, in accordance with the invention, the security device provides the intrusion detection device with different elements enabling it to carry out DPI full IDS detection, without ever giving it the characteristic signatures of the intrusions it has established. These are advantageously kept secret by the security device with respect to the intrusion detection device which only has access to the structure of the regular expressions and the encrypted signatures.

Dans un mode particulier de réalisation, lors de l'étape de transformation du procédéde communication, au moins une fonction décrivant ladite au moins une expression régulière estun circuit arithmétique obtenu au moyen d'un automate à nombre fini d'états non déterministemodélisant l'expression régulière et d'une fonction de sélection des états de cet automate.In a particular embodiment, during the step of transforming the communication method, at least one function describing said at least one regular expression is an arithmetic circuit obtained by means of a finite state automaton of non-deterministic statesemodeling the expression and a function for selecting the states of this PLC.

Ce mode de réalisation fournit un moyen simple et efficace pour générer unedescription des expressions régulières proposées par le dispositif de sécurité pouvant être évaluéespar la fonction d'évaluation homomorphe de l'algorithme de chiffrement homomorphe.This embodiment provides a simple and efficient means for generating a description of the regular expressions proposed by the security device that can be evaluated by the homomorphic evaluation function of the homomorphic encryption algorithm.

Dans un mode particulier de réalisation, les différentes étapes du procédé de détectiond'intrusions et/ou les différentes étapes du procédé de communication sont déterminées par desinstructions de programmes d'ordinateurs.In a particular embodiment, the various steps of the intrusion detection method and / or the different steps of the communication method are determined by instructions of computer programs.

En conséquence, l'invention vise aussi un programme d'ordinateur sur un supportd'informations, ce programme étant susceptible d'être mis en œuvre dans un dispositif de sécuritéou plus généralement dans un ordinateur, ce programme comportant des instructions adaptées ài la mise en œuvre des étapes d'un procédé de communication tel que décrit ci-dessus. L'invention vise également un programme d'ordinateur sur un support d'informations,ce programme étant susceptible d'être mis en œuvre dans un dispositif de détection d'intrusions ouplus généralement dans un ordinateur, ce programme comportant des instructions adaptées à lamise en œuvre des étapes d'un procédé de détection d'intrusions tel que décrit ci-dessus. i Chacun de ces programmes peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et codeobjet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre formesouhaitable. L'invention vise aussi un support d'informations ou d'enregistrement lisible par unI ordinateur, et comportant des instructions d’un programme d’ordinateur tel que mentionné ci-dessus.Consequently, the invention also relates to a computer program on an information carrier, this program being capable of being implemented in a security device or more generally in a computer, this program comprising instructions adapted to the implementation of steps of a communication method as described above. The invention also relates to a computer program on an information carrier, this program being capable of being implemented in an intrusion detection device or more generally in a computer, this program comprising instructions adapted to the measurement steps of an intrusion detection method as described above. Each of these programs can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in a partially compiled form, or in any form. what other forms are desirable. The invention also relates to a computer-readable information or recording medium and comprising instructions of a computer program as mentioned above.

Le support d’informations ou d'enregistrement peut être n’importe quelle entité oudispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen destockage, tel qu’une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou> encore un moyen d'enregistrement magnétique, par exemple une disquette (floppy dise) ou undisque dur. D'autre part, le support d'informations ou d'enregistrement peut être un supporttransmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être enparticulier téléchargé sur un réseau de type Internet.The information or recording medium may be any entity or device capable of storing the program. For example, the medium may comprise means of clearance, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or>> still a magnetic recording means, for example a floppy disk or hard disk . On the other hand, the information carrier or recording medium may be a transmissible carrier such as an electrical or optical signal, which may be conveyed via an electrical or optical cable, by radio or by other means. The program according to the invention can in particular be downloaded on an Internet type network.

Alternativement, le support d'informations ou d'enregistrement peut être un circuitintégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour êtreutilisé dans l'exécution du procédé en question.Alternatively, the information or recording medium may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method in question.

Selon un autre aspect encore, l'invention vise un système de détection d'intrusions surun réseau via lequel sont aptes à communiquer un dispositif émetteur et un dispositif récepteur enutilisant un algorithme de chiffrement/déchiffrement symétrique paramétré par une clé dechiffrement secrète partagée entre le dispositif émetteur et le dispositif récepteur, ce système dedétection d'intrusions comprenant : — un dispositif de détection d'intrusions conforme à l'invention ; et — un dispositif de sécurité conforme à l'invention. L'invention concerne aussi un système de communications comprenant : — au moins un dispositif émetteur et au moins un dispositif récepteur aptes à communiquer surun réseau en utilisant un algorithme de chiffrement/déchiffrement symétrique paramétré parune clé de chiffrement secrète partagée entre le dispositif émetteur et le dispositif récepteur ;et — un système de détection d'intrusions selon l'invention, le dispositif de détection d'intrusionsdudit système de détection étant destiné à être localisé entre ledit au moins un dispositif i émetteur et ledit au moins un dispositif récepteur.According to another aspect, the invention is an intrusion detection system on a network via which are able to communicate a transmitting device and a receiving device by using a symmetric encryption / decryption algorithm parameterized by a secret decryption key shared between the device transmitter and the receiving device, this intrusion detection system comprising: an intrusion detection device according to the invention; and a safety device according to the invention. The invention also relates to a communications system comprising: at least one transmitting device and at least one receiving device able to communicate on a network by using a symmetric encryption / decryption algorithm parameterized by a secret encryption key shared between the sending device and the receiving device; and - an intrusion detection system according to the invention, the intrusion detection device detecting system being intended to be located between said at least one transmitting device i and said at least one receiving device.

Les systèmes de détection d'intrusions et de communication bénéficient des mêmesavantages que ceux cités précédemment pour le procédé et le dispositif de détection d'intrusionsselon l'invention et pour le procédé de communication et le dispositif de sécurité selon l'invention.The intrusion detection and communication systems benefit from the same advantages as those mentioned above for the method and device for detecting intrusions according to the invention and for the communication method and the security device according to the invention.

On peut également envisager, dans d’autres modes de réalisation, que le procédé de: détection d'intrusions, le procédé de communication, le dispositif de détection d'intrusions, le dispositif de sécurité, le système de détection d'intrusions, et le système de communication selonl'invention présentent en combinaison tout ou partie des caractéristiques précitées.In other embodiments, it is also possible to envisage the method of: intrusion detection, the communication method, the intrusion detection device, the security device, the intrusion detection system, and the communication system according to the invention present in combination all or some of the above-mentioned features.

Brève description des dessins I D'autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple deréalisation dépourvu de tout caractère limitatif. Sur les figures : — la figure 1 représente, de façon schématique, un système de communications selon l'invention,dans un premier mode de réalisation de l'invention ; > — la figure 2 illustre l'architecture matérielle d'un dispositif de détection d'intrusions selon l'invention, appartenant au système de communications de la figure 1 ; — la figure 3 illustre l'architecture matérielle d'un dispositif de sécurité selon l'invention,appartenant au système de communications de la figure 1 ; — les figures 4, 5 et 7 représentent respectivement, sous forme d'ordinogramme, les principalesétapes d'un procédé de communication selon l'invention, d'un procédé de détectiond'intrusions selon l'invention et d'un procédé d'émission d'un message telles qu'elles sont misesen œuvre dans le premier mode de réalisation de l'invention par le dispositif de sécurité, par ledispositif de détection d'intrusions, et par un dispositif émetteur du système decommunications de la figure 1 ; — la figure 6 représente à titre illustratif un automate à nombre d'états finis pouvant être utilisépar le dispositif de sécurité au cours du procédé illustré à la figure 4 ; et — les figures 8 et 9 représentent respectivement, sous forme d'ordinogramme, les principalesétapes d'un procédé de détection d'intrusions selon l'invention et d'un procédé d'émission d'unmessage telles qu'elles sont mises en œuvre dans un second mode de réalisation de l'inventionpar le dispositif de détection d'intrusions et par un dispositif émetteur du système decommunications selon l'invention. i Description détaillée de l'inventionBRIEF DESCRIPTION OF THE DRAWINGS Other features and advantages of the present invention will become apparent from the description given below, with reference to the accompanying drawings which illustrate an embodiment thereof without any limiting character. In the figures: - Figure 1 shows schematically a communications system according to the invention, in a first embodiment of the invention; FIG. 2 illustrates the hardware architecture of an intrusion detection device according to the invention belonging to the communications system of FIG. 1; FIG. 3 illustrates the hardware architecture of a security device according to the invention belonging to the communications system of FIG. 1; FIGS. 4, 5 and 7 respectively represent, in the form of a flow chart, the main steps of a communication method according to the invention, an intrusion detection method according to the invention and an emission method. of a message as implemented in the first embodiment of the invention by the security device, by the intrusion detection device, and by a transmitter device of the communications system of Figure 1; FIG. 6 represents by way of illustration a state of finite state automaton that can be used by the safety device during the process illustrated in FIG. 4; and FIGS. 8 and 9 respectively represent, in the form of a flow chart, the main steps of an intrusion detection method according to the invention and of a method of issuing a message as implemented. in a second embodiment of the inventionby the intrusion detection device and by a transmitting device of the communication system according to the invention. Detailed Description of the Invention

La figure 1 représente, dans son environnement, un système 1 de communicationsconforme à l'invention, dans un premier mode de réalisation.FIG. 1 represents, in its environment, a communication system 1 according to the invention, in a first embodiment.

Le système 1 de communications comprend : — un dispositif émetteur TX 2 ; I — un dispositif récepteur RX 3 ; et — un système 4 de détection d'intrusions conforme à l'invention.The communications system 1 comprises: a TX 2 transmitter device; I - a receiver device RX 3; and an intrusion detection system 4 according to the invention.

Le dispositif émetteur TX 2 et le dispositif récepteur RX 3 sont aptes à communiquerl'un avec l'autre via un réseau de télécommunications NW. Aucune limitation n'est attachée à lanature de ce réseau, hormis le fait que sur ce réseau, les communications entre le dispositifi émetteur TX 2 et le dispositif récepteur RX 3 sont sécurisées via l'utilisation d'un algorithmecryptographique de chiffrement/déchiffrement symétrique noté ALG-SYM s'appuyant sur une clé dechiffrement secrète K partagée entre le dispositif émetteur TX 2 et le dispositif récepteur RX 3. Onnote ici SYM-ENC, respectivement SYM-DEC, la procédure (ou algorithme) de chiffrement,respectivement de déchiffrement, symétrique correspondante. L'algorithme de) chiffrement/déchiffrement symétrique ALG-SYM est par exemple identique à l'algorithme dechiffrement/déchiffrement symétrique utilisé par les protocoles sécurisés TLS ou SSL.The transmitter device TX 2 and the receiver device RX 3 are able to communicate with each other via a telecommunications network NW. No limitation is attached to the nature of this network, except that on this network, the communications between the TX 2 sending device and the RX 3 receiving device are secured via the use of a symmetric encryption / decryption cryptographic algorithm noted ALG-SYM relying on a secret decryption key K shared between the transmitting device TX 2 and the receiving device RX 3. Here SYM-ENC, respectively SYM-DEC, the procedure (or algorithm) of encryption or decryption, corresponding symmetrical. The ALG-SYM symmetric encryption / decryption algorithm is for example identical to the symmetric decryption / decryption algorithm used by the secure protocols TLS or SSL.

Le réseau NW peut ainsi être indifféremment un réseau public tel que le réseauInternet ou un réseau privé, un réseau fixe ou mobile, un réseau filaire ou sans fil, il peut êtreconstitué d'un unique réseau ou être composé d'une pluralité de sous-réseaux, etc. > Le système 4 de détection d'intrusions est configuré pour permettre la détection d'intrusions susceptibles d'affecter les communications sur le réseau NW, et plus particulièrementici dans l'exemple envisagé à la figure 1, les communications entre le dispositif émetteur TX 2 et ledispositif récepteur RX 3. A cet effet, il comprend : — un dispositif de détection d'intrusions MB 5 (aussi désigné par « middlebox »), conforme àl'invention, qui se trouve dans le réseau NW entre chaque dispositif émetteur TX susceptibled'émettre des données sur ce réseau et chaque dispositif récepteur RX susceptible de recevoirdes données via ce réseau. En l'espèce ici, dans l'exemple illustré à la figure 1, le dispositif MB5 de détection d'intrusions se trouve localisé dans le réseau NW entre le dispositif émetteur TX2 et le dispositif récepteur RX 3 et est susceptible d'intercepter les échanges sur le réseau NWentre ces deux dispositifs ; et — un dispositif de sécurité RG 6, géré par (i.e. sous le contrôle de) un éditeur de sécurité apte àdéterminer (c'est-à-dire à établir) une pluralité de règles de détection d'intrusions susceptiblesd'affecter le réseau NW. Ces règles de détection se présentent sous la forme de signatures (oupatterns ou encore mots-clés) SIGi, i=l,...,I où I désignant un entier supérieur à 1,caractéristiques des intrusions susceptibles d'affecter le réseau NW, ainsi que d'une ouplusieurs expressions régulières REGj, j=l,...,J, J désignant un entier supérieur ou égal à 1,établies à partir de ces signatures. Une expression régulière, de façon connue en informatique,est une chaîne de caractères ou un motif qui définit un ensemble de chaînes de caractèrespossibles. Autrement dit, dans le contexte décrit ici, chaque expression régulière REGj définitun ensemble de chaînes de caractères possibles à partir d'une ou de plusieurs signatures. Ellepeut s'appuyer à cet effet sur différents opérateurs connus en soi dont notamment : o l'opérateur de groupement « ( ) » qui indique les caractères pouvant être encadrés depart et d'autre par les caractères se trouvant avant et après l'opérateur ; par exemple« Blind(B|b)ox » comprend « BlindBox » et « Blindbox » ; o l'astérisque *, indiquant pour la chaîne de caractères dans laquelle il est utilisé, zéro ouau moins une occurrence du caractère ou d'un ensemble de caractères précédantl'astérisque et délimité par l'opérateur de groupement (). Par exemple « ab* »: comprend les chaînes de caractères « a », « ab », « abb », etc. o l'opérateur « ou » ou « | » qui traduit des caractères alternatifs ou des chaînes decaractères alternatives de part et d'autre de l'opérateur. Par exemple « rootkit|trojan »désigne les chaînes de caractères « rootkit » ou « trojan » ; o le point d'interrogation « ? » qui indique zéro ou une occurrence d'un caractère oui d'un ensemble de caractères délimité par l'opérateur de groupement () ; par exemple « https ? » comprend « http » ou « https » ; et o l'opérateur « + » qui indice une ou plusieurs occurrences d'un caractère ou d'unensemble de caractères délimité par l'opérateur de groupement () ; par exemple,« /content/p+ » comprend « /content/p », « /content/pp », « /content/ppp », etc. i Ainsi, à titre illustratif, l'expression régulière « p(a|b)* » comprend les chaînes de caractèresqui contiennent le caractère p suivi d'un nombre arbitraire (i.e. zéro ou plus) de « a » ou de« b ». Elle comprend donc les chaînes de caractères « p », « pa », « pb », « paaaabb »,« pbbba », etc.The network NW can thus be indifferently a public network such as the Internet network or a private network, a fixed or mobile network, a wired or wireless network, it can be formed of a single network or be composed of a plurality of sub-networks. networks, etc. The intrusion detection system 4 is configured to allow the detection of intrusions likely to affect the communications on the network NW, and more particularly, in the example envisaged in FIG. 1, the communications between the transmitting device TX 2. and the RX receiver device 3. For this purpose, it comprises: an intrusion detection device MB (also referred to as a "middlebox") according to the invention, which is in the NW network between each transmitting device TX susceptible transmitting data on this network and each RX receiving device capable of receiving data via this network. Here, in the example illustrated in FIG. 1, the intrusion detection device MB5 is located in the network NW between the transmitting device TX2 and the receiving device RX 3 and is capable of intercepting the exchanges. on the NW network these two devices; and a security device RG 6, managed by (ie under the control of) a security editor capable of determining (i.e., establishing) a plurality of intrusion detection rules capable of affecting the NW network. . These detection rules are in the form of signatures (orpatterns or keywords) SIGi, i = l, ..., I where I designating an integer greater than 1, characteristics of the intrusions likely to affect the NW network, as well as one or more regular expressions REGj, j = 1,..., J, J denoting an integer greater than or equal to 1, established from these signatures. A regular expression, in a known computer fashion, is a string of characters or a pattern that defines a set of strings of available characters. In other words, in the context described here, each regular expression REGj defines a set of possible character strings from one or more signatures. It can rely for this purpose on various operators known per se including: o the group operator "()" which indicates the characters that can be framed starting and other characters before and after the operator; for example "Blind (B | b) ox" includes "BlindBox" and "Blindbox"; o the asterisk * indicating, for the string in which it is used, zero or at least one occurrence of the character or a set of characters preceding the asterisk and delimited by the grouping operator (). For example "ab *": includes the strings "a", "ab", "abb", etc. o the operator "or" or "| Which translates alternative characters or alternative character strings on both sides of the operator. For example "rootkit | trojan" means the strings "rootkit" or "trojan"; o the question mark "? Which indicates zero or an occurrence of a yes character of a set of characters delimited by the grouping operator (); for example "https? "Includes" http "or" https "; and o the "+" operator which indexes one or more occurrences of a character or a set of characters delimited by the grouping operator (); for example, "/ content / p +" includes "/ content / p", "/ content / pp", "/ content / ppp", and so on. Thus, for illustrative purposes, the regular expression "p (a | b) *" includes character strings that contain the character p followed by an arbitrary number (ie zero or more) of "a" or "b" . It therefore includes the strings "p", "pa", "pb", "paaaabb", "pbbba", etc.

Dans le premier mode de réalisation décrit ici, les signatures SIGi, i =1,...,1 et lesexpressions régulières REGj, j=l,...,J établies par l'éditeur de sécurité sont stockées dans unemémoire non volatile référencée par 15 (cf. figure 3) du dispositif de sécurité RG 6 (et doncaccessible par celui-ci).In the first embodiment described here, the signatures SIGi, i = 1, ..., 1 and the regular expressions REGj, j = 1, ..., J established by the security editor are stored in a non-volatile memory referenced 15 (see Figure 3) of the safety device RG 6 (and thereforeaccessible by it).

En variante, les signatures SIG et les expressions régulières REG établies par l'éditeurde sécurité peuvent être stockées dans une mémoire distante, préférentiellement protégée defaçon connue en soi, et accessible par le dispositif de sécurité RG 6.As a variant, the SIG signatures and REG regular expressions established by the security editor can be stored in a remote memory, preferably protected in a manner known per se, and accessible by the security device RG 6.

La façon dont sont déterminées par l'éditeur de sécurité les règles de détection, et plusparticulièrement les signatures SIG et les expressions régulières REG, est connue en soi et dépenddu savoir-faire de chaque éditeur de sécurité. Elle n'est pas décrite en détail ici. On note que lessignatures SIG et les expressions régulières REG associées à ces signatures sont susceptiblesd'évoluer ou d'être mis à jour, par exemple suite à l'apparition de nouveaux types d'intrusionssusceptibles d'affecter le réseau NW.The way in which the security editor determines the detection rules, especially the GIS signatures and the REG regular expressions, is known per se and depends on the know-how of each security editor. It is not described in detail here. It is noted that GIS signatures and REG regular expressions associated with these signatures are likely to evolve or be updated, for example due to the appearance of new types of intrusions that may affect the NW network.

En outre, il convient également de noter qu'un même éditeur de sécurité peut êtreamené à interagir avec plusieurs dispositifs de détection d'intrusions distincts, situés dans le mêmeréseau ou dans des réseaux différents. De façon similaire, un dispositif de détection d'intrusionslocalisé dans un réseau peut être amené à interagir avec plusieurs éditeurs de sécurité (et doncavec plusieurs dispositifs de sécurité gérés respectivement par ces éditeurs de sécurité). Par soucide simplification toutefois ici, on se limite à un éditeur de sécurité et à un dispositif de détectiond'intrusions.In addition, it should also be noted that the same security editor may be required to interact with several different intrusion detection devices located in the same network or in different networks. Similarly, an intrusion detection device located in a network may be required to interact with several security editors (and thus with several security devices managed respectively by these security editors). For the sake of simplification however here, it is limited to a security editor and an intrusion detection device.

Conformément à l'invention, une inspection en profondeur de type DPI et full IDS estpermise sur le réseau NW bien que les communications entre le dispositif émetteur TX 2 et ledispositif récepteur RX 3 soient chiffrées, et ce, sans que l'éditeur de sécurité ne soit contraint dedivulguer au dispositif de détection d'intrusions MB 5 les signatures qu'il a établies pour détecter: des intrusions susceptibles d'affecter le réseau NW. En outre, cette inspection DPI full IDS est permise sans que le trafic échangé entre le dispositif émetteur TX et le dispositif récepteur RX nesoit divulgué au dispositif de détection d'intrusions MB 5, même partiellement, de sorte que laconfidentialité de l'échange entre les deux dispositifs est préservée et leur vie privée garantie. Acet effet, l'invention s'appuie sur un algorithme de chiffrement homomorphe noté ci-après ALG-FHEi (pour Fully Homomorphic Encryption en anglais).In accordance with the invention, a DPI and full IDS in-depth inspection is enabled on the NW network although the communications between the TX 2 transmitter device and the RX 3 receiver device are encrypted, and this without the security editor it is obliged to disclose to the intrusion detection device MB 5 the signatures it has established to detect: intrusions likely to affect the NW network. In addition, this full IDS DPI inspection is permitted without the traffic exchanged between the transmitting device TX and the receiving device RX being disclosed to the intrusion detection device MB 5, even partially, so that the confidentiality of the exchange between the two devices are preserved and their privacy guaranteed. In effect, the invention is based on a homomorphic encryption algorithm noted below ALG-FHEi (for Fully Homomorphic Encryption).

Aucune limitation n'est attachée à l'algorithme de chiffrement homomorphe en soi quipeut être utilisé : il peut s'agir par exemple de l'algorithme de chiffrement homomorphe décrit dansle document de C. Gentry intitulé « Fully homomorphic encryption using idéal lattices »,Proceedings of the 41st Annual ACM Symposium on Theory of Computing, STOC 2009, Bethesda,i MD, USA, 31 mai - 2 juin 2009, ou d'un algorithme décrit dans le document de J. Fan et al. intitulé« Somewhat practical fully homomorphic encryption », IACR Cryptology ePrint Archive 2012 : 144,etc.No limitation is attached to the homomorphic encryption algorithm per se which may be used: it may be for example the homomorphic encryption algorithm described in C. Gentry's document entitled "Fully homomorphic encryption using ideal lattices", Proceedings of the 41st Annual ACM Symposium on Theory of Computing, STOC 2009, Bethesda, MD, USA, May 31 - June 2, 2009, or an algorithm described in J. Fan et al. "Somewhat practical fully homomorphic encryption", IACR Cryptology ePrint Archive 2012: 144, etc.

De façon connue, un tel algorithme de chiffrement homomorphe est défini parplusieurs procédures, à savoir : — un algorithme de génération de clés noté FHE.KEYGEN, paramétré par un paramètre desécurité λ connu en soi, pris par exemple ici égal à 128 bits, conformément auxrecommandations de sécurité en vigueur. Cet algorithme est apte à générer une paire de cléscyrptographiques comprenant une clé de chiffrement publique notée de façon générale pk etune clé de déchiffrement privée notée sk correspondante ; — un algorithme de chiffrement/déchiffrement comprenant une procédure de chiffrementFHE.ENC apte à générer un chiffré à partir d'un message et de la clé de chiffrement publiquepk, et une procédure de déchiffrement FHE.DEC apte à déchiffrer un chiffré à partir de la cléde déchiffrement privée sk correspondante ; — une fonction d'évaluation homomorphe FHE.HOM, qui prend en entrée plusieurs chiffréscl,...,cL et une fonction f qui se présente sous une forme qui peut être évaluée par la fonctiond'évaluation homomorphe (par exemple sous la forme d'un circuit arithmétique, commedétaillé davantage ultérieurement), ladite fonction d'évaluation homomorphe délivrant alors ensortie f(cl,...,cL). Comme mentionné précédemment, si cl, 1=1,...,L désigne le chiffré d'unmessage ml obtenu au moyen de l'algorithme de chiffrement ENC paramétré par la clé dechiffrement publique pk, par abus de notation, on peut écrire que la fonction d'évaluationhomomorphe HOM vérifie la relation suivante : FHE.HOM(cl, =/(cl,..., ci) = FHE. ENC(/(ml, ...,mL),pk) i L'abus de notation vient du fait que ce n'est pas exactement la même fonction f qui est enréalité appliquée sur les messages en clair ml,...,mL et sur les messages chiffrés cl,...,cL. Eneffet, de façon connue en soi, la fonction d'évaluation homomorphe impose certainescontraintes sur la forme de la fonction f pour pouvoir l'évaluer sur les chiffrés cl,...,cL,contraintes qui ne sont pas nécessaires pour appliquer cette fonction aux messages en clair. : Au sens strict du terme, on a donc deux fonctions f et f' appliquées respectivement sur les chiffrés et sur les messages en clair. Toutefois, par souci de simplification dans la suite de ladescription, et pour faciliter la compréhension de l'invention, on considère une unique notationf pour désigner cette fonction et on entend par évaluation d'une fonction f par la fonctiond'évaluation homomorphe, l'évaluation de la fonction f dans sa forme transformée. Ainsi, à titre I d'exemple, et par abus de langage, on entend par évaluation de la procédure dedéchiffrement, l'évaluation de cette procédure de déchiffrement sous une formeéventuellement transformée et évaluable par la fonction d'évaluation homomorphe.In a known manner, such a homomorphic encryption algorithm is defined by several procedures, namely: a key generation algorithm, noted FHE.KEYGEN, parameterized by a security parameter λ known per se, taken here for example equal to 128 bits, in accordance with safety recommendations in force. This algorithm is capable of generating a pair of pyrolytic keys comprising a public encryption key generally noted pk and a private decryption key denoted sk corresponding; An encryption / decryption algorithm comprising a FHE.ENC encryption procedure capable of generating an encryption from a message and the public encryption key pk, and a FHE.DEC decryption procedure able to decrypt an encryption from the private decryption key sk corresponding; A homomorphic evaluation function FHE.HOM, which takes as input several cipherscl, ..., cL and a function f which is in a form that can be evaluated by the homomorphic evaluation function (for example in the form of an arithmetic circuit, further detailed later), said homomorphic evaluation function then outputting f (cl, ..., cL). As mentioned above, if cl, 1 = 1, ..., L designates the cipher of a message ml obtained by means of the encryption algorithm ENC parameterized by the public decryption key pk, by misuse of notation, we can write that the homomorphic evaluation function HOM checks the following relation: FHE.HOM (cl, = / (cl, ..., ci) = FHE.INC (/ (ml, ..., mL), pk) i Abuse This notation is due to the fact that it is not exactly the same function that is applied to messages in the clear ml, ..., ml and on the encrypted messages c1,..., in effect, in a known manner. in itself, the homomorphic evaluation function imposes certain constraints on the form of the function f in order to be able to evaluate it on the c1, ..., cL, constraints which are not necessary to apply this function to the plaintext messages: In the strict sense of the term, therefore, there are two functions f and f 'applied respectively to the ciphered and to the plaintext messages. As a result of the description, and to facilitate the understanding of the invention, we consider a single notationf to designate this function and by evaluation of a function f by the homomorphic evaluation function, the evaluation of the function f in its transformed form. Thus, by way of example, and by abuse of language, evaluation of the decryption procedure is understood to mean the evaluation of this decryption procedure in a form that is eventually transformed and evaluable by the homomorphic evaluation function.

Les différentes procédures définissant l'algorithme de chiffrement homomorphe ALG-FHE sont mises en œuvre en tout ou partie, dans le premier mode de réalisation décrit ici, par lesi différentes entités du système de communication 1 (dispositif émetteur TX 2, dispositif dedétection d'intrusions MB 5 et dispositif de sécurité RG 6), comme détaillé davantageultérieurement.The various procedures defining the ALG-FHE homomorphic encryption algorithm are implemented in whole or in part, in the first embodiment described here, by the different entities of the communication system 1 (transmitting device TX 2, detection device of FIG. intrusions MB 5 and safety device RG 6), as detailed beforehand.

Dans le premier mode de réalisation décrit ici, le dispositif de détection d'intrusions MB5 a l'architecture d'un ordinateur, telle qu'illustrée à la figure 2. Il comprend notamment unprocesseur 7, une mémoire vive 8, une mémoire morte 9, une mémoire flash non volatile 10 ainsique des moyens de communication 11 lui permettant d'une part, d'intercepter toutecommunication entre les dispositifs émetteur TX 2 et récepteur RX 3 sur le réseau NW, et d'autrepart de communiquer avec le dispositif de sécurité RG 6. De tels moyens sont connus en soi et nesont pas décrits plus en détail ici.In the first embodiment described here, the intrusion detection device MB5 has the architecture of a computer, as illustrated in FIG. 2. It notably comprises a processor 7, a random access memory 8, a read-only memory 9 , a nonvolatile flash memory 10 and communication means 11 enabling it, on the one hand, to intercept all communication between the transmitter devices TX 2 and receiver RX 3 on the network NW, and on the other hand to communicate with the security device Such means are known per se and are not described in more detail here.

La mémoire morte 9 du dispositif de détection d'intrusions MB 5 constitue un supportd'enregistrement conforme à l'invention, lisible par le processeur 7 et sur lequel est enregistré iciun programme d'ordinateur PROG1 conforme à l'invention.The read-only memory 9 of the intrusion detection device MB 5 constitutes a recording medium in accordance with the invention, readable by the processor 7 and on which is recorded here a computer program PROG1 according to the invention.

Le programme d'ordinateur PROG1 définit des modules fonctionnels et logiciels ici,configurés pour mettre en œuvre les étapes d'un procédé de détection d'intrusions sur le réseauNW. Ces modules fonctionnels s'appuient sur et/ou commandent les éléments matériels 7-11 dudispositif de détection d'intrusions MB 5 cités précédemment. Ils comprennent notamment ici,comme illustré sur la figure 1 : — un premier module de réception 5A apte à recevoir en provenance du dispositif de sécurité RG6 différents éléments, et notamment : o une fonction CIRC-REGj décrivant chaque expression régulière REGj, j=l,...,J etpouvant être évaluée au moyen de la fonction d'évaluation homomorphe FHE.HOM de i l'algorithme de chiffrement homomorphe ALG-FHE. Une telle fonction est ici un circuit arithmétique (ou circuit booléen), connu en soi. La façon dont ce circuit arithmétiqueest obtenu à partir de l'expression régulière REGj, j=l,...,J par le dispositif de sécuritéRG 6 est décrite ultérieurement ; et o un chiffré FHE-SIGi, i=l,...,I de chaque signature SIGi, i=l,...,I, obtenu ici par le I dispositif de sécurité RG 6 en appliquant la procédure de chiffrement FHE.ENC de l'algorithme de chiffrement homomorphe ALG-FHE paramétrée par une clé publiquepk(RG) de chiffrement du dispositif de sécurité RG 6 générée au moyen de l'algorithmeFHE.KEYGEN.The computer program PROG1 defines functional and software modules here configured to implement the steps of an intrusion detection method on the NW network. These functional modules rely on and / or control the hardware elements 7-11 of the intrusion detection device MB 5 mentioned above. They include in particular here, as illustrated in FIG. 1: a first reception module 5A capable of receiving different elements from the security device RG6, and in particular: a function CIRC-REGj describing each regular expression REGj, j = l , ..., J and can be evaluated by means of the homomorphic evaluation function FHE.HOM of i the homomorphic algorithm ALG-FHE. Such a function is here an arithmetic circuit (or Boolean circuit), known per se. The way in which this arithmetic circuit is obtained from the regular expression REGj, j = l, ..., J by the safety device RG 6 is described later; and o an encryption FHE-SIGi, i = 1, ..., I of each signature SIGi, i = 1, ..., I, obtained here by the security device RG 6 by applying the encryption procedure FHE. ENC of the ALG-FHE homomorphic encryption algorithm parameterized by a public keypk (RG) for encrypting the security device RG 6 generated using the FHE.KEYGEN algorithm.

Le premier module de réception 5A est configuré pour utiliser notamment les moyens deI communication 11 du dispositif de détection d'intrusions MB 5 ; — un second module de réception 5B, apte à recevoir en provenance du dispositif émetteur TX 2un chiffré noté T d'un contenu dérivé d'un message m destiné au dispositif récepteur RX 3. Lechiffré T est généré par le dispositif émetteur TX 2 au moyen de la procédure de chiffrementSYM-ENC de l'algorithme de chiffrement/déchiffrement symétrique ALG-SYM, paramétrée par i la clé de chiffrement secrète K partagée entre le dispositif émetteur TX 2 et le dispositifrécepteur RX 3. Le second module de réception 5B est également configuré pour utiliser lesmoyens de communication 11 du dispositif de détection d'intrusions MB 5.The first receiving module 5A is configured to use in particular the communication means 11 of the intrusion detection device MB 5; A second reception module 5B, able to receive from the transmitting device TX 2 an encrypted denoted T of a content derived from a message m intended for the receiver device RX 3. The coded T is generated by the transmitting device TX 2 by means of of the encryption procedure SYM-ENC of the symmetric encryption / decryption algorithm ALG-SYM, parameterized by the secret encryption key K shared between the transmitting device TX 2 and the receiving device RX 3. The second receiving module 5B is also configured to use the communication means 11 of the intrusion detection device MB 5.

En outre, dans le premier mode de réalisation décrit ici, le second module de réception 5B estconfiguré pour recevoir un chiffré S de la clé de chiffrement secrète K générée par le dispositifémetteur TX 2 en appliquant sur la clé secrète K la procédure de chiffrement FHE.ENC del'algorithme de chiffrement homomorphe ALG-FHE, paramétrée par la clé de chiffrementpublique pk(RG) du dispositif de sécurité RG 6 (autrement dit, le module de réception 5B estdans le premier mode de réalisation un module d'obtention d'un chiffré S de la clé dechiffrement secrète K au sens de l'invention) ; — un module d'obtention 5C d'un chiffré T'du chiffré T. Le chiffré T'résulte de l'application par lemodule d'obtention 5C sur le chiffré T de la procédure de chiffrement FHE.ENC de l'algorithmede chiffrement homomorphe ALG-FHE paramétrée par la clé de chiffrement publique pk(RG)du dispositif de sécurité RG 6.Furthermore, in the first embodiment described here, the second receiving module 5B is configured to receive an encryption S of the secret encryption key K generated by the transmitting device TX 2 by applying to the secret key K the encryption procedure FHE. ENC of the homomorphic algorithm ALG-FHE, parameterized by the public encryption key pk (RG) of the security device RG 6 (in other words, the receiving module 5B is, in the first embodiment, a module for obtaining a encrypted S of the secret decryption key K within the meaning of the invention); A module 5C obtaining a coded encryption T. The encryption results from the application by the obtaining module 5C on the encryption T of the encryption procedure FHE.ENC of the homomorphic encryption algorithm ALG-FHE parameterized by the public encryption key pk (RG) of the security device RG 6.

Dans un second mode de réalisation, décrit plus en détail ultérieurement, le moduled'obtention 5C est en outre configuré pour obtenir un chiffré S de la clé de chiffrement secrèteK, ce chiffré correspondant à l'application de l'algorithme de chiffrement homomorphe ALG-FHE paramétrée par la clé de chiffrement publique pk(RG) du dispositif de sécurité RG 6. Onnote que dans ce second mode de réalisation, le chiffré S est obtenu par le module d'obtention5C par rechiffrement d'un chiffré intermédiaire S' de la clé de chiffrement secrète K fourni audispositif de détection d'intrusions MB 5 par le dispositif émetteur TX 2. Le chiffré S'résulte del'application sur la clé secrète K de l'algorithme de chiffrement homomorphe ALG-FHEi paramétrée par une clé de chiffrement publique pk(RX) du dispositif récepteur RX 3, de sorteque le dispositif de détection d'intrusions MB 5 n'est jamais en possession de la clé secrètepartagée K. Le module d'obtention 5C est alors configuré, dans le second mode de réalisation,pour utiliser une clé de rechiffrement du dispositif récepteur RX 3 vers le dispositif de sécuritéRG 6 pour générer le chiffré S ; I — un premier module d'évaluation 5D de la procédure de déchiffrement symétrique SYM-DEC del'algorithme de chiffrement symétrique ALG-SYM. Le premier module d'évaluation est configurépour réaliser cette évaluation sur le chiffré T et pour utiliser à cet effet la fonction d'évaluationhomomorphe FHE.HOM de l'algorithme de chiffrement homomorphe ALG-FHE et le chiffré S dela clé secrète K. Le premier module d'évaluation 5D est en outre configuré pour fournir unl chiffré V du message m par la procédure de chiffrement FHE.ENC paramétrée par la clépublique de chiffrement pk(RG) du dispositif de sécurité RG 6 ; — un second module d'évaluation 5E configuré pour évaluer en utilisant la fonction d'évaluationFHE.HOM ainsi que les chiffrés FHE-SIGi, i=l,...,I des signatures SIGi, chaque fonction CIRC-REGj décrivant une expression régulière REGj, j=l,...,J, sur le chiffré V du message m. Ce > second module d'évaluation 5E est en outre configuré pour fournir un chiffré d'un résultat dedétection indiquant l'existence ou non d'une expression régulière parmi les expressions REGj,j =1,...,J correspondant au message m ; et — un module de détection 5F d'une intrusion sur le réseau activé si le résultat de détection unefois déchiffré indique qu'il existe au moins une expression régulière REGj, j =1,...,Jcorrespondant au message m.In a second embodiment, described in more detail later, the obtaining module 5C is furthermore configured to obtain an encryption S of the secret encryption key K, this encryption corresponding to the application of the homomorphic encryption algorithm ALG. FHE parameterized by the public encryption key pk (RG) of the security device RG 6. Note that in this second embodiment, the encryption S is obtained by the obtaining module 5C by re-encrypting an intermediate encryption S 'of the secret encryption key K supplied to the intrusion detection device MB 5 by the transmitting device TX 2. The encryption Is the result of the application on the secret key K of the homomorphic encryption algorithm ALG-FHEi parameterized by an encryption key pk (RX) of the receiver device RX 3, so that the intrusion detection device MB 5 is never in possession of the shared secret key K. The obtaining module 5C is then configured, in the second embodiment, to use a re-encryption key of the receiver device RX 3 to the security device RG 6 to generate the encrypted S; I - a first evaluation module 5D of the symmetric decryption procedure SYM-DEC of the symmetric encryption algorithm ALG-SYM. The first evaluation module is configured to perform this evaluation on the encrypted T and to use for this purpose the homomorphic evaluation function FHE.HOM of the homomorphic algorithm ALG-FHE and the encryption S of the secret key K. The first 5D evaluation module is further configured to provide an encrypted message V m by the FHE.ENC encryption procedure set by the encryption public key pk (RG) of the security device RG 6; A second evaluation module 5E configured to evaluate using the evaluation function FHE.HOM as well as the digits FHE-SIGi, i = 1, ..., I of the signatures SIGi, each function CIRC-REGj describing a regular expression REGj, j = l, ..., J, on the encryption V of the message m. This second evaluation module 5E is furthermore configured to provide an encryption of a detection result indicating the existence or not of a regular expression among the expressions REGj, j = 1, ..., J corresponding to the message m ; and a detection module 5F of an intrusion on the activated network if the detection result once deciphered indicates that there exists at least one regular expression REGj, j = 1, ..., corresponding to the message m.

Les fonctions de ces différents modules 5A-5F sont décrites plus en détailultérieurement.The functions of these different modules 5A-5F are described in more detail later.

Le dispositif de sécurité RG 6 a également ici l'architecture matérielle d'un ordinateur,telle qu'illustrée à la figure 3. Il comprend notamment un processeur 12, une mémoire vive 13,une mémoire morte 14, la mémoire flash non volatile 15 dans laquelle sont stockées les signaturesSIGi, i=l,...,I, les chiffrés FHE-SIGi, i=l,...,I ainsi que les expressions régulières REGj, j=l,...,J eti les circuits arithmétiques CIRC-REGj, j=l,...,J décrivant ces expressions régulières. Le dispositif desécurité RG 6 comprend également des moyens de communication 16 lui permettant decommuniquer avec le dispositif de détection d'intrusions MB 5.The security device RG 6 also has here the hardware architecture of a computer, as illustrated in FIG. 3. It notably comprises a processor 12, a random access memory 13, a read-only memory 14, the nonvolatile flash memory 15 in which are stored the signaturesSIGi, i = 1, ..., I, the digits FHE-SIGi, i = 1, ..., I and the regular expressions REGj, j = 1, ..., J and i CIRC-REGj arithmetic circuits, j = l, ..., J describing these regular expressions. The security device RG 6 also comprises communication means 16 enabling it to communicate with the intrusion detection device MB 5.

La mémoire morte du dispositif de sécurité RG 6 constitue un supportd'enregistrement, lisible par le processeur du dispositif de sécurité et sur lequel est enregistré ici' un programme d'ordinateur PROG2 définissant des modules fonctionnels, configurés pour mettreen œuvre les étapes d'un procédé de communication selon l'invention. Ces modules fonctionnelss'appuient sur et/ou commandent les éléments matériels 12-16 du dispositif de sécurité RG 6 citésprécédemment. Ils comprennent notamment dans le premier mode de réalisation décrit ici, commeillustré sur la figure 1 : i — un module de génération de clés 6A, configuré pour utiliser l'algorithme de génération de clésFHE.KEYGEN de l'algorithme de chiffrement homomorphe ALG-FHE afin de générer la paire declés du dispositif de sécurité RG 6 comprenant la clé publique de chiffrement pk(RG) et la cléprivée de déchiffrement sk(RG) correspondante ; — un module de transformation 6B, configuré pour transformer chaque expression régulièrei REGj, j=l,...,J en une fonction décrivant cette expression régulière et pouvant être évaluée au moyen d'une fonction d'évaluation d'un algorithme de chiffrement homomorphe. Dans lepremier mode de réalisation décrit ici, comme évoqué précédemment, le module detransformation 6B est configuré pour transformer chaque expression régulière REGj en uncircuit arithmétique CIRC-REGj ; l — un module de chiffrement 6C, configuré pour générer les chiffrés FHE-SIGi, i=l,...,I à partirdes signatures SIGi, i=l,...,I en utilisant la procédure de chiffrement FHE.ENC de l'algorithmede chiffrement homomorphe ALG-FHE paramétrée par la clé publique pk(RG) de chiffrementdu dispositif de sécurité RG 6 ; et — un module de transmission 6D, configuré pour transmettre chacune des fonctions (circuitsi arithmétiques ici) CIRC-REGj, j=l,...,J décrivant chaque expression régulière REGj, j=l,...,J et chaque chiffré FHE-SIGi, i=l,...,I de chaque signature SIGi, i=l,...,I au dispositif de détectiond'intrusions MB 5. Ce module de transmission 6D s'appuie sur les moyens de communication16 du dispositif de sécurité RG 6.The read-only memory of the security device RG 6 is a recording medium, readable by the processor of the security device and on which is recorded here a computer program PROG2 defining functional modules, configured to implement the steps of a communication method according to the invention. These functional modules rely on and / or control the hardware elements 12-16 of the security device RG 6 mentioned previously. They comprise in particular in the first embodiment described here, as illustrated in FIG. 1: i - a key generation module 6A, configured to use the key generation algorithm FHE.KEYGEN of the homomorphic encryption algorithm ALG-FHE in order to generate the triggered pair of the security device RG 6 comprising the public encryption key pk (RG) and the corresponding decryption key sk (RG); A transformation module 6B, configured to transform each regular expression REGj, j = 1,..., J into a function describing this regular expression and that can be evaluated by means of an evaluation function of an encryption algorithm homomorphic. In the first embodiment described here, as mentioned above, the transformation module 6B is configured to transform each regular expression REGj into an arithmetic circuit CIRC-REGj; an encryption module 6C, configured to generate the encrypted FHE-SIGi, i = 1,..., I from the signatures SIG 1, i = 1,..., I using the encryption procedure FHE.ENC of the homomorphic encryption algorithm ALG-FHE parameterized by the encryption public key pk (RG) of the security device RG 6; and a transmission module 6D, configured to transmit each of the functions (circuits and arithmetic here) CIRC-REGj, j = 1,..., J describing each regular expression REGj, j = 1, ..., J and each cipher FHE-SIGi, i = l, ..., I of each signature SIGi, i = l, ..., I to the detection device of intrusions MB 5. This transmission module 6D is based on the communication means16 of the safety device RG 6.

Dans le premier mode de réalisation décrit ici, le programme d'ordinateur PROG2définit également les modules fonctionnels et logiciels suivants : — un module de réception 6E, s'appuyant aussi sur les moyens de communication 16, et apte àrecevoir en provenance du dispositif de détection d'intrusions MB 5 un chiffré du résultat dedétection généré par le module de détection d'intrusions MB 5 ; et — un module de déchiffrement 6F, configuré pour déchiffrer ce chiffré du résultat de détection enutilisant la procédure de déchiffrement FHE.DEC de l'algorithme de chiffrement homomorpheALG-FHE, paramétrée par la clé privée sk(RG) du dispositif de sécurité RG 6.In the first embodiment described here, the computer program PROG2 also defines the following functional and software modules: a reception module 6E, also relying on the communication means 16, and able to receive from the detection device MB intrusion 5 an encryption of the detection result generated by the MB 5 intrusion detection module; and a decryption module 6F, configured to decrypt this encryption of the detection result by using the FHE.DEC decryption procedure of the homomorphic algorithm ALG-FHE, parameterized by the private key sk (RG) of the security device RG 6 .

En outre, le module de transmission 6D est configuré pour transmettre le résultat dedétection déchiffré par le module 6F au dispositif de détection d'intrusions MB 5.In addition, the transmission module 6D is configured to transmit the detection result decrypted by the module 6F to the intrusion detection device MB 5.

Les fonctions de ces différents modules 6A-6F sont décrites plus en détailultérieurement.The functions of these different modules 6A-6F are described in more detail later.

En variante, la paire de clés pk(RG)/sk(RG) associée au dispositif de sécurité RG 6 peutêtre générée par une autorité de confiance, qui se charge ensuite de publier la clé publique pk(RG)et de transmettre la clé privée sk(RG) de manière sécurisée au dispositif de sécurité RG 6.As a variant, the key pair pk (RG) / sk (RG) associated with the security device RG 6 may be generated by a trusted authority, which is then responsible for publishing the public key pk (RG) and for transmitting the private key sk (RG) securely to the security device RG 6.

On note qu'aucune limitation n'est attachée à la nature des dispositifs émetteur TX 2et récepteur RX 3. Il peut s'agir d'ordinateurs, de serveurs, de terminaux quelconques, dès lors queceux-ci sont aptes à communiquer sur le réseau NW de façon sécurisée en utilisant ici la procédurede chiffrement/déchiffrement de l'algorithme de chiffrement symétrique ALG-SYM et pour lei dispositif émetteur TX 2, la procédure de chiffrement FHE.ENC de l'algorithme de chiffrementhomomorphe ALG-FHE. On suppose ici que les dispositifs TX 2 et RX 3 sont en mesure d'échangerou de partager la clé secrète de chiffrement K.It should be noted that no limitation is attached to the nature of the TX 2 transmitter and RX 3 receiver devices. It may be computers, servers or any terminals, provided that they are able to communicate on the network. NW in a secure way by using here the procedure of encryption / decryption of the symmetric encryption algorithm ALG-SYM and for the transmitter device TX 2, the FHE.ENC encryption procedure of the homomorphic encryption algorithm ALG-FHE. It is assumed here that the TX 2 and RX 3 devices are able to exchange or share the secret encryption key K.

Dans le premier mode de réalisation décrit ici, les dispositifs émetteur TX 2 etrécepteur RX ont l'architecture matérielle d'un ordinateur, cette architecture étant identique à cellei du dispositif de détection d'intrusions MB 5 ou à celle du dispositif de sécurité RB 6, à savoir qu'ilscomprennent un processeur, une mémoire vive, une mémoire morte, la mémoire flash non volatile,ainsi que des moyens de communication leur permettant de communiquer sur le réseau NW.In the first embodiment described here, the transmitter devices TX 2 and receiver RX have the hardware architecture of a computer, this architecture being identical to that of the intrusion detection device MB 5 or that of the security device RB 6. namely, that they comprise a processor, a RAM, a read-only memory, the nonvolatile flash memory, as well as communication means enabling them to communicate on the NW network.

La mémoire morte du dispositif émetteur TX 2 constitue un support d'enregistrement,lisible par le processeur du dispositif émetteur TX 2 et sur lequel est enregistré ici un programmel d'ordinateur définissant des modules fonctionnels s'appuyant sur et/ou commandent les élémentsmatériels du dispositif émetteur TX 2 cités précédemment. Ces modules fonctionnels comprennentnotamment ici, comme illustré sur la figure 1 : — un module 2A de génération d'un chiffré à partir d'un contenu dérivé d'un message m destinéau dispositif récepteur RX 3 en utilisant la procédure de chiffrement SYM-ENC de l'algorithme > de chiffrement symétrique ALG-SYM, paramétrée par la clé de chiffrement secrète K ; — un module 2B de génération d'un chiffré de la clé de chiffrement secrète K, configuré pourutiliser à cet effet la procédure de chiffrement FHE.ENC de l'algorithme de chiffrementhomomorphe ALG-FHE ; et — un module 2C d'émission, configuré pour émettre les deux chiffrés générés par le module 2Aet par le module 2B sur le réseau NW.The read-only memory of the transmitting device TX 2 constitutes a recording medium, readable by the processor of the transmitting device TX 2 and on which is recorded here a computer program defining functional modules based on and / or control the elements of the equipment. transmitter device TX 2 mentioned above. These functional modulesinclude in particular here, as illustrated in FIG. 1: a module 2A for generating an encryption from a content derived from a message m intended for the receiver device RX 3 by using the encryption procedure SYM-ENC of the symmetric encryption algorithm ALG-SYM, parameterized by the secret encryption key K; A module 2B for generating an encryption of the secret encryption key K, configured to use for this purpose the encryption procedure FHE.ENC of the homomorphic algorithm ALG-FHE; and a transmission module 2C, configured to transmit the two ciphers generated by the module 2A and by the module 2B on the network NW.

Par ailleurs, la mémoire morte du dispositif récepteur RX 3 constitue un supportd'enregistrement, lisible par le processeur du dispositif récepteur RX 3 et sur lequel est enregistréici un programme d'ordinateur définissant des modules fonctionnels s'appuyant sur et/oucommandent les éléments matériels du dispositif récepteur RX 3 cités précédemment, etnotamment un module de déchiffrement 3A configuré pour appliquer la procédure dedéchiffrement SYM-DEC de l'algorithme de chiffrement/déchiffrement symétrique ALG-SYMparamétrée par la clé secrète K partagée avec le dispositif émetteur TX 2. i Les fonctions des différents modules 2A-2C et 3A des dispositifs émetteur TX 2 et récepteur RX 3 sont décrites plus en détail ultérieurement.Moreover, the read-only memory of the receiver device RX 3 constitutes a recording medium, readable by the processor of the receiver device RX 3 and on which is recorded a computer program defining functional modules based on and / orcommit the hardware elements. of the receiver device RX 3 mentioned above, and in particular a decryption module 3A configured to apply the SYM-DEC decryption procedure of the symmetric encryption / decryption algorithm ALG-SYM parameter set by the secret key K shared with the TX 2 sending device. The functions of the different modules 2A-2C and 3A of the transmitter devices TX 2 and receiver RX 3 are described in more detail later.

Dans le premier mode de réalisation décrit ici, on suppose que le dispositif 2 estl'émetteur d'un message m et le dispositif 3 le destinataire de ce message. Bien entendu, ces rôlessont interchangeables, et le dispositif 2 peut être muni d'un module identique au module 3A dui dispositif 3 pour recevoir et déchiffrer un message chiffré via le réseau NW, de même que ledispositif 3 peut être muni de modules identiques aux modules 2A-2C du dispositif 2 pour émettredes messages chiffrés sur le réseau NW.In the first embodiment described here, it is assumed that the device 2 is the transmitter of a message m and the device 3 the recipient of this message. Of course, these roles are interchangeable, and the device 2 can be provided with a module identical to the module 3A of the device 3 for receiving and decrypting an encrypted message via the network NW, as well as device 3 can be provided with modules identical to the modules 2A-2C of device 2 for sending encrypted messages on the NW network.

Nous allons maintenant décrire, en référence aux figures 4 et 5 respectivement, lesprincipales étapes d'un procédé de communication et d'un procédé de détection d'intrusions selonl l'invention tel qu'ils sont mis en œuvre respectivement par le dispositif de sécurité RG 6 et par ledispositif de détection d'intrusions MB 5 du système de communication 1 de la figure 1.We will now describe, with reference to FIGS. 4 and 5 respectively, the main steps of a communication method and an intrusion detection method according to the invention as implemented respectively by the security device. RG 6 and by the intrusion detection device MB 5 of the communication system 1 of Figure 1.

En référence à la figure 4, on suppose ici, que durant une phase d'initialisation, ledispositif de sécurité RG 6 génère, via son module de génération de clés 6A, une paire de cléscryptographiques comprenant sa clé publique pk(RG) et sa clé privée sk(RG) (étape E10). A ceti effet, il utilise, comme mentionné précédemment, l'algorithme FHE.KEYGEN de l'algorithme dechiffrement homomorphe ALG-FHE, paramétré par le paramètre de sécurité λ avec λ=128 bits ici.With reference to FIG. 4, it is assumed here that during an initialization phase, the security device RG 6 generates, via its key generation module 6A, a pair of encryptographic keys comprising its public key pk (RG) and its key private sk (RG) (step E10). For this purpose, it uses, as mentioned above, the FHE.KEYGEN algorithm of the homomorphic algorithm ALG-FHE, parameterized by the security parameter λ with λ = 128 bits here.

La clé publique pk(RG) du dispositif de sécurité RG 6 est publiée (i.e. rendue publique)sur le réseau NW, de sorte à être connue notamment du dispositif de détection d'intrusions RG 6 etdu dispositif émetteur TX 2 (étape E20). ) Le dispositif de sécurité RG 6 transforme ensuite, via son module de transformation 6B, chaque expression régulière REGj, j=l,...,J portant sur une ou plusieurs signatures SIGi,i=l,...,I, en une fonction décrivant cette expression et pouvant être évaluée par une fonctiond'évaluation homomorphe et notamment par la fonction d'évaluation homomorphe FHE.HOM del'algorithme de chiffrement homomorphe ALG-FHE (étape E30). Dans le premier mode de 5 réalisation décrit ici, la transformation opérée par le module 6B consiste à transformer chaqueexpression régulière REGj, j=l,...,J, en un circuit arithmétique CIRC-REGj, j=l,...J. Partransformation de l'expression régulière REGj, on entend transformation de sa structure, c'est-à-dire de sa partie algorithmique à proprement parler, cette expression régulière étant destinée à être appliquée ici sur des éléments chiffrés. Cette transformation vise à permettre la comparaisond'une chaîne de caractères chiffrée avec l'expression régulière en question pour déterminer si uneconcordance existe, i.e. si la chaîne de caractères chiffrée que l'on examine (i.e. observe) coïncideavec l'une des chaînes de caractères définies par l'expression régulière. : Dans le premier mode de réalisation décrit ici, le module de transformation 6B utilise, pour transformer chaque expression régulière REGj en un circuit arithmétique, un automate ànombre fini d'états non déterministe ou NFA (pour Non Finite Automaton) modélisant cetteexpression régulière ainsi qu'une fonction de sélection des états de cet automate. A titre illustratif,la figure 6 représente un tel automate NFAex pour l'expression régulière « p(a|b) ». Il s'agit d'uni graphe orienté, dont les sommets sont des états et les arêtes caractérisent les transitionspermettant de passer d'un état à l'autre.The public key pk (RG) of the security device RG 6 is published (i.e. made public) on the network NW, so as to be known in particular of the intrusion detection device RG 6 and the transmitting device TX 2 (step E20). ) The security device RG 6 then transforms, via its transformation module 6B, each regular expression REGj, j = 1, ..., J relating to one or more signatures SIGi, i = 1, ..., I, in a function describing this expression and that can be evaluated by a homomorphic evaluation function and in particular by the homomorphic evaluation function FHE.HOM of the homomorphic algorithm ALG-FHE (step E30). In the first embodiment described here, the transformation effected by the module 6B consists in transforming each regular expression REGj, j = 1,..., J into an arithmetic circuit CIRC-REGj, j = 1,... . Partransformation of the regular expression REGj, we mean transformation of its structure, that is to say of its algorithmic part strictly speaking, this regular expression being intended to be applied here on ciphered elements. This transformation is intended to allow the comparison of an encrypted character string with the regular expression in question to determine whether a concordance exists, ie whether the encrypted string of characters being examined (ie, observed) coincides with one of the character strings. defined by the regular expression. In the first embodiment described here, the transformation module 6B uses, to transform each regular expression REGj into an arithmetic circuit, a finite state automaton of non-deterministic states or NFA (for Non Finite Automaton) modeling this regular expression as well as a function for selecting the states of this automaton. By way of illustration, FIG. 6 represents such an NFAex automaton for the regular expression "p (a | b)". It is a uni-graph oriented, whose vertices are states and the edges characterize transitions allowing to pass from one state to another.

Par exemple sur la figure 6, l'automate NFAex comprend trois états distincts, à savoir : — un état initial ql ; — un état accepté (ou vérifié) q2 ; etl — un état rejeté (ou non vérifié) q3.For example in FIG. 6, the NFAex automaton comprises three distinct states, namely: an initial state q1; - an accepted (or verified) state q2; etl - a rejected (or unverified) state q3.

Les transitions permettant de passer d'un état à l'autre sont représentées sur la figure 6 en association avec les valeurs des caractères commandant ces transitions. L'automate NFAex permet ainsi de comparer n'importe quelle chaîne de caractères àl'expression régulière « p(a| b) ». En effet, partant de l'état initial ql, si le premier caractère de lai chaîne de caractères observée est un « p », alors une transition vers l'état q2 (« accepté ») del'automate NFAex est opérée. Si le caractère est différent de « p » (modélisé par p), alors unetransition vers l'état q3 (« rejeté ») est opérée. Si l'état q2 est atteint, on observe alors ledeuxième caractère de la chaîne. S'il s'agit d'un « a », l'automate reste dans l'état q2. Sinon, unetransition vers q3 est opérée, et ainsi de suite pour les autres caractères de la chaîne de caractèresi examinée. Ainsi, partant de l'état initial ql, si après examen de tous les caractères de la chaîne decaractères, l'état final obtenu est l'état accepté q2, alors cela signifie que la chaîne de caractèresobservée est bien définie par l'expression régulière « p(a|b) ». En revanche, si l'état final obtenuest l'état accepté q3, cela signifie que l'expression régulière observée ne répond pas à la définitionde l'expression régulière « p(a| b) ». > Cet automate est traduit sous forme de circuit arithmétique en introduisant la fonction de sélection Select suivante :The transitions from one state to another are shown in Figure 6 in association with the character values controlling these transitions. The NFAex automaton thus makes it possible to compare any string of characters with the regular expression "p (a | b)". Indeed, starting from the initial state ql, if the first character of the string of characters observed is a "p", then a transition to the state q2 ("accepted") of the NFAex automaton is operated. If the character is different from "p" (modeled by p), then a transition to state q3 ("rejected") is made. If the state q2 is reached, then the second character of the string is observed. If it is an "a", the automaton remains in the state q2. Otherwise, a transformation to q3 is performed, and so on for the other characters in the string of characters examined. Thus, starting from the initial state ql, if after examination of all the characters of the character string, the final state obtained is the accepted state q2, then this means that the string of characters observed is well defined by the regular expression "P (a | b)". On the other hand, if the final state obtained is the accepted state q3, it means that the observed regular expression does not meet the definition of the regular expression "p (a | b)". > This automaton is translated as an arithmetic circuit by introducing the following Select selection function:

Select(x,y,z)=x.y+(l-x).z où y, z désignent ici des entiers relatifs, et x prend les valeurs 0 ou 1. La fonction Select ainsidéfinie retourne la valeur « y » si x=l et la valeur « z » si x=0. Cette fonction de sélection Selecti est utilisée ici pour modéliser chaque transition de l'automate, en appliquant la conventionsuivante : x=l-([ci]-[ci']) Y=[q2] z=[q3] où i désigne la position du caractère ci' observé dans la chaîne de caractères en cours d'examen(i=l,...,P si P désigne le nombre de caractères dans la chaîne), et ci désigne le caractère associépar l'automate à la transition entre l'état [qi] et l'état [qi+1]. Selon cette convention, si les: caractères ci et ci' sont identiques, alors c vaut 1, et l'état accepté q2 est sélectionné, sinon c vaut 0 et l'état rejeté q3 est sélectionné.Select (x, y, z) = x.y + (lx) .z where y, z denote relative integers here, and x takes the values 0 or 1. The select function uninsidefined returns the value "y" if x = l and the value "z" if x = 0. This selection function Selecti is used here to model each transition of the automaton, applying the following convention: x = l - ([ci] - [ci ']) Y = [q2] z = [q3] where i denotes the position of the character observed in the string of characters being examined (i = 1, ..., P if P denotes the number of characters in the string), and ci designates the character associated with the automaton at the transition between the state [qi] and the state [qi + 1]. According to this convention, if the: characters ci and ci 'are identical, then c is 1, and the accepted state q2 is selected, otherwise c is 0 and the rejected state q3 is selected.

En appliquant pas à pas cette fonction de sélection, le module de transformation 6Bpeut modéliser chaque test mis en œuvre par l'automate à partir d'une chaîne de caractèresobservée. Ainsi dans l'exemple de l'automate NFAex, si l'on considère une chaîne de caractèresi observée comprenant deux caractères [cl c2] que l'on souhaite comparer à l'expression régulière« p(a|b) », le parcours dans l'automate NFAex peut être traduit ainsi : — pour le premier caractère [cl], partant de ql, on va vers un état el défini par :el=[l-([p]-[cl])].[q2]+([p]-[cl]).[q3] (eql) soit el vaut q2 (état accepté) si [cl]=[p] et q3 (état rejeté) sinon ; i — pour le deuxième caractère [c2], deux comparaisons sont effectuées au moyen de l'automatepar rapport aux deux alternatives possibles « a » et « b » définies par l'expression régulière(i.e. (a| b)), qui se traduisent par les états e2 et e3 suivants dans lesquels [el==q2] vaut 1 siel est égal à q2 et 0 sinon : e2=[el==q2].([l-([a]-[c2])].[q2]+([a]-[c2]).[q3J) (eq2) I soit e2 vaut q2 (état accepté) si [c2]=[a] et q3 (état rejeté) sinon, ete3=[el==q2].([l-([b]-[c2])].[q2]+([b]-[c2]).[q3]) (eq3)soit e3 vaut q2 (état accepté) si [c2]=[b] et q3 (état rejeté) sinon. L'état final est l'état accepté q2 si e2 ou e3 vaut q2. Le résultat RES de la détectionopérée via l'automate peut donc être traduit en langage booléen sous la forme suivante : i RES=[e2==q2]+[e3==q2] (eq4).By applying this selection function step by step, the transformation module 6Bcan model each test implemented by the automaton from an observed string of characters. Thus, in the example of the NFAex automaton, if we consider an observed string of characters comprising two characters [cl c2] that we wish to compare with the regular expression "p (a | b)", the path in the NFAex automaton can be translated as follows: - for the first character [cl], starting from ql, we go to a state el defined by: el = [l - ([p] - [cl])]. [q2 ] + ([p] - [cl]). [q3] (eql) let el be q2 (accepted state) if [cl] = [p] and q3 (rejected state) otherwise; i - for the second character [c2], two comparisons are made by means of the automaton with respect to the two possible alternatives "a" and "b" defined by the regular expression (ie (a | b)), which translate by the following states e2 and e3 in which [el == q2] equals 1 siel is equal to q2 and 0 otherwise: e2 = [el == q2]. ([l - ([a] - [c2])]. [q2] + ([a] - [c2]). [q3J) (eq2) I is e2 is q2 (accepted state) if [c2] = [a] and q3 (rejected state) otherwise, ete3 = [el = = q2]. ([l - ([b] - [c2])]. [q2] + ([b] - [c2]). [q3]) (eq3) where e3 is q2 (accepted state) if [ c2] = [b] and q3 (rejected state) otherwise. The final state is the accepted state q2 if e2 or e3 is q2. The result RES of the detectionoperation via the automaton can thus be translated into Boolean language in the following form: i RES = [e2 == q2] + [e3 == q2] (eq4).

La fonction définissant le résultat RES et donnée par l'équation (eq4), dans laquelle lesétats el, e2 et e3 ont été remplacés par leurs définitions données aux équations (eql), (eq2) et(eq3), constitue une fonction représentant l'expression régulière « p(a| b) » sous forme de circuitarithmétique CIRC. Une telle fonction peut avantageusement être évaluée par la fonction) d'évaluation FHE.HOM de l'algorithme de chiffrement homomorphe.The function defining the result RES and given by the equation (eq4), in which the states el, e2 and e3 have been replaced by their definitions given to the equations (eql), (eq2) and (eq3), constitutes a function representing the regular expression "p (a | b)" in the form of CIRC circuitry. Such a function can advantageously be evaluated by the evaluation function FHE.HOM of the homomorphic encryption algorithm.

On note que l'exemple relativement simple de l'expression régulière « p(a|b) » n'a étédonné ici qu'à titre illustratif. L'article de S. Fau et al. intitulé « Towards practical programexecution overfully homomorphic encryption schemes », 2013 Eighth International Conférence onP2P, Parallel, Grid, Cloud and Internet Computing, pages 284-290 introduit d'autres exemplesj basés sur la fonction de sélection Select et permettant de traduire divers algorithmes sous formede circuits arithmétiques.Note that the relatively simple example of the regular expression "p (a | b)" has been enumerated here for illustrative purposes only. The article by S. Fau et al. titled "Towards practical programexecution overfully homomorphic encryption schemes", 2013 Eighth International Conference on P2P, Parallel, Grid, Cloud, and Internet Computing, pages 284-290 introduces other examples based on the Select selection function and allowing various algorithms to be translated into form. arithmetic circuits.

Dans le premier mode de réalisation, le module de transformation 6B procède de façonidentique à ce qui a été précédemment décrit dans l'exemple de l'expression régulière « p(a| b) » pour transformer chaque expression régulière REGj, j=l,...,J en un circuit arithmétique CIRC-REGj.Autrement dit, il s'appuie d'une part, sur un automate NFA à nombre fini d'états non déterministemodélisant cette expression régulière, et d'autre part, sur la fonction de sélection Selectprécédemment introduite, et fournit un circuit arithmétique CIRC-REGj définissant un résultat dedétection RESj, j=l,...,J. On note que chaque circuit arithmétique CIRC-REGj est destiné à êtreappliqué sur des éléments chiffrés et que le résultat de détection RESj qu'il fournit est lui-même unélément chiffré.In the first embodiment, the transformation module 6B proceeds in a manner identical to that previously described in the example of the regular expression "p (a | b)" to transform each regular expression REGj, j = 1, ..., J in an arithmetic circuit CIRC-REGj.In other words, it relies on the one hand, on a NFA automaton with a finite number of states not determinemodélisant this regular expression, and on the other hand, on the function previously introduced, and provides an arithmetic circuit CIRC-REGj defining a detection result RESj, j = 1, ..., J. It will be noted that each arithmetic circuit CIRC-REGj is intended to be applied to encrypted elements and that the detection result RESj that it provides is itself an encrypted element.

Il convient de noter également que le circuit arithmétique CIRC-REGj obtenu par lemodule de transformation 6B pour chaque expression régulière REGj offre une représentationcompacte de l'expression régulière REGj, évaluable par la fonction d'évaluation homomorpheFHE.HOM. D'autres représentations peuvent toutefois être envisagées en variante. Ainsi parexemple, on peut envisager une autre fonction décrivant l'expression régulière REGj consistant àénumérer toutes les chaînes de caractères possibles définies par l'expression régulière REGj. Oncomprend bien toutefois qu'une telle représentation peut devenir très complexe voire inappropriéepour certaines expressions régulières comprenant par exemple l'opérateur *.It should also be noted that the arithmetic circuit CIRC-REGj obtained by the transformation module 6B for each regular expression REGj offers a compact representation of the regular expression REGj, evaluable by the homomorphic evaluation function FHE.HOM. Other representations may however be envisaged alternatively. For example, another function describing the regular expression REGj consisting of enumerating all the possible character strings defined by the regular expression REGj can be envisaged. It is understood, however, that such a representation can become very complex or even inappropriate for certain regular expressions including for example the operator *.

En outre, dans le mode de réalisation décrit ici, le module de transformation 6Bdétermine un circuit arithmétique distinct pour chaque expression régulière : autrement dit, uncircuit arithmétique représente une unique expression régulière. Dans un autre mode deréalisation, on peut envisager que le module de transformation 6B définisse un seul circuitarithmétique représentant toutes les expressions régulières, ou plusieurs circuits arithmétiquesreprésentant chacun une ou plusieurs expressions régulières.Further, in the embodiment described here, the transformation module 6B determines a separate arithmetic circuit for each regular expression: that is, an arithmetic circuit represents a single regular expression. In another embodiment, it can be envisaged that the transformation module 6B defines a single circuitarithmetic representing all the regular expressions, or several arithmetic circuits each representing one or more regular expressions.

Les circuits arithmétiques CIRC-REGj sont stockés ici par le module de transformation6B dans la mémoire non volatile 15 du dispositif de sécurité RG 6. Comme mentionnéprécédemment, ces circuits arithmétiques CIRC-REGj, j=l,...,J, sont destinés à être appliqués sur: des éléments chiffrés et nécessitent à cet effet la connaissance des chiffrés des signatures caractéristiques SIGi, i=l,...,I.The CIRC-REGj arithmetic circuits are stored here by the transformation module 6B in the non-volatile memory 15 of the safety device RG 6. As previously mentioned, these arithmetic circuits CIRC-REGj, j = 1, ..., J, are intended to to be applied on: ciphered elements and require for this purpose the knowledge of the cipherings of the characteristic signatures SIGi, i = l, ..., I.

En référence de nouveau à la figure 4, le dispositif de sécurité RG 6 génère donc pourchaque signature SIGi, i=l, un chiffré FHE-SIGi de cette signature, via son module de chiffrement6C (étape E40). i On note que les étapes E30 et E40 peuvent être inversées chronologiquement ou être mises en œuvre en parallèle.Referring again to FIG. 4, the security device RG 6 thus generates for each signature SIGi, i = 1, an encrypted FHE-SIGi of this signature, via its encryption module 6C (step E40). It is noted that steps E30 and E40 can be reversed chronologically or implemented in parallel.

Plus précisément, dans le premier mode de réalisation décrit ici, le module dechiffrement 6C chiffre chaque signature SIGi, i=l,...,I en lui appliquant la procédure de chiffrementFHE.ENC de l'algorithme de chiffrement homomorphe ALG-FHE, paramétrée par la clé publique dei chiffrement pk(RG) du dispositif de sécurité RG 6.More precisely, in the first embodiment described here, the decryption module 6C encrypts each signature SIGi, i = 1,..., I by applying to it the encryption procedure FHE.ENC of the homomorphic encryption algorithm ALG-FHE, parameterized by the public key of encryption pk (RG) of the security device RG 6.

Puis le module de transmission 6D du dispositif de sécurité RG 6 transmet au dispositifde détection d'intrusions MB 5, via les moyens de communication 16 du dispositif de sécurité RG 6,les circuits arithmétiques CIRC-REGj, j=l,...,J, décrivant les expressions régulières REGj, j=l,...,J ainsi que les signatures chiffrées FHE-SIGi, i=l,...,I (étape E50). On note que les signatures enclair SIGi, i=l,...,I sont gardées secrètes par le dispositif de sécurité RG 6 à l'égard du dispositif dedétection d'intrusions MB 5 : seules leurs formes chiffrées et la structure des expressions régulières(sous forme de circuits arithmétiques) sont transmises au dispositif de détection d'intrusions MB 5. i En référence à la figure 5, le dispositif de détection MB 5 stocke les circuits arithmétiques CIRC-REGj, j=l,...,J et les signatures chiffrées FHE-SIGi, i=l,...,I reçus du dispositifde sécurité RG 6 par son premier module de réception 5A dans sa mémoire non volatile 10 (étapeF10).Then the transmission module 6D of the safety device RG 6 transmits to the intrusion detection device MB 5, via the communication means 16 of the safety device RG 6, the arithmetic circuits CIRC-REGj, j = 1, ..., J, describing the regular expressions REGj, j = l, ..., J as well as the encrypted signatures FHE-SIGi, i = 1,..., I (step E50). It is noted that the lightning signatures SIGi, i = 1, ..., I are kept secret by the security device RG 6 with respect to the intrusion detection device MB 5: only their encrypted forms and the structure of the regular expressions (In the form of arithmetic circuits) are transmitted to the intrusion detection device MB 5. With reference to FIG. 5, the detection device MB 5 stores the arithmetic circuits CIRC-REGj, j = 1,. and the encrypted signatures FHE-SIGi, i = 1,..., I received from the security device RG 6 by its first reception module 5A in its non-volatile memory 10 (step F10).

On suppose maintenant que le dispositif émetteur TX 2 souhaite émettre un messagei m à destination du dispositif récepteur RX 3. Le message m peut être constitué d'un ou deplusieurs paquets de données. Dans la suite de la description par souci de simplification, onconsidère un unique paquet de données constitué d'une pluralité de caractères ml,m2,...,mL, Ldésignant un entier supérieur à 1.It is now assumed that the transmitting device TX 2 wishes to transmit a message i to the receiver device RX 3. The message m may consist of one or more data packets. In the following description for the sake of simplification, consider a single data packet consisting of a plurality of characters ml, m2, ..., mL, L describing an integer greater than 1.

En préparation de cet échange, le dispositif de détection d'intrusions MB 5 génère, i dans le premier mode de réalisation décrit ici, un nombre aléatoire (i.e. aléa) xO qu'il envoie via leréseau NW au dispositif émetteur TX 2 (étape F20). Dans le premier mode de réalisation décrit ici,ce nombre aléatoire xO a vocation à permettre au dispositif de sécurité RG 6 de vérifier si ledispositif émetteur TX2 est honnête, comme détaillé davantage ultérieurement. Il est doncégalement transmis au dispositif de sécurité RG 6.In preparation for this exchange, the intrusion detection device MB 5 generates, i in the first embodiment described here, a random number (ie random) xO that it sends via the NW network to the transmitter device TX 2 (step F20 ). In the first embodiment described here, this random number xO is intended to allow the security device RG 6 to check if the transmitter device TX2 is honest, as detailed further later. It is therefore also transmitted to the safety device RG 6.

i La figure 7 illustre les principales étapes mises en œuvre par le dispositif émetteur TX 2 lors de son échange du message m avec le dispositif récepteur RX 3.FIG. 7 illustrates the main steps implemented by the transmitter device TX 2 during its exchange of the message m with the receiver device RX 3.

En préparation de l'envoi du message m, le dispositif émetteur TX 2 génère une clésecrète K de chiffrement, qu'il partage avec le dispositif récepteur RX 3, par exemple, via unéchange sécurisé mis en œuvre entre les deux dispositifs (étape G10). Cet échange sécurisé peutl s'appuyer par exemple sur la procédure standard prévue par les protocoles SSL/TLS. La clé secrèteK est ici éphémère, dans le sens où elle est générée pour la connexion présente avec le dispositifrécepteur RX 3.In preparation for sending the message m, the transmitting device TX 2 generates an encryption key K, which it shares with the receiver device RX 3, for example, via a secure exchange implemented between the two devices (step G10) . This secure exchange may, for example, rely on the standard procedure provided by the SSL / TLS protocols. The secret key K is here ephemeral, in the sense that it is generated for the connection present with the receiver device RX 3.

Puis, dans le premier mode de réalisation décrit ici, suite à la réception de l'aléa xO(étape G20), le dispositif émetteur TX 2 génère un contenu CONT en concaténant l'aléa xO avec lel message m qu'il souhaite envoyer au dispositif récepteur RX 3 (étape G30). Le contenu CONT estun contenu dérivé du message m au sens de l'invention. Dans un autre mode de réalisationn'utilisant pas l'aléa xO, le contenu CONT dérivé du message m est constitué uniquement dumessage m.Then, in the first embodiment described here, following the receipt of the random event xO (step G20), the transmitting device TX 2 generates a content CONT by concatenating the hazard xO with the message m that it wishes to send to receiver device RX 3 (step G30). The content CONT is a content derived from the message m within the meaning of the invention. In another embodiment not using the xO hazard, the CONT content derived from the message m consists of only the message m.

Le dispositif émetteur TX 2 génère alors, au moyen de son module 2A, un chiffré T dui contenu CONT en lui appliquant la procédure de chiffrement SYM-ENC de l'algorithme dechiffrement symétrique ALG-SYM paramétrée par la clé de chiffrement secrète K (étape G40).The transmitting device TX 2 then generates, by means of its module 2A, an encryption T of content CONT by applying to it the encryption procedure SYM-ENC of the symmetric decryption algorithm ALG-SYM parameterized by the secret encryption key K (step G40).

Le dispositif émetteur TX 2 génère par ailleurs, dans le premier mode de réalisationdécrit ici, par l'intermédiaire de son module 2B, un chiffré S de la clé de chiffrement secrète K(étape G50).The transmitting device TX 2 also generates, in the first embodiment described here, via its module 2B, an encryption S of the secret encryption key K (step G50).

Le chiffré S est généré par le module 2B en appliquant à la clé secrète K la procédurede chiffrement FHE.ENC de l'algorithme de chiffrement homomorphe ALG-FHE, paramétrée par laclé de chiffrement publique pk(RG) du dispositif de sécurité RG 6.The encryption S is generated by the module 2B by applying to the secret key K the encryption procedure FHE.ENC of the homomorphic encryption algorithm ALG-FHE, parameterized by laclé public encryption pk (RG) of the security device RG 6.

Puis, le dispositif émetteur TX 2 par le biais de son module d'émission 2C, émet lechiffré T du contenu CONT et le chiffré S de la clé secrète K à destination du dispositif récepteurRX 3 (étape G60).Then, the transmitting device TX 2 by means of its transmission module 2C transmits the difference T of the content CONT and the encryption S of the secret key K to the receiver device RX 3 (step G60).

En référence à la figure 5 de nouveau, le chiffré T et le chiffré S émis par le dispositifémetteur TX 2 à destination du dispositif récepteur RX 3 sont interceptés par le module dedétection d'intrusions MB 5, et plus particulièrement par son second module de réception 5B(étape F30). L'interception du chiffré S par le dispositif de détection d'intrusions MB 5 constitueune étape d'obtention du chiffré S au sens de l'invention.With reference to FIG. 5 again, the encryption T and the encryption S transmitted by the transmitter device TX 2 to the receiver device RX 3 are intercepted by the intrusion detection module MB 5, and more particularly by its second reception module 5B (step F30). The interception of the encrypted S by the intrusion detection device MB 5 constitutes a step of obtaining the encryption S within the meaning of the invention.

Le dispositif émetteur TX 2 génère par ailleurs, par le biais de son module d'obtention5C un chiffré T' du chiffré T en appliquant sur le chiffré T la procédure de chiffrement FHE.ENC del'algorithme de chiffrement homomorphe ALG-FHE, paramétrée par la clé publique de chiffrementpk(RG) du dispositif de sécurité RG 6 (étape F40). Il en résulte la relation suivante : T'=FHE.ENC(SYM-ENC((xO|m),K),pk(RG)).The transmitting device TX 2 also generates, by means of its obtaining module 5C, an encryption T 'of the encryption T by applying to the encryption T the encryption procedure FHE.ENC of the homomorphic encryption algorithm ALG-FHE, parameterized by the public encryption keypk (RG) of the security device RG 6 (step F40). This results in the following relation: T '= FHE.ENC (SYM-ENC ((xO | m), K), pk (RG)).

i Puis, via son premier module d'évaluation 5D, le dispositif de détection d'intrusions MB 5 évalue la procédure de déchiffrement SYM-DEC de l'algorithme de chiffrement/déchiffrementsymétrique ALG-SYM sur le chiffré T' (étape F50). Il utilise à cet effet une description de laprocédure de déchiffrement SYM-DEC sous forme de circuit arithmétique et le chiffré S de la clésecrète partagée K, sur lesquelles il applique la fonction d'évaluation homomorphe FHE.HOM de: l'algorithme de chiffrement homomorphe ALG-FHE. On note que l'obtention d'une description de la procédure de déchiffrement SYM-DEC sous forme d'un circuit arithmétique ou plus généralementsous une forme qui peut être évaluée par la fonction d'évaluation homomorphe FHE.HOM ne posepas de difficulté en soi, la plupart des algorithmes de déchiffrement se présentant déjà sous unetelle forme.Then, via its first evaluation module 5D, the intrusion detection device MB 5 evaluates the decryption procedure SYM-DEC of the encryption / decryption algorithm ALG-SYM on the encryption T '(step F50). For this purpose, it uses a description of the decryption procedure SYM-DEC in the form of an arithmetic circuit and the encryption S of the shared secret key K, on which it applies the homomorphic evaluation function FHE.HOM of: the homomorphic encryption algorithm ALG-FHE. It is noted that obtaining a description of the SYM-DEC decryption procedure in the form of an arithmetic circuit or, more generally, a form that can be evaluated by the homomorphic evaluation function FHE.HOM does not pose any difficulty in itself. most of the decryption algorithms are already in this form.

I Grâce aux propriétés du chiffrement homomorphe, le premier module d'évaluation 5D obtient d'une part, un chiffré V du message m par la procédure de chiffrement FHE.ENCparamétrée par la clé publique de chiffrement pk(RG) du dispositif de sécurité RG 6, et d'autrepart, un chiffré V' de l'aléa xO par la procédure de chiffrement FHE.ENC paramétrée par la clépublique de chiffrement pk(RG) du dispositif de sécurité RG 6, soit : i V=FHE.ENC(m,pk(RG)) et V'= FHE.ENC(xO,pk(RG))By virtue of the properties of the homomorphic encryption, the first evaluation module 5D obtains, on the one hand, an encryption V of the message m by the encryption procedure FHE.ENCparametered by the public encryption key pk (RG) of the security device RG 6, and on the other hand, an encryption V 'of the hazard xO by the encryption procedure FHE.ENC parameterized by the encryption public key pk (RG) of the security device RG 6, namely: i V = FHE.ENC ( m, pk (RG)) and V '= FHE.ENC (xO, pk (RG))

Le dispositif de détection d'intrusions MB 5, via son second module d'évaluation 5E,évalue alors sur le chiffré V chaque expression régulière REGj, j=l,...,J. Il utilise à cet effet ladescription de chaque expression régulière REGj sous forme de circuit arithmétique CIRC-REGj et les chiffrés FHE-SIGi, i=l,...,I des signatures sur lesquels il applique la fonction d'évaluationhomomorphe FHE.HOM de l'algorithme de chiffrement homomorphe ALG-FHE (étape F60).The intrusion detection device MB 5, via its second evaluation module 5E, then evaluates on the cipher V each regular expression REGj, j = 1, ..., J. It uses for this purpose the description of each regular expression REGj in the form of arithmetic circuit CIRC-REGj and the encrypted FHE-SIGi, i = 1, ..., I of the signatures on which it applies the evaluation functionomorph FHE.HOM of the homomorphic encryption algorithm ALG-FHE (step F60).

En raison des propriétés du chiffrement homomorphe, le second module d'évaluation5E obtient à l'issue de cette évaluation un résultat intermédiaire de détection chiffré RESj pourchaque expression régulière REGj, j=l,...,J. Chaque résultat intermédiaire de détection RESj estégal à 1 si le chiffré V correspond à l'expression régulière REGj, et à 0 sinon.Because of the properties of homomorphic encryption, the second evaluation module5E obtains at the end of this evaluation an intermediate encrypted detection result RESj for each regular expression REGj, j = 1, ..., J. Each intermediate detection result RESj is equal to 1 if the cipher V corresponds to the regular expression REGj, and to 0 otherwise.

Ainsi, une correspondance avec une règle de détection établie par l'éditeur de sécuritéest détectée si l'un au moins des résultats intermédiaires RESj est égal à 1. Le second moduled'évaluation évalue ici, à partir des résultats intermédiaires, un résultat de détection chiffré B selonl'expression :Thus, a match with a detection rule established by the security editor is detected if at least one of the intermediate results RESj is equal to 1. The second evaluation module evaluates here, from the intermediate results, a detection result. B-number according to the expression:

B=RESl+RES2+...+RESJ où « + » désigne ici l'opérateur booléen OU, de sorte que le résultat B est égal à 0 ou 1.B = RESl + RES2 + ... + RESJ where "+" here designates the OR Boolean operator, so that the result B is equal to 0 or 1.

On note que dans le mode de réalisation décrit ici, chaque expression régulière estdécrite au moyen d'un circuit arithmétique distinct. Comme mentionné précédemment, dans unautre mode de réalisation, on peut envisager d'avoir une seule et même fonction, c'est-à-dire ici unseul et même circuit arithmétique, décrivant l'ensemble des expressions régulières auquel cas lerésultat de détection chiffré B est directement obtenu en sortie de la fonction d'évaluationFHE.HOM. Dans un autre mode de réalisation, on considère plusieurs circuits arithmétiquesdécrivant chacun une ou plusieurs expressions régulières, le résultat de détection chiffré B étanti alors obtenu en sommant les résultats intermédiaires obtenus après évaluation de chacun de cescircuits.Note that in the embodiment described here, each regular expression is described by means of a separate arithmetic circuit. As mentioned above, in another embodiment, it is conceivable to have a single function, that is to say here one single and same arithmetic circuit, describing the set of regular expressions in which case the result of encrypted detection B is directly obtained at the output of the FHE.HOM evaluation function. In another embodiment, several arithmetic circuits are described, each writing one or more regular expressions, the encrypted detection result B then obtained by summing the intermediate results obtained after evaluation of each of these circuits.

Le résultat de détection chiffré B vérifie par ailleurs la relation suivante :B=FHE.ENC(det(m),pk(RG)). où det(m) désigne le résultat de détection qui serait obtenu en appliquant les expressions: régulières REGj directement sur le message m.The encrypted detection result B also satisfies the following relationship: B = FHE.ENC (det (m), pk (RG)). where det (m) denotes the detection result that would be obtained by applying the expressions: regular REGj directly to the message m.

Dans le premier mode de réalisation décrit ici, le dispositif de détection d'intrusions MB5 transmet via ses moyens de communication 11 le résultat de détection chiffré B au dispositif desécurité RG 6 (étape F70). Il lui transmet également le chiffré V'.In the first embodiment described here, the intrusion detection device MB5 transmits via its communication means 11 the encrypted detection result B to the security device RG 6 (step F70). He also transmits the encrypted V '.

En référence à la figure 4, sur réception des chiffrés B et V' par son module de > réception 6E (étape E60), le dispositif de sécurité RG 6 déchiffre le résultat de détection chiffré B(étape E70). Son module de déchiffrement 6F utilise à cet effet la procédure de déchiffrementFHE.DEC de l'algorithme de chiffrement homomorphe ALG-FHE paramétrée par la clé dedéchiffrement privée sk(RG) du dispositif de sécurité RG 6. Il obtient ainsi le résultat de détectiondet(m), qu'il transmet en retour, via son module de transmission 6D, au dispositif de détection > d'intrusions MB 5 (étape E80).With reference to FIG. 4, on receipt of the digits B and V 'by its receiving module 6E (step E60), the security device RG 6 decrypts the encrypted detection result B (step E70). Its decryption module 6F uses for this purpose FHE.DEC decryption procedure of the homomorphic encryption algorithm ALG-FHE parameterized by the private decryption key sk (RG) of the security device RG 6. It thus obtains the result of detectiondet ( m), which it transmits back via its transmission module 6D to the intrusion detection device MB 5 (step E80).

Par ailleurs, dans le premier mode de réalisation décrit ici, le dispositif de sécurité RG 6vérifie également l'intégrité de l'aléa xO (étape E90). A cet effet, il déchiffre au moyen de sonmodule de déchiffrement 6F le chiffré V' en lui appliquant la procédure de déchiffrement FHE.DEC paramétrée par la clé de déchiffrement privée sk(RG) du dispositif de sécurité RG 6. Le résultat dece déchiffrement est comparé à la valeur de l'aléa xO précédemment transmise à l'étape F20 par ledispositif de détection d'intrusions. Si les deux valeurs coïncident (i.e. sont égales), la vérificationest validée, autrement dit, le dispositif émetteur TX 2 a agi de façon honnête et transmis le bonaléa au dispositif de détection d'intrusions MB 5. Sinon, cela signifie que le dispositif émetteur TX 2est malhonnête.Moreover, in the first embodiment described here, the security device RG 6 also checks the integrity of the random event xO (step E90). For this purpose, it decrypts by means of its decryption module 6F the encrypted V 'by applying to it the decryption procedure FHE.DEC parameterized by the private decryption key sk (RG) of the security device RG 6. The result of this decryption is compared to the value of the hazard xO previously transmitted in step F20 by the intrusion detection device. If the two values coincide (ie are equal), the verification is validated, that is, the transmitting device TX 2 has acted honestly and transmitted the bonalea to the intrusion detection device MB 5. Otherwise, this means that the transmitting device TX 2 is dishonest.

Le dispositif de sécurité RG 6 peut alors lorsque des valeurs discordantes sontdétectées lors de l'étape de vérification E90, informer le dispositif de détection d'intrusions MB 5,et/ou un administrateur du réseau NW.The security device RG 6 can then when discordant values are detected during the verification step E90, inform the intrusion detection device MB 5, and / or an administrator of the network NW.

On note que cette étape de vérification, et corrélativement l'utilisation de l'aléa xO parle dispositif émetteur TX 2, par le dispositif de détection d'intrusions MB 5 et par le dispositif desécurité RG 6, sont optionnelles. L'invention peut être mise en œuvre en considérant un contenuCONT constitué uniquement du message m.It should be noted that this verification step, and correlatively the use of the xO hazard by the transmitting device TX 2, by the intrusion detection device MB 5 and by the security device RG 6, are optional. The invention can be implemented by considering a contentCONT consisting solely of the message m.

En référence à la figure 5, sur réception. du résultat de détection det(m) enprovenance du dispositif de sécurité RG 6, le module de détection 5F du dispositif de détectiond'intrusions détermine si une intrusion a été commise sur le réseau NW (étape F90). Plusprécisément, il détermine ici qu'il existe une intrusion sur le réseau si det(m) est égal à 1, et déduitl'absence d'intrusion si det(m) est égal à 0.Referring to Figure 5, on receipt. of the detection result det (m) of the safety device RG 6, the detection module 5F of the intrusion detection device determines whether an intrusion has been made on the NW network (step F90). More specifically, it determines here that there exists an intrusion on the network if det (m) is equal to 1, and deduces the absence of intrusion if det (m) is equal to 0.

Dans le premier mode de réalisation décrit ici, si aucune intrusion n'a été détectée pari le module de détection 5F (réponse non à l'étape test F90), le dispositif de détection d'intrusionsMB 5 transmet le chiffré T du message m au dispositif récepteur RX pour déchiffrement. Ledispositif de réception RX 3, via son module de déchiffrement 3A, peut alors déchiffrer le chiffré Ten lui appliquant la procédure de déchiffrement SYM-DEC de l'algorithme dechiffrement/déchiffrement symétrique ALG-SYM paramétrée par sa clé privée de déchiffrement: sk(PG).In the first embodiment described here, if no intrusion has been detected by the detection module 5F (answer no to the test step F90), the intrusion detection device MB transmits the encryption T of the message m to RX receiver device for decryption. The receiving device RX 3, via its decryption module 3A, can then decrypt the encryption Ten by applying it the decryption procedure SYM-DEC of the symmetric decryption / decryption algorithm ALG-SYM parameterized by its private key of decryption: sk (PG ).

Si au contraire, une intrusion est détectée par le module de détection 5F (réponse ouià l'étape test F90), différentes actions peuvent être entreprises par le dispositif de détectiond'intrusions MB 5 en fonction de sa configuration (étape Fl 10). Par exemple, il peut, via sesmoyens de communication 11, notifier l'administrateur du réseau NW de cette détection. EnI variante ou en complément, le dispositif de détection d'intrusions MB 5 peut supprimer le messagechiffré T et ne pas les transmettre au dispositif récepteur RX 3, celui-ci étant corrompu, etc. L'invention permet donc, grâce à l'utilisation de l'algorithme de chiffrementhomomorphe ALG-FHE, d'appliquer une procédure d'inspection en profondeur full IDS sur le traficchiffré échangé entre le dispositif émetteur TX 2 et le dispositif récepteur RX 3 sans que lei dispositif de détection d'intrusions MB 5 n'ait connaissance des mots-clés définis par le dispositif desécurité RG 6. L'invention permet ainsi de garantir la confidentialité des échanges entre le dispositifémetteur TX 2 et le dispositif récepteur RX 3 et leur vie privée, tout en permettant la détectiond'intrusions sur le réseau emprunté par ces dispositifs.If, on the other hand, an intrusion is detected by the detection module 5F (yes response to the test step F90), different actions can be taken by the intrusion detection device MB 5 according to its configuration (step Fl 10). For example, it can, via its communication means 11, notify the NW network administrator of this detection. Alternatively, or in addition, the intrusion detection device MB 5 can suppress the encrypted message T and not transmit it to the receiver device RX 3, the latter being corrupt, etc. The invention thus makes it possible, through the use of the homomorphic algorithm ALG-FHE, to apply a full IDS depth inspection procedure on the encrypted traffic exchanged between the transmitting device TX 2 and the receiving device RX 3 without that the intrusion detection device MB 5 is aware of the keywords defined by the security device RG 6. The invention thus ensures the confidentiality of the exchanges between the transmitter device TX 2 and the receiver device RX 3 and their privacy, while allowing the detection of intrusions on the network used by these devices.

On note que le premier mode de réalisation est un mode interactif en ce qu'il s'appuiesur un échange entre le dispositif de détection d'intrusions MB 5 et le dispositif de sécurité RG 6pour que le dispositif de détection d'intrusions MB 5 puisse accéder au résultat de détectiondéchiffré det(m). Ce mode interactif permet au dispositif de sécurité RG 6 de ne pas divulguer saclé de déchiffrement privée sk(RG).Note that the first embodiment is an interactive mode in that it is based on an exchange between the intrusion detection device MB 5 and the security device RG 6 for the intrusion detection device MB 5 to access the detected detection result det (m). This interactive mode allows the security device RG 6 not to divulge saclé private decryption sk (RG).

Toutefois, en variante, l'invention peut être mise en œuvre selon un mode noninteractif. A cet effet par exemple, la clé privée de déchiffrement sk(RG) du dispositif de sécuritéRG 6 peut être stockée dans un module matériel de sécurité (ou HSM pour Hardware SecureModule), accessible par le dispositif de détection d'intrusions MB 5. De façon connue, un telmodule HSM est un module électronique considéré comme inviolable offrant des fonctionscryptographiques, comme notamment le stockage de clé cryptographiques. Ainsi, dans unevariante du premier mode de réalisation, on peut envisager que le dispositif de détectiond'intrusions MB 5 obtient la clé privée de déchiffrement sk(RG) du module HSM puis déchiffre lerésultat de détection chiffré B au moyen de cette clé privée de déchiffrement afin d'obtenir lerésultat de détection det(m). Dans une autre variante, on peut envisager que ce soit le moduleHSM qui déchiffre lui-même le chiffré B et fournit en retour le résultat de détection det(m) audispositif de détection d'intrusions MB 5. On peut bien entendu envisager en outre de compléterces variantes de réalisation par des mécanismes additionnels permettant de se protéger contre uncomportement malhonnête du dispositif de détection d'intrusions MB 5 (tels que par exemple unei vérification par le module HSM de la cohérence de ce qui est déchiffré par le dispositif de détectiond'intrusions MB 5).However, alternatively, the invention may be implemented in a noninteractive mode. For this purpose, for example, the private decryption key sk (RG) of the security device RG 6 can be stored in a hardware security module (or HSM for Hardware SecureModule), accessible by the MB 5 intrusion detection device. In known manner, an HSM telmodule is an electronic module considered inviolable offering encryptographic functions, such as cryptographic key storage. Thus, in a variant of the first embodiment, it can be envisaged that the intrusion detection device MB 5 obtains the private key for decryption sk (RG) of the HSM module and then decrypts the encrypted detection result B by means of this private decryption key. in order to obtain the detection result det (m). In another variant, it can be envisaged that it is the module HSM which itself decrypts the code B and in return provides the detection result det (m) of the intrusion detection device MB 5. It is of course also possible to envisage complementing these alternative embodiments by additional mechanisms to protect against dishonest behavior of the intrusion detection device MB (such as for example a verification by the HSM of the coherence of what is decrypted by the intrusion detection device MB 5).

Dans le premier mode de réalisation qui vient d'être décrit, la clé secrète K partagéeentre le dispositif émetteur TX 2 et le dispositif récepteur RX 3 et utilisée pour chiffrer les échangesentre ces deux dispositifs, est chiffrée par le dispositif émetteur TX 2 au moyen de la clé publiqueI de chiffrement du dispositif de sécurité RG 6. Il en résulte qu'un dispositif de sécurité RG 6 peuscrupuleux peut écouter les échanges entre le dispositif émetteur TX 2 et le dispositif récepteur RX3, accéder au message chiffré T et au chiffré S de la clé partagée K, déchiffrer le chiffré S etaccéder au message m en clair. Pour pallier cet inconvénient, dans un second mode de réalisationde l'invention, la clé secrète K partagée entre le dispositif émetteur TX 2 et le dispositif récepteurI RX 3 n'est plus chiffrée par le dispositif émetteur TX 2 au moyen de la clé publique de chiffrementpk(RG) du dispositif de sécurité RG 6 mais au moyen d'une clé publique de chiffrement pk(RX) dudispositif récepteur RX 3, publiée préalablement. Le second mode de réalisation s'appuie parailleurs sur une procédure de rechiffrement de la clé secrète, comme détaillé maintenant.In the first embodiment which has just been described, the secret key K shared between the transmitting device TX 2 and the receiver device RX 3 and used to encrypt the exchanges between these two devices, is encrypted by the transmitter device TX 2 by means of the public keyI encryption of the security device RG 6. As a result, a security device RG 6 can unsuspicious can listen to the exchanges between the transmitter device TX 2 and the receiver device RX3, access the encrypted message T and the encrypted S of the shared key K, decrypt the encrypted S and access the message m in the clear. To overcome this drawback, in a second embodiment of the invention, the secret key K shared between the transmitting device TX 2 and the receiving device RX 3 is no longer encrypted by the transmitting device TX 2 by means of the public key of encryptionpk (RG) of the security device RG 6 but by means of a public encryption key pk (RX) of the RX 3 receiver device, previously published. The second embodiment also relies on a re-encryption procedure of the secret key, as detailed now.

La figure 8 illustre les étapes mises en œuvre par le dispositif émetteur TX 2 dans cei second mode de réalisation. Les étapes portant les mêmes références que les étapes illustrées à lafigure 7 sont identiques aux étapes mises en œuvre dans le premier mode de réalisation.FIG. 8 illustrates the steps implemented by the TX 2 transmitter device in this second embodiment. The steps having the same references as the steps illustrated in FIG. 7 are identical to the steps implemented in the first embodiment.

Ainsi, en référence à la figure 8, en préparation de l'envoi du message m, le dispositifémetteur TX 2 génère une clé secrète K de chiffrement, qu'il partage avec le dispositif récepteur RX 3 (étape G10). Puis, suite à la réception de l'aléa xO (étape G20), il génère le contenu CONT enconcaténant l'aléa xO avec le message m qu'il souhaite envoyer au dispositif récepteur RX 3 (étapeG30). Le dispositif émetteur TX 2 génère au moyen de son module 2A le chiffré T du contenuCONT en lui appliquant la procédure de chiffrement SYM-ENC de l'algorithme de chiffrementsymétrique ALG-SYM paramétrée par la clé de chiffrement secrète K (étape G40).Thus, with reference to FIG. 8, in preparation for sending the message m, the transmitting device TX 2 generates a secret encryption key K which it shares with the receiver device RX 3 (step G10). Then, following the reception of the random event xO (step G20), it generates the CONT content enconcaténant the xO hazard with the message m he wants to send to the receiver device RX 3 (step G30). The transmitting device TX 2 generates, by means of its module 2A, the encryption T of the contentCONT by applying to it the SYM-ENC encryption procedure of the ALG-SYMsymmetric encryption algorithm parameterized by the secret encryption key K (step G40).

Le dispositif émetteur TX 2 génère par ailleurs, dans le second mode de réalisationdécrit ici, par l'intermédiaire de son module 2B, un chiffré dit intermédiaire S' de la clé dechiffrement secrète K (étape G50'). Le chiffré intermédiaire S'est généré dans le second mode deréalisation en appliquant à la clé secrète K la procédure de chiffrement FHE.ENC de l'algorithme dechiffrement homomorphe ALG-FHE, paramétrée par la clé de chiffrement publique pk(RX) dudispositif récepteur RX 3.The transmitting device TX 2 also generates, in the second embodiment described here, via its module 2B, an intermediate code S 'of the secret decryption key K (step G50'). The intermediate encryption has been generated in the second embodiment by applying to the secret key K the FHE.ENC encryption procedure of the homomorphic algorithm ALG-FHE, parameterized by the public encryption key pk (RX) of the receiver device RX 3.

Puis, le dispositif émetteur TX 2 par le biais de son module d'émission 2C, émet lechiffré T du contenu CONT et le chiffré intermédiaire S' de la clé secrète K à destination dudispositif récepteur RX 3 (étape G60').Then, the transmitting device TX 2 by means of its transmission module 2C transmits the difference T of the CONT content and the intermediate encryption S 'of the secret key K to the receiver device RX 3 (step G60').

En d'autres mots, le procédé mis en œuvre par le dispositif émetteur TX 2 diffère dansce second mode de réalisation du procédé mis en œuvre par le dispositif émetteur TX 2 dans lepremier mode de réalisation par les étapes G50' et G60'.In other words, the method implemented by the transmitter device TX 2 differs in this second embodiment of the method implemented by the transmitting device TX 2 in the first embodiment by the steps G50 'and G60'.

La figure 9 illustre les étapes mises en œuvre par le dispositif de détectiond'intrusions MB 5 dans le second mode de réalisation. Les étapes portant les mêmes référencesque les étapes illustrées à la figure 5 sont identiques aux étapes mises en œuvre dans le premiermode de réalisation. On note que le dispositif de sécurité RG 6 n'est pas impacté par lesmodifications apportées dans le second mode de réalisation de sorte que les étapes mises enœuvre par le dispositif de sécurité RG 6 dans le second mode de réalisation sont identiques auxétapes E10 à E90 représentées à la figure 4 et mises en œuvre dans le premier mode deréalisation.FIG. 9 illustrates the steps implemented by the MB detection device 5 in the second embodiment. The steps bearing the same references as the steps illustrated in FIG. 5 are identical to the steps implemented in the first embodiment. Note that the safety device RG 6 is not affected by the modifications made in the second embodiment so that the steps implemented by the safety device RG 6 in the second embodiment are identical to the steps E10 to E90 shown. in Figure 4 and implemented in the first embodiment.

En particulier, les étapes E10 à E50 de génération et de transmission des circuitsarithmétiques CIRC-REGj, j=l,..J des expressions régulières et des chiffrés FHE-SIGi, i=l,...,I dessignatures par le dispositif de sécurité RG 6 au dispositif de détection d'intrusions MB 5 sontidentiques à celles mises en œuvre dans le premier mode de réalisation. Il en est de même à lafigure 10 des étapes F10 et F20 mises en œuvre par le dispositif de détection d'intrusions MB 5.In particular, the steps E10 to E50 for generating and transmitting the CIRC-REGj arithmetic circuits, j = 1,..., Regular expressions and FHE-SIGi ciphers, i = 1, ..., I dessignatures by the device of FIG. security RG 6 to the intrusion detection device MB 5 identical to those implemented in the first embodiment. It is the same in Figure 10 of steps F10 and F20 implemented by the intrusion detection device MB 5.

Le chiffré T et le chiffré intermédiaire S' émis par le dispositif émetteur TX 2 àdestination du dispositif récepteur RX 3 sont interceptés par le dispositif de détection d'intrusionsMB 5, et plus particulièrement par son second module de réception 5B (étape F30').The encryption T and the intermediate encryption S 'transmitted by the transmitter device TX 2 to the destination of the receiver device RX 3 are intercepted by the intrusion detection device MB 5, and more particularly by its second reception module 5B (step F30').

Sur réception du chiffré intermédiaire S', dans le second mode de réalisation, ledispositif de détection d'intrusions MB 5 obtient alors du dispositif récepteur RX 3 une clé derechiffrement rk(RX->RG) du dispositif récepteur RX 3 vers le dispositif de sécurité RG 6 (étapeF31'). Dans le second mode de réalisation décrit ici, cette clé de rechiffrement rk(RX->RG)comprend : — une première partie rkl égale à la clé de chiffrement publique pk(RG) du dispositif de sécuritéRG 6, soitOn receipt of the intermediate encryption S ', in the second embodiment, the intrusion detection device MB 5 then obtains from the receiver device RX 3 a key rk (RX-> RG) of the receiver device RX 3 to the security device RG 6 (step F31 '). In the second embodiment described here, this re-encryption key rk (RX-> RG) comprises: a first part rk1 equal to the public encryption key pk (RG) of the security deviceRG 6,

— une seconde partie rk2 obtenue en chiffrant une clé de déchiffrement secrète sk(RX) associéeà la clé publique de chiffrement pk(RX) du dispositif récepteur RX 3 au moyen de la procédurede chiffrement FHE.ENC de l'algorithme de chiffrement homomorphe ALG-FHE paramétrée parla clé publique de chiffrement pk(RG) du dispositif de sécurité RG 6, soit :A second part rk2 obtained by encrypting a secret decryption key sk (RX) associated with the public encryption key pk (RX) of the receiver device RX 3 by means of the encryption procedure FHE.ENC of the homomorphic encryption algorithm ALG- FHE parameterized by the public encryption key pk (RG) of the security device RG 6, that is:

Suite à l'obtention de la clé de rechiffrement rk(RX->RG), le dispositif de détectiond'intrusions MB 5 rechiffre le chiffré intermédiaire S' de la clé secrète S au moyen de la clé derechiffrement rk(RX->RG) et de la procédure de chiffrement FHE.ENC de l'algorithme dechiffrement homomorphe ALG-FHE (étape F32'). Il obtient via cette étape de rechiffrement unchiffré S de la clé partagée K chiffrée au moyen de la clé publique de chiffrement pk(RG) dudispositif de sécurité RG 6, soit :After obtaining the re-encryption key rk (RX-> RG), the intrusion detection device MB 5 re-encrypts the intermediate encryption S 'of the secret key S by means of the encryption key rk (RX-> RG) and the FHE.ENC encryption procedure of the homomorphic algorithm ALG-FHE (step F32 '). It obtains, via this encrypted encryption step S, from the encrypted shared key K by means of the public encryption key pk (RG) of the security device RG 6, namely:

Les notions de clé de rechiffrement et de rechiffrement d'un chiffré sont connues ensoi et ne sont pas décrites en détail ici.The notions of key re-encryption and re-encryption of a cipher are known ensoi and are not described in detail here.

Les étapes F30', F31' et F32' constituent dans leur ensemble une étape d'obtentiond'un chiffré S de la clé partagée K au sens de l'invention. i Les étapes mises en œuvre ensuite par le dispositif de détection d'intrusions MB 5 et par le dispositif de sécurité RG 6 respectivement dans le second mode de réalisation sontidentiques aux étapes F40 à Fl 10 et E60 à E90 décrites précédemment dans le premier mode deréalisation. Il en est de même du déchiffrement du chiffré T par le dispositif récepteur RX 3. L'invention permet donc, dans ce second mode de réalisation comme dans le premierl mode de réalisation, de permettre d'appliquer une procédure d'inspection en profondeur full IDSsur le trafic chiffré échangé entre le dispositif émetteur TX 2 et le dispositif récepteur RX 3 sansque le dispositif de détection d'intrusions MB 5 n'ait connaissance des mots-clés définis par ledispositif de sécurité RG 6. Elle permet en outre de garantir la confidentialité des échanges entre ledispositif émetteur TX 2 et le dispositif récepteur RX 3 et leur vie privée, non seulement à l'égardi du dispositif de détection d'intrusions MB 5 mais également du dispositif de sécurité RG 6.The steps F30 ', F31' and F32 'constitute as a whole a step of obtaining an encryption S of the shared key K within the meaning of the invention. The steps subsequently implemented by the intrusion detection device MB 5 and by the security device RG 6 respectively in the second embodiment are identical to the steps F40 to Fl10 and E60 to E90 described previously in the first embodiment. . The same is true of the decryption of the encryption T by the receiver device RX 3. The invention therefore makes it possible, in this second embodiment as in the first embodiment, to allow a full depth inspection procedure to be applied. IDSsec encrypted traffic exchanged between the transmitting device TX 2 and the receiving device RX 3 without the intrusion detection device MB 5 is aware of the keywords defined by the security device RG 6. It also allows to guarantee the confidentiality of the exchanges between the transmitter transmitter device TX 2 and the receiver device RX 3 and their privacy, not only with respect to the intrusion detection device MB 5 but also the security device RG 6.

Claims

A method of detecting intrusions on a network (NW) via which a transmitting device (TX 2) and a receiving device (RX 3) are able to communicate using a symmetric encryption / decryption algorithm parameterized by a secret encrypted key shared between the transmitting device and the receiving device, said detecting method being intended to be implemented by an intrusion detection device (MB 5) and comprising: - a receiving step (F10), coming from a security device (RG 6) having access to at least one rule for detecting at least one intrusion capable of affecting the network, said at least one detection rule comprising at least one regular expression established from at least one characteristic signature of said at least one least an intrusion: o of at least one function (CIRC-REGj) describing said at least one regular expression (REGj) and which can be evaluated by means of a homomorphic evaluation function of a homomorphic encryption algorithm; and o an encryption (FHE-SIGi) of each signature (SIGi) characteristic of said at least one intrusion, obtained by applying an encryption procedure of said homomorphic decryption algorithm parameterized by a public encryption key of the security device; A reception step (F30, F30 ') originating from the device transmitting an encryption T of a content derived from a message intended for the receiving device, this encryption T having been obtained by using an encryption procedure of the algorithm of symmetric encryption / decryption parameterized by said secret encryption key; A step of obtaining (F40, F30, F32 ') an encryption T' of the encryption T and an encryption S of the secret decryption key, said encrypts T 'and S corresponding to the application on the encryption T andon the secret encryption key of the encryption procedure of saidhomomorphic encryption algorithm parameterized by the public encryption key of the security device; A first evaluation step (F50) of a procedure for decrypting the symmetric decryption / decryption algorithm on the encrypted T 'using said homomorphic evaluation function of said homomorphic encryption algorithm and the encryption S of the secret decryption key; , this first evaluation step providing a V-message encryption for the receiving device by the encryption procedure of said homomorphic decryption algorithm parameterized by the public key encryption of the security device; A second evaluation step (F60) of said at least one function describing said at least one regular expression on the encrypted value V of the message using the encryption codes, this second evaluation step providing an encryption of a detection result indicating the existence or not of a said regular expression corresponding to the message; and a step of detecting (F90) an intrusion on the network if the decrypted detection result indicates that there exists at least one said regular expression corresponding to the message.

2. The detection method according to claim 1, wherein the encryption S of the secret decryption key is obtained (F30) from the transmitting device (TX 2). 3. Detection method according to claim 1 wherein the step of obtaining (F30'-F32 ') the encryption S of the secret encryption key comprises: - a reception step (F30'), from the transmitting device an intermediate encryption code S 'of the secret encryption key obtained by using the procedure of decryption of said homomorphic encryption algorithm parameterized by a public decryption key of the receiving device; A step of obtaining (F31 ') a re-encryption key from the receiving device to the security device; and - a step of re-encrypting (F32 ') the intermediate encryption S' using said decryption key, this re-encrypting step providing said encryption S of the secret encryption key.

4. Detection method according to any one of claims 1 to 3 furthermore comprising: a step of transmitting (F70) the encryption of the detection result to the security device for decryption by using a decryption procedure of said homomorphic decryption algorithm parameterized by a private decryption key associated with the public key encryption of the security device; and a step of receiving (F80) the detected detection result from the security device.

5. Detection method according to any one of claims 1 to 3 furthermore comprising: a step of obtaining a decryption private key associated with the public key decryption of the security device and stored in a security hardware module; and a step of decrypting the encryption of the detection result by using the decryption procedure of said homomorphic encryption algorithm parameterized by this private decryption key.

6. Detection method according to any one of claims 1 to 5 whereinat least one function describing at least one regular expression received from the transmitter device is an arithmetic circuit (CIRC-REGj). 7. Detection method according to any one of claims 1 to 6 wherein the CONT item (CONT) derived from the message consists of the message (m) for the receiving device or a concatenation of this message (m) and a random (xO) known from the security device and the intrusion detection device. 8. Detection method according to claim 7, in which the content derived from the message consists of a concatenation of the message (m) and a known hazard (xO) of the security device and the intrusion detection device, and in which the first evaluation step (F50) furthermore provides an encryption V 'of the hazard by the encryption procedure of said homomorphous decryption algorithm parameterized by the public key of encryption of the security device, said detection method further comprising a step transmitting (F70) said encrypted V 'del'aléa to the security device for verification. 9. A method of communicating a security device (RG 6) with an intrusion detection device (MB 5) on a network, said security device having access to at least one detection rule of at least one intrusion capable of allocating the network, said at least one detection rule comprising at least one regular expression established from at least one characteristic sign of said at least one intrusion, said communication method comprising: a transformation step (E30) of said at least one a regular expression (REGj) in a function (CIRC-REGj) describing said at least one regular expression and which can be evaluated by means of a homomorphic evaluation function of a homomorphic encryption algorithm; A generation step (E40) of an encryption (FHE-SIGi) of each signature (SIGi) characteristic of the said at least one intrusion by applying a cryptographic procedure of the homomorphic encryption algorithm parameterized by a public encryption key of the security device; ; and a step of transmitting (E50) said at least one function describing said at least one regular expression and each cipher of each characteristic signature of said at least one intrusion to an intrusion detection device on the network.

10. The communication method as claimed in claim 9, in which, during the transforming step, at least one function describing at least one regular expression is a circuitarithmetic obtained by means of a non-deterministic finite state automaton modeling at least one regular expression and a function for selecting the states of said automaton. The communication method of claim 9 or 10 further comprising: - a receiving step (E60) from the detection device of a cipher of a detection result; A step of decrypting (E70) said encryption of the detection result by using a decryption procedure of said homomorphic encryption algorithm parameterized by a private decryption key associated with the public encryption key of the security device; and a transmission step (E80). ) of the decrypted detection result at the intrusion detection device.

Computer program (PROG1, PROG2) comprising instructions for executing steps of the intrusion detection method according to any one of claims 1 to 8 or the communication method according to any one of claims 9 to 11 when said program is executed by a computer. 13. Computer-readable recording medium on which is recorded a computer program comprising instructions for executing the steps of the intrusion detection method according to any one of claims 1 to 8 or the communication method according to the present invention. any one of claims 9 to 11. 14. Intrusion detection device (MB 5) on a network via which are able to communicate a transmitting device (TX 2) and a receiving device (RX 3) using an encryption / decryption algorithm symmetrical parameter set by a secret encryption key shared between the transmitting device and the receiving device, said detection device being intended to be located between the transmitting device and the receiving device and comprising: a first receiving module (5A), able to receive in from a security device having access to at least one detection rule of at least one intruder it is possible to affect the network, said at least one detection rule comprising a regular expression established from at least one signature that is characteristic of said at least one intrusion: at least one function describing said at least one regular expression and that can be evaluated at least one by means of a homomorphic evaluation function of a homomorphic decryption algorithm; and o an encryption of each characteristic signature of said at least one intrusion, obtained by applying an encryption procedure of said homomorphic encryption algorithm parameterized by a public encryption key of the security device; A second reception module (5B), able to receive from the transmitted device a coded T of a content derived from a message intended for the receiving device, this encryption T having been obtained by using an algorithm encryption procedure symmetric decryption / decryption parameterized by said secret encryption key; A module (5C) for obtaining an encryption T 'of encrypted T and an encryption S of the secret encryption key, said encryptions T' and S corresponding to the application on the encryption T and on the decryption key secret of the encryption procedure of said homomorphic encryption algorithm parameterized by the public encryption key of the security device; A first evaluation module (5D) of a procedure for decrypting the symmetric decryption / decryption algorithm on the encrypted device T 'configured to use said homomorphic evaluation function of said homomorphic encryption algorithm and the encryption S of the encryption key; secret, the first evaluation module being further configured to provide an encrypted V of the message intended for the receiving device by the encryption procedure of the homomorphic encryption algorithm parameterized by the public encryption key of the security device; A second evaluation module (5E) configured to evaluate said at least one function writing said at least one regular expression on the encrypted V of the message using the encrypted signatures, this second evaluation module being furthermore configured to provide an encrypted a detection result indicating the existence or not of a said regular expression corresponding to the message; and a detection module (5F) for an intrusion on the activated network if the detected detection result indicates that there exists at least one said regular expression corresponding to the message.

15. Security device (6) having access to at least one detection rule of at least one intrusion capable of affecting a network, said at least one detection rule comprisinga regular expression established from at least one characteristic signature of said at least one intrusion, said security device comprising: - a transformation module (6B), configured to transform said at least one regular expression into a function describing said at least one regular expression and that can be evaluated by means of an evaluation function homomorphic of a homomorphic encryption algorithm; An encryption module (6C) configured to generate an encryption of each signaturecharacteristic of said at least one intrusion by applying an encryption procedure of said homomorphic encryption algorithm parameterized by a public encryption key of the security device; and a transmission module (6D), configured to transmit said at least one function describing said at least one regular expression and each cipher of each signaturecharacteristic of said at least one intrusion to an intrusion detection device on the network.

16. Safety device according to claim 15 further comprising: - a receiving module (6E), adapted to receive from the unenciphered detection device of a detection result; A decryption module (6F), configured to decrypt said encryption of the detection result by using a decryption procedure of said homomorphic encryption algorithm parameterized by a decryption private key associated with the public decryption key of the security device; and a transmission module (6D), configured to transmit the deciphered detection result to the intrusion detection device.

17. System for detecting (4) intrusions on a network via which are able to communicate a transmitting device and a receiving device by using a symmetric decryption / decryption algorithm parameterized by a shared secret encryption key between the transmitting device and the receiving device, said intrusion detection system comprising: - an intrusion detection device (MB 5) according to claim 14; and a safety device (RG 6) according to claim 15 or 16.

18. Communications system (1) comprising: - at least one transmitting device (TX 2) and at least one receiving device (RX 3) able to communicate on a network by using a encryption / decryption algorithm parameterized by a secret encryption key shared between the sending device and the receiving device; and - an intrusion detection system (4) according to claim 17, the intrusion detection device of said detection system being intended to be located between said at least one emitting device and said at least one receiving device.