FR3079642A1 - Capteur d'intrusion informatique et procede de creation d'un capteur d'intrusion - Google Patents
Capteur d'intrusion informatique et procede de creation d'un capteur d'intrusion Download PDFInfo
- Publication number
- FR3079642A1 FR3079642A1 FR1852752A FR1852752A FR3079642A1 FR 3079642 A1 FR3079642 A1 FR 3079642A1 FR 1852752 A FR1852752 A FR 1852752A FR 1852752 A FR1852752 A FR 1852752A FR 3079642 A1 FR3079642 A1 FR 3079642A1
- Authority
- FR
- France
- Prior art keywords
- server
- application server
- internet addresses
- service
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 23
- 230000005540 biological transmission Effects 0.000 claims abstract description 10
- 238000000605 extraction Methods 0.000 claims description 18
- 230000003213 activating effect Effects 0.000 claims description 6
- 238000001514 detection method Methods 0.000 claims description 3
- 230000004913 activation Effects 0.000 claims description 2
- 230000004048 modification Effects 0.000 claims description 2
- 238000012986 modification Methods 0.000 claims description 2
- 238000001914 filtration Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000008602 contraction Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Abstract
L'invention concerne un capteur d'intrusion informatique (10) associé à au moins une adresse Internet (11), ladite adresse Internet (11) étant destinée à être référencée sur un système de noms de domaine (12), ledit capteur d'intrusion comportant : - un serveur d'applications (14) servant de leurre dans lequel au moins un service (15) est activé ; - des moyens de supervision des services (15) du serveur d'applications (14) aptes à capter les adresses Internet tentant d'accéder au service activé (15) ; - des moyens d'extraction des adresses Internet tentant d'accéder au service activé (15) ; et - des moyens de transmission configurés pour transmettre les adresses Internet détectées à un pare-feu informatique afin de bloquer l'accès de ces adresses Internet.
Description
CAPTEUR D’INTRUSION INFORMATIQUE ET PROCEDE DE CREATION D’UN CAPTEUR D’INTRUSION
Domaine Technique
L’invention concerne un capteur d’intrusion informatique, c’est-à-dire un dispositif configuré pour détecter une intrusion ou une tentative d’intrusion sur un système informatique.
L’invention concerne également un procédé de création d’un capteur d’intrusion, c’est-àdire un procédé qui permet de protéger un système existant. De préférence, ce procédé permet de protéger un système informatique indépendamment de son architecture et en limitant les risques pour le système informatique existant.
L’invention trouve une application particulièrement avantageuse pour contrer les pirates informatiques qui utilisent des bots ou des méthodes itératives pour pénétrer sur un système informatique.
Le terme « bot » est la contraction du terme « robot ». Au sens de l’invention, un bot est un agent logiciel automatique ou semi-automatique qui interagit avec au moins un serveur informatique à la manière d’un programme client utilisé par un humain. Cette interaction entre le serveur et le bot est facilitée par l’utilisation du réseau Internet et du protocole de transmission et de contrôle des adresses Internet, plus connu sous l’abréviation TCP/IP pour « Transmission Control Protocol / Internet Protocol » dans la littérature anglosaxonne.
Art ANTERIEUR
Pour pénétrer dans un système informatique, un pirate informatique possède un grand nombre d’outils à sa disposition qu’il sélectionne en fonction de ses compétences et de ses préférences. Ainsi, il n’existe pas de méthode universellement utilisée par les pirates informatiques pour pénétrer sur un système informatique.
Cependant, il existe une procédure assez générique qui est reproduite par un grand nombre de pirates informatiques.
En premier lieu, un pirate informatique qui veut pénétrer un système informatique cherche à déterminer l’architecture du système informatique. Pour ce faire, la méthode la plus simple consiste à utiliser les informations publiques décrites dans le système de noms de domaine. Le pirate informatique peut obtenir ces informations en étudiant le nom de domaine détecté à l’aide du site Internet d’une société ou de l’adresse de messagerie de ses dirigeants.
Au sens de l’invention, un « système de noms de domaine » est un système qui référence plusieurs acteurs d’un système informatique. Ce « système de noms de domaine » est plus connu sous l’acronyme DNS pour «Domain Name System» dans la littérature anglosaxonne. Dans un système de noms de domaine, l’ensemble des acteurs est décrit en indiquant, pour chaque acteur, un nom de domaine ou de sous-domaine qui permet de faire abstraction d’une adresse Internet et d’accéder à cet acteur. Le nom de domaine ou de sous-domaine permet aussi d’identifier le type de service informatique mise en œuvre.
Par exemple, si un serveur de messagerie est hébergé chez la société Microsoft®, un serveur de noms de domaine peut comporter la description suivante :
@ 3600 IN MX 0 domaine-fir.mail.protection.outlook.com.
Cet enregistrement de type « messagerie » permet à l’ensemble des périphériques connectés à Internet de définir la localisation du serveur de messagerie pour le domaine « domaine ». Dans cet exemple, le serveur de messagerie est hébergé par l’éditeur Microsoft®. Le nombre 3600 défini le temps de vie. Ce « temps de vie » est plus connu sous l’acronyme TTL pour « Time to Live » dans la littérature anglo-saxonne.
Il existe plusieurs types d’enregistrement avec des codes différents : MX pour « messagerie », A pour « hôte »...
En variante, un serveur de messagerie peut être implémenté en interne d’une société. Dans ce cas, le code suivant peut apparaître dans le champ associé au serveur de messagerie :
@ 3600 IN MX 0 xx.xx.xx.xx
Cet enregistrement indique encore qu’il s’agit d’un serveur de messagerie (MX) et le temps de vie est fixé à 3600 secondes. Ce serveur de messagerie est accessible à l’adresse Internet xx.xx.xx.xx, classiquement située en interne d’une société. Cette adresse Internet xx.xx.xx.xx est particulièrement recherchée par un pirate informatique car le fait qu’une société gère en interne un serveur permet d’exploiter des failles de sécurité connues qui ne seraient pas encore corrigées.
Sur un serveur, plusieurs services peuvent être implémentés et accessibles via un port TCP ou UDP défini par le protocole TCP/IP et le modèle OSI. Par exemple, le port 21 est associé au service « ftp » qui permet de partager des fichiers entre le serveur et un terminal distant, le port 23 est associé au service « telnet » qui permet de communiquer sous forme de texte via un terminal, le port 25 est associé au service « smtp » qui permet de transférer des courriers électroniques, le port 3389 est associé au service « bureau à distance » qui permet de prendre le contrôle à distance du serveur... La découverte par un pirate informatique d’une adresse Internet associée à un serveur lui permet d’identifier le ou les services informatiques implémentés sur le serveur.
Le pirate informatique va rechercher prioritairement les services qui permettent de prendre le contrôle du serveur à distance, tels que les services « http » et « bureau à distance », afin de casser les sécurités d’accès à ces services pour prendre le contrôle du serveur. Pour ce faire, le pirate informatique utilise classiquement un bot qui va tenter d’utiliser ces services en utilisant des failles de sécurités connues et qui n’ont pas encore corrigées par le gestionnaire du serveur. Pour finir, si le pirate informatique arrive à s’introduire sur le serveur, il peut voler, crypter ou supprimer des informations particulièrement importantes stockées sur le serveur.
Le pirate informatique peut aussi détourner l’usage du serveur. On parle alors d’ordinateur « zombi ».
Même en mettant à jour très régulièrement un serveur, le temps qu’une faille de sécurité soit découverte et corrigée peut être suffisant à un pirate informatique pour s’introduire sur un serveur.
Une méthode classique pour détecter les tentatives d’intrusions sur un serveur consiste à limiter le nombre de requêtes possibles à un serveur depuis une adresse Internet, par exemple en bloquant une adresse Internet qui réalise plus de trois tentatives de connexion par minute. Ces adresses Internet sont ensuite référencées dans une liste noire qui est utilisée par le serveur. Lorsqu’une adresse Internet tente de se connecter à un service du serveur, cette adresse Internet est comparée avec la liste des adresses Internet dans la liste noire. Si l’adresse Internet est présente dans cette liste noire, la requête de cette adresse est ignorée et n’est pas exécutée sur le serveur.
Cette méthode est efficace mais peut être contournée par un pirate informatique qui connaît l’algorithme de détection des adresses Internet mis en œuvre sur le serveur. Par exemple, le pirate informatique pourra programmer un bot pour réaliser deux tentatives de connexion par minute sans être détecté par le serveur jusqu’à découvrir un code lui permettant de contrôler le serveur. De plus, cette méthode ne peut pas être implémentée pour certains services. En effet, un site Internet (service « http ») marchant doit être accessible par l’ensemble des clients.
En outre, lors de cette phase de détection, la fiabilité du serveur est menacée car le pirate informatique peut découvrir un code lui permettant de contrôler le serveur. De plus, les requêtes itératives réalisées par ces bots peuvent demander des traitements importants de la part d’un serveur qui voit souvent ses capacités diminuées lors du traitement de ces multiples requêtes. En conséquence, il est particulièrement avantageux d’avoir une liste noire la plus exhaustive possible afin de bloquer les requêtes avant le traitement de ces requêtes par le serveur.
Le problème technique de l’invention consiste à définir les adresses Internet qui menacent la sécurité informatique d’un serveur en amont du système d’information hébergeant le serveur.
Expose de l’invention
Pour répondre à ce problème technique, l’invention propose de créer au moins un serveur informatique servant de leurre à un pirate informatique de sorte à capter l’adresse Internet de ce dernier.
Contrairement à un serveur réel qui doit trouver les adresses Internet des pirates informatiques parmi un flot d’adresses Internet autorisées à accéder au serveur, ce serveur leurre ne met pas en œuvre de service réellement utilisé et ne contient pas de données sensibles. Il est donc plus simple et plus sécurisé de détecter une intrusion sur ce serveur leurre que sur un serveur réellement utilisé. Lorsqu’une adresse Internet d’un pirate informatique est détectée sur le serveur leurre, elle est référencée au niveau d’une liste noire du serveur réel de sorte à bloquer rapidement et efficacement toute tentative d’intrusion par un pirate informatique depuis cette adresse Internet.
Selon un premier aspect, l’invention concerne un capteur d’intrusion informatique associé à au moins une adresse Internet, ladite adresse Internet étant destinée à être référencée sur un système de noms de domaine, ledit capteur d’intrusion comportant :
- un serveur d’applications servant de leurre dans lequel au moins un service est activé ; et
- des moyens de supervision des services du serveur d’applications aptes à capter les adresses Internet tentant d’accéder au service activé.
L’invention se caractérise en ce que le serveur d’applications comporte également :
- des moyens d’extraction des adresses Internet tentant d’accéder au service activé ; et
- des moyens de transmission configurés pour transmettre les adresses Internet détectées à un pare-feu informatique afin de bloquer l’accès de ces adresses Internet.
L’invention permet ainsi de détecter une intrusion ou une tentative d’intrusion sur un serveur leurre. Ce serveur leurre comporte au moins un service activé de sorte qu’un pirate informatique soit tenté de réaliser des requêtes pour accéder à ce service.
Lorsqu’une requête est réalisée sur un service, les moyens de supervision captent l’adresse Internet depuis laquelle la requête est réalisée.
Ces moyens de supervision peuvent implémenter le processus appelé « Windows Filtering Platform », présent sur les serveurs Microsoft®. Dans ce processus « Windows Filtering Platform», chaque tentative de connexion est enregistrée dans un journal d’évènements avec un ensemble de métadonnées telles que la date et l’heure à laquelle la requête est effectuée, l’adresse Internet depuis laquelle la requête est effectuée, le port sur lequel la requête est effectuée et l’adresse Internet locale sur laquelle la requête est effectuée.
Les moyens d’extraction filtrent les informations agrégées par les moyens de supervision de sorte à extraire au moins l’adresse Internet depuis laquelle la requête est effectuée. Comme il s’agit d’un serveur leurre, personne n’a vocation à se connecter à distance sur le serveur. Ainsi, toute tentative de connexion peut être assimilée à une tentative d’intrusion par un pirate informatique. En variante, le serveur leurre peut être administré à distance avec des adresses Internet référencées qui ne sont pas extraites si elles sont détectées par les moyens d’extraction.
A cet effet, selon un mode de réalisation, lesdits moyens d’extraction intègrent une liste d’adresses Internet admissibles, lors de l’extraction des adresses Internet tentant d’accéder au service activé, les moyens d’extraction comparent les adresses Internet détectées avec la liste d’adresses Internet admissibles pour extraire uniquement les adresses Internet détectées qui diffèrent des adresses Internet contenues dans la liste d’adresses Internet admissibles.
Lorsque ces adresses Internet sont extraites, elles sont transmises au serveur réel afin qu’il enregistre ces adresses dans la liste noire et bloque toute tentative d’intrusion avant même qu’une requête soit exécutée sur le serveur réel.
De préférence, le service activé présente un code d’accès codé sur au moins 32 caractères en intégrant des caractères spéciaux. Ainsi, le code d’accès au service est particulièrement difficile à capter pour les bots existants qui testent classiquement des mots du dictionnaire, des prénoms et des dates associées. Si le pirate informatique n’arrive pas à trouver le code d’accès au service par ses tentatives, il pensera que le serveur est bien sécurisé et il ne saura pas qu’il a tenté de pénétrer sur un serveur leurre. Le but de cette manœuvre est de ne pas inciter le pirate informatique à modifier son adresse Internet ou l’adresse Internet qu’il utilise après avoir infecté un terminal distant.
Selon un mode de réalisation, les moyens d’extraction comportent également une détection des connexions réalisées sur le service activé, les moyens de transmission étant configurés pour transmettre une information selon laquelle au moins une connexion a été réalisée sur le serveur.
Ce mode de réalisation permet d’informer un administrateur lorsqu’une connexion est réalisée et qu’un pirate informatique a contourné les sécurités mises en place pour accéder au service. Ainsi, l’administrateur peut récupérer les informations de connexion du pirate informatique afin de comprendre comment l’attaque a été perpétrée.
Suite à une attaque réussie sur le serveur, l’administrateur pourra également tuer le serveur pour créer un nouveau serveur sur la même adresse Internet. Le terme « tuer » fait référence à la commande « kill » qui est généralement utilisée pour effacer un serveur virtuel et tous ses fichiers. Dans le contexte de l’invention, le serveur d’applications servant de leurre peut être physique ou virtuel sans changer l’invention.
Ainsi, le serveur leurre est particulièrement sécurisé et, même si un pirate informatique arrive à pénétrer sur le serveur leurre, il ne peut pas causer de dommages aux données sensibles d’un serveur protégé par ce serveur leurre.
L’invention concerne également une procédure pour mettre en place ce serveur leurre.
A cet effet, selon un deuxième aspect, l’invention concerne un procédé de création d’un capteur d’intrusion selon le premier mode de réalisation de l’invention, le procédé comportant les étapes suivantes :
- implémentation d’un serveur d’applications servant de leurre sur une adresse Internet distincte d’un serveur d’applications à protéger ;
- activation d’au moins un service sur le serveur d’applications servant de leurre ;
- mise en œuvre de moyens de supervision du service activé ;
- implémentation de moyens d’extraction des adresses Internet tentant d’accéder au service activé ;
- implémentation de moyens de transmission configurés pour transmettre les adresses Internet détectées à un pare-feu informatique du serveur d’applications à protéger afin de bloquer l’accès de ces adresses Internet ; et
- modification du système de noms de domaine du serveur d’applications à protéger pour indiquer la présence du serveur d’applications servant de leurre.
Selon un mode de réalisation, l’étape de modification du système de noms de domaine est réalisée en définissant le serveur d’applications servant de leurre avec un service permettant de prendre le contrôle du serveur.
Par exemple, dans la définition du système de noms de domaine, le serveur d’applications servant de leurre peut être défini en relation avec les services « http » ou « bureau à distance», afin d’inciter le pirate informatique à pénétrer sur le serveur d’applications servant de leurre.
En outre, selon un mode de réalisation, l’étape de modification du système de noms de domaine est réalisée en définissant le serveur d’applications servant de leurre comme un serveur Microsoft®.
Ce mode de réalisation permet également d’inciter le pirate informatique à pénétrer sur le serveur d’applications servant de leurre car les pirates informatiques ont généralement un préjugé selon lequel un serveur Microsoft® serait moins protégé qu’un autre type de serveur, par exemple un serveur GNU/Linux.
Selon un mode de réalisation, le pare-feu informatique du serveur d’applications à protéger est configuré pour bloquer l’accès des adresses Internet détectées en entrée et en sortie du serveur d’applications à protéger.
Ce mode de réalisation permet d’éviter que le pirate informatique ne puisse accéder sur le serveur d’applications à protéger. En outre, si le pirate informatique a déjà pénétré dans le système, il peut utiliser un cheval de Troie en communiquant avec un périphérique infecté. Ce mode de réalisation permet de bloquer ce cheval de Troie en bloquant les connexions sortantes à destination de l’adresse Internet du pirate informatique.
Selon un mode de réalisation, l’étape d’activation d’au moins un service sur le serveur d’applications servant de leurre est réalisée en activant au moins un service permettant de contrôler le serveur d’applications à distance.
Ce mode de réalisation permet d’inciter le pirate informatique à pénétrer sur le serveur d’applications servant de leurre car, lorsqu’il va rechercher les services présents sur ce serveur, il va découvrir des services particulièrement intéressants pour les actes de piratage et il aura toutes les raisons pour tenter de pénétrer sur le serveur d’applications servant de leurre.
Description sommaire des figures
La manière de réaliser l’invention ainsi que les avantages qui en découlent, ressortiront bien du mode de réalisation qui suit, donné à titre indicatif mais non limitatif, à l’appui des figures annexées dans lesquelles les figures 1 et 2 représentent :
Figure 1 : une représentation schématique d’un système informatique muni d’un capteur d’intrusion servant de leurre selon un mode de réalisation de l’invention ; et Figure 2 : un ordinogramme des étapes de création d’un capteur d’intrusion servant de leurre selon un mode de réalisation de l’invention.
Description detaillee de l’invention
Dans la description qui suit, les adresses Internet sont présentées sur une forme correspondant au protocole IPv4, c’est-à-dire la quatrième version du protocole Internet avec quatre séries de chiffres reliées par des points. En variante, d’autres protocoles peuvent être utilisés sans changer l’invention, notamment le protocole IPv6.
La figure 1 illustre un système informatique d’une société 23 intégrant un capteur d’intrusion servant de leurre 10. Le système informatique comporte un serveur 20 hébergeant un site Internet de la société 23 et un serveur 21 gérant les messages électroniques de la société 23. Ces deux serveurs 20-21 sont hébergés chez des prestataires de la société 23 et ils ne sont pas situés dans les locaux de la société 23.
La société 23 comporte également un serveur de fichiers 22 hébergé et géré en interne de la société 23. En utilisant le réseau Internet 13, le serveur 20, hébergeant le site Internet, est accessible depuis l’adresse Internet 24 zz.zz.zz.zz. Le serveur 21, gérant les messages électroniques, est accessible depuis l’adresse Internet 25 yz.yz.yz.yz et le serveur de fichiers 22 est accessible depuis l’adresse Internet 26 xx.xx.xx.xx.
Ces acteurs sont référencés dans le système de noms de domaine 12 dans lequel une ligne L1 concerne la définition du serveur de fichiers 22, une ligne L2 concerne la définition du serveur de messagerie 21 et une ligne L3 concerne la définition du serveur d’hébergement du site Internet 22.
Cette structure classique est décrite uniquement à titre d’exemple. Dans cet exemple, l’invention est présentée dans le contexte de la sécurité numérique d’une société 23. En variante, une telle sécurité informatique peut être mise en œuvre pour protéger tous types de système informatique, par exemple les systèmes informatiques présents dans les collectivités ou dans les infrastructures milliaires.
Outre ces éléments classiques d’un système informatique, l’invention propose un capteur d’intrusion informatique 10 accessible depuis une adresse Internet 11 yx.yx.yx.yx. Ce capteur d’intrusion informatique 10 comporte un serveur d’applications 14 servant de leurre pour capturer l’adresse Internet d’un pirate informatique.
Le procédé de création de ce capteur d’intrusion informatique 10 est décrit en référence à la figure 2. Dans une première étape 50, le serveur d’applications 14 est créé pour être accessible depuis une adresse Internet 11. De préférence, un serveur Microsoft® est utilisé. En outre, l’adresse Internet 11 est choisie de sorte à correspondre à une situation géographique dans le même pays, voir dans la même région que la société 23.
Lorsque le serveur d’applications 14 est créé, il est paramétré dans une étape 51 en activant des services 15 souvent cibles de piratage. Par exemple, au moins un service activé 15 est un service permettant de prendre un contrôle à distance du serveur d’applications 14, tels que le service « http » ou « bureau à distance ». En activant ce service de contrôle à distance, un code d’accès est demandé.
Il est préférable de prendre un code d’accès particulièrement sécurisé pour ce service, par exemple un code d’accès codé sur au moins 32 caractères en intégrants des caractères spéciaux. Les caractères spéciaux sont des caractères qui diffèrent des caractères alphabétiques de la langue de la société 23.
De préférence, un grand nombre de services sont activés de sorte que le pirate informatique puisse tenter de pénétrer sur plusieurs services 15 simultanément.
Dans la suite de la configuration du serveur d’applications 14, dans une étape 52, des moyens de supervision sont mis en œuvre pour capter les adresses Internet tentant d’accéder au service activé 15. Par exemple, sur un serveur Microsoft®, le mécanisme d’audit « Windows Filtering Platform » peut être activé. En variante, un autre moyen de supervision tel qu’un firewall ou un analyseur réseau peut être utilisé.
Des tentatives de connexions peuvent ensuite être réalisées pour tester que les moyens de supervision captent efficacement les évènements réalisés par le serveur d’applications 14, notamment que ces évènements comportent les adresses Internet tentant d’accéder au service activé 15.
L’étape 53 concerne l’implémentation de moyens d’extraction permettant d’extraire au moins ces adresses Internet tentant d’accéder au service activé 15. Par exemple, ces moyens d’extraction peuvent être réalisés sous la forme d’un service lisant régulièrement le fichier contenant les évènements des moyens de supervision pour en extraire les métadonnées liées aux tentatives de connexion sur le service activé 15.
Ce service d’extraction peut être implémenté sur le serveur d’applications 14 ou sur un autre serveur distant qui serait connecté, au moins régulièrement, au serveur d’applications 14 servant de leurre.
Outre les adresses Internet tentant d’accéder au service activé 15, les moyens d’extraction peuvent extraire toutes les métadonnées liées aux tentatives de connexions au service activé 15, telles que la date et l’heure de la tentative ou l’adresse Internet sur laquelle la tentative est réalisée.
En effet, le serveur d’applications 14 peut avoir plusieurs adresses Internet associées à plusieurs sociétés 13 à protéger. Ainsi, en analysant l’adresse Internet qui est ciblée, il est possible de déterminer quelle société 13 est visée par l’attaque détectée sur le serveur d’applications 14.
Les moyens d’extraction peuvent également être configurés pour détecter lorsqu’une connexion est réalisée de sorte à informer un administrateur du serveur d’applications 14. Outre les tentatives de connexion d’un pirate informatique, le serveur d’applications 14 peut être géré à distance par un administrateur authentifié. Pour ce faire, cet administrateur peut être référencé à une adresse Internet spécifique qui est filtrée lors de l’extraction des adresses Internet tentant d’accéder au service activé 15.
De la même manière que précédemment, ces moyens d’extraction peuvent être testés après leurs mises en place.
Suite à l’implémentation de ces moyens d’extraction, une étape 54 concerne l’implémentation des moyens de transmission qui permettent de transmettre les adresses Internet détectées à un pare-feu des serveurs à protéger 20-22. Ces adresses Internet détectées peuvent être transmises à un ou plusieurs pare-feu pour protéger un ou plusieurs serveurs 20-22 d’une ou plusieurs sociétés 13. De préférence, le pare-feu d’un serveur 2022 qui reçoit les adresses Internet potentiellement dangereuses peut bloquer l’accès de ces adresses Internet en entrée et en sortie du serveur.
Ainsi, dès qu’un pirate informatique a réalisé une tentative de connexion sur le serveur d’applications 14 servant de leurre, l’adresse Internet qu’il utilise peut être directement communiquée à un ensemble de pare-feu afin que cette adresse Internet soit positionnée dans une liste noire.
Pour que ce serveur d’applications 14 servant de leurre soit facilement détectable par un pirate informatique, une étape 55 consiste à modifier le système de noms de domaine 12 pour indiquer la présence du serveur d’application 14 sur le système d’information. Pour ce faire, une ligne L4 est ajoutée au système de noms de domaine 12 en référençant l’adresse Internet 11 du serveur d’applications 14 servant de leurre.
Dans la description du serveur d’applications 14 servant de leurre, il peut être défini que le serveur d’applications 14 correspond à un serveur Microsoft® et que le serveur d’applications 14 est utilisé avec des services 15 de contrôle à distance.
Dans l’exemple de la figure 1, la ligne L4 est définie en utilisant la description « crm » pour décrire l’activité du serveur d’applications 14. Cette description « crm » correspond à un serveur gestionnaire de relation client, pour « Customer Relationship Management » dans la littérature anglo-saxonne. Ce type de serveur centralise un grand nombre d’informations sur les clients et les produits d’une société afin de créer une offre personnalisée à chaque client en fonction de ses besoins. Un serveur gestionnaire de relation client est souvent implémenté sur un serveur Microsoft® avec un nombre de services importants, notamment des services permettant un accès à distance. Ainsi, un pirate informatique qui détecte cette description « crm » dans le système de noms de domaine 12 devrait être très incité à tenter une intrusion sur le serveur associé à cette description « crm ».
L’invention permet ainsi d’amener un pirate informatique à tenter de pénétrer sur un serveur d’applications 14 servant de leurre afin de capter son adresse Internet et la mettre dans au moins une liste noire d’un serveur à protéger 20-22. Cette démarche est à l’opposé des démarches existantes qui visent à limiter les possibilités d’actions des pirates informatiques. En effet, dans la démarche de l’invention, le pirate informatique est incité à perpétrer des tentatives de piratage dans un contexte contrôlé et protégé de tout risque.
Claims (9)
- REVENDICATIONS1. Capteur d’intrusion informatique (10) associé à au moins une adresse Internet (11), ladite adresse Internet (11) étant destinée à être référencée sur un système de noms de domaine (12), ledit capteur d’intrusion comportant :- un serveur d’applications (14) servant de leurre dans lequel au moins un service (15) est activé ; et- des moyens de supervision des services (15) du serveur d’applications (14) aptes à capter les adresses Internet tentant d’accéder au service activé (15) ;caractérisé en ce que le serveur d’applications (14) comporte également :- des moyens d’extraction des adresses Internet tentant d’accéder au service activé (15) ; et- des moyens de transmission configurés pour transmettre les adresses Internet détectées à un pare-feu informatique afin de bloquer l’accès de ces adresses Internet.
- 2. Capteur d’intrusion selon la revendication 1, dans lequel lesdits moyens d’extraction intègrent une liste d’adresses Internet admissibles, lors de l’extraction des adresses Internet tentant d’accéder au service activé, les moyens d’extraction comparant les adresses Internet détectées avec la liste d’adresses Internet admissibles pour extraire uniquement les adresses Internet détectées qui diffèrent des adresses Internet contenues dans la liste d’adresses Internet admissibles.
- 3. Capteur d’intrusion selon la revendication 1 ou 2, dans lequel le service activé présente un code d’accès codé sur au moins 32 caractères en intégrant des caractères spéciaux.
- 4. Capteur d’intrusion selon l’une des revendications 1 à 3, dans lequel les moyens d’extraction comportent également une détection des connexions réalisées sur le service activé, les moyens de transmission étant configurés pour transmettre une information selon laquelle au moins une connexion a été réalisée sur le serveur.
- 5. Procédé de création d’un capteur d’intrusion selon l’une des revendications 1 à 4, caractérisé en ce que le procédé comporte les étapes suivantes :- implémentation (50) d’un serveur d’applications (14) servant de leurre sur une adresse Internet distincte d’un serveur d’applications à protéger (20-22) ;- activation (51) d’au moins un service (15) sur le serveur d’applications (14) servant de leurre ;- mise en œuvre (52) de moyens de supervision du service activé (15) ;- implémentation (53) de moyens d’extraction des adresses Internet tentant d’accéder au service activé (15) ;- implémentation (54) de moyens de transmission configurés pour transmettre les adresses Internet détectées à un pare-feu informatique du serveur d’applications à protéger (20-22) afin de bloquer l’accès de ces adresses Internet ; et- modification (55) du système de noms de domaine (12) du serveur d’applications à protéger (20-22) pour indiquer la présence du serveur d’applications (14) servant de leurre.
- 6. Procédé selon la revendication 5, dans lequel l’étape de modification (55) du système de noms de domaine (12) est réalisée en définissant le serveur d’applications (14) servant de leurre avec un service permettant de prendre le contrôle du serveur.
- 7. Procédé selon la revendication 5 ou 6, dans lequel l’étape de modification (55) du système de noms de domaine (12) est réalisée en définissant le serveur d’applications (14) servant de leurre comme un serveur Microsoft®.
- 8. Procédé selon l’une des revendications 5 à 7, dans lequel le pare-feu informatique du serveur d’applications à protéger (20-22) est configuré pour bloquer l’accès des adresses Internet détectées en entrée et en sortie du serveur d’applications à protéger (20-22).
- 9. Procédé selon l’une des revendications 5 à 8, dans lequel l’étape d’activation (51) d’au moins un service (15) sur le serveur d’applications (14) servant de leurre est réalisée en activant au moins un service permettant de contrôler le serveur d’applications (14) à distance.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1852752A FR3079642B1 (fr) | 2018-03-29 | 2018-03-29 | Capteur d'intrusion informatique et procede de creation d'un capteur d'intrusion |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1852752A FR3079642B1 (fr) | 2018-03-29 | 2018-03-29 | Capteur d'intrusion informatique et procede de creation d'un capteur d'intrusion |
| FR1852752 | 2018-03-29 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR3079642A1 true FR3079642A1 (fr) | 2019-10-04 |
| FR3079642B1 FR3079642B1 (fr) | 2021-09-10 |
Family
ID=63294309
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR1852752A Active FR3079642B1 (fr) | 2018-03-29 | 2018-03-29 | Capteur d'intrusion informatique et procede de creation d'un capteur d'intrusion |
Country Status (1)
| Country | Link |
|---|---|
| FR (1) | FR3079642B1 (fr) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4246890A1 (fr) | 2022-03-15 | 2023-09-20 | Serenicity | Systeme d'analyse automatisee des actions d'un utilisateur connecte a distance sur un serveur |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040172557A1 (en) * | 2002-08-20 | 2004-09-02 | Masayuki Nakae | Attack defending system and attack defending method |
| US20070039042A1 (en) * | 2005-08-12 | 2007-02-15 | First Data Corporation | Information-security systems and methods |
| EP2380309A1 (fr) * | 2009-01-20 | 2011-10-26 | Microsoft Corporation | Accès distant à des ressources de réseau privé à partir de l'extérieur du réseau |
-
2018
- 2018-03-29 FR FR1852752A patent/FR3079642B1/fr active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040172557A1 (en) * | 2002-08-20 | 2004-09-02 | Masayuki Nakae | Attack defending system and attack defending method |
| US20070039042A1 (en) * | 2005-08-12 | 2007-02-15 | First Data Corporation | Information-security systems and methods |
| EP2380309A1 (fr) * | 2009-01-20 | 2011-10-26 | Microsoft Corporation | Accès distant à des ressources de réseau privé à partir de l'extérieur du réseau |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4246890A1 (fr) | 2022-03-15 | 2023-09-20 | Serenicity | Systeme d'analyse automatisee des actions d'un utilisateur connecte a distance sur un serveur |
| FR3133686A1 (fr) | 2022-03-15 | 2023-09-22 | Serenicity | Systeme d’analyse automatisee des actions d’un utilisateur connecte a distance sur un serveur |
Also Published As
| Publication number | Publication date |
|---|---|
| FR3079642B1 (fr) | 2021-09-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10057284B2 (en) | Security threat detection | |
| Çetin et al. | Cleaning Up the Internet of Evil Things: Real-World Evidence on ISP and Consumer Efforts to Remove Mirai. | |
| US9083677B1 (en) | Human user verification of high-risk network access | |
| CN102859934B (zh) | 网络可接入计算机服务的接入管理和安全保护系统和方法 | |
| US20140013436A1 (en) | System and method for enabling remote registry service security audits | |
| EP2176767A1 (fr) | Procede et dispositif de protection de donnees et de systeme informatique | |
| EP2692089A2 (fr) | Mécanisme de redirection entrante sur un proxy inverse | |
| EP2705644B1 (fr) | Procede et dispositif de detection d'intrusions sur un ensemble de ressources virtuelles | |
| FR2850503A1 (fr) | Procede et systeme dynamique de securisation d'un reseau de communication au moyen d'agents portables | |
| EP2517139A1 (fr) | Procédé de détection d'un détournement de ressources informatiques | |
| FR3079642A1 (fr) | Capteur d'intrusion informatique et procede de creation d'un capteur d'intrusion | |
| FR3058015A1 (fr) | Procede de controle dynamique et interactif d'une passerelle residentielle connectee a un reseau de communication, dispositif et programme d'ordinateur correspondants | |
| EP3644146B1 (fr) | Dispositif d'enregistrement d'intrusion informatique | |
| EP4066461B1 (fr) | Procédé de coordination de la mitigation d'une attaque informatique, dispositif et système associés | |
| EP3343423A1 (fr) | Systeme de securisation d´un reseau informatique local | |
| EP3871381B1 (fr) | Technique de collecte d'informations relatives à un flux acheminé dans un réseau | |
| EP4115582A1 (fr) | Procede et dispositif de detection de l'usage d'un serveur de noms de domaine non certifie | |
| FR3105486A1 (fr) | Procédé de détection d’un comportement malveillant dans un réseau de communication, dispositif, équipement d’accès audit réseau, procédé de détection d’une attaque distribuée dans ledit réseau, dispositif, équipement nœud et programmes d’ordinateur correspondants | |
| FR3080967A1 (fr) | Procede d'envoi d'une information et de reception d'une information pour la gestion de reputation d'une ressource ip | |
| US20230164182A1 (en) | Cloud-based deception technology utilizing zero trust to identify threat intelligence, telemetry, and emerging adversary tactics and techniques | |
| US20230370495A1 (en) | Breach prediction via machine learning | |
| US20230164183A1 (en) | Cloud-based deception technology with granular scoring for breach detection | |
| EP4184868A1 (fr) | Technologie de déception basée sur le cloud utilisant la confiance zéro pour identifier les renseignements sur les menaces, la télémétrie et les tactiques et techniques émergentes des adversaires | |
| EP3035639B1 (fr) | Procédé de détection de balayage de ports non-autorisé dans un réseau informatique, produit programme d'ordinateur et dispositif associés | |
| WO2021105617A1 (fr) | Procede d'assistance pour la gestion d'une attaque informatique, dispositif et systeme associes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PLFP | Fee payment |
Year of fee payment: 2 |
|
| PLSC | Publication of the preliminary search report |
Effective date: 20191004 |
|
| PLFP | Fee payment |
Year of fee payment: 3 |
|
| PLFP | Fee payment |
Year of fee payment: 4 |
|
| TP | Transmission of property |
Owner name: SERENICITY, FR Effective date: 20210309 |
|
| PLFP | Fee payment |
Year of fee payment: 5 |
|
| PLFP | Fee payment |
Year of fee payment: 6 |
|
| PLFP | Fee payment |
Year of fee payment: 7 |