FR3089321A1 - Procédés et programmes d’ordinateur de défense contre les attaques informatiques - Google Patents

Procédés et programmes d’ordinateur de défense contre les attaques informatiques Download PDF

Info

Publication number
FR3089321A1
FR3089321A1 FR1872211A FR1872211A FR3089321A1 FR 3089321 A1 FR3089321 A1 FR 3089321A1 FR 1872211 A FR1872211 A FR 1872211A FR 1872211 A FR1872211 A FR 1872211A FR 3089321 A1 FR3089321 A1 FR 3089321A1
Authority
FR
France
Prior art keywords
network
computer
virtual
vulnerabilities
false
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR1872211A
Other languages
English (en)
Inventor
Elias Riachi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to FR1872211A priority Critical patent/FR3089321A1/fr
Publication of FR3089321A1 publication Critical patent/FR3089321A1/fr
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Procédés et programmes d’ordinateur de défense contre les attaques informatiques. L’invention concerne des procédés de défense contre les attaques informatiques et des programmes d’ordinateur comprenant des instructions de code qui, lorsqu’elles sont exécutées sur un processeur, réalisent les étapes des Procédés. L’invention est caractérisée par les procédés appelés Procédé A, Procédé B et Procédé C dans cette demande de brevet et par les programmes d’ordinateurs appelés programme d’ordinateur 1, programme d’ordinateur 2, programme d’ordinateur 3, programme d’ordinateur 4 et programme d’ordinateur 5 dans cette demande de brevet. Et tels qu’ils sont décrits ci-dessus.

Description

Description
Titre de l'invention : Procédés et programmes de Défense contre les attaques informatiques [0001] La présente invention concerne des procédés et programmes d’ordinateur de défense contre les attaques informatiques.
[0002] Le domaine technique est : la Sécurité des Systèmes d’information dont le sigle connu est SSI. Ou dit autrement la sécurité informatique.
[0003] L’état de la technique antérieure : dans le domaine de la sécurité des systèmes d’information ou dit autrement la sécurité informatique, les procédés antérieures (les concepts antérieurs, les logiques antérieures) de défense contre les attaques et/ou intrusions directes sur un réseau - c’est dire les proceeds existants à ce jour - contre les attaques informatiques, qu’elles soient à des fins d’espionnage(s), de sabotage(s) ou de verrouillage(s) contre demande(s) de rançon(s), consistent à défier, avec un (des) réseau(x) « figé(s) » , « statique(s) » et « passif(s) » un (des) attaquant(s) intelligent(s), actif(s), dynamique(s), agissant tantôt lentement et tantôt de façon furtive. Et ce, par :
- des capteurs installés sur un (des) réseau(x) et des équations et règles prédéfinies analysant les informations remontées par les capteurs pour la détection (l’interception) « d’intrusion(s) informatiques» et « d’exploitation(s) d’intrusion(s) » par la détection d’activité(s) informatique(s) sur un (des) réseau(x) ; activité(s) « jugée(s) » illégitime(s) par les règles et équations d’analyses.
- l’envoi d’alerte(s) pour la neutralisation et/ou l’envoi d’alerte(s) accompagné de neutralisation (bloquage) automatique.
- des programmes d’ordinateurs pour protéger les terminaux (les ordinateurs par exemple) basés d’une part, sur la sauvegarde dans leur(s) mémoire(s) de l’activité « dite normale » et d’autre part, sur la détection d’activité(s) « jugée(s) » anormale(s) ; et ce également par la détection de signature(s) de codes malveillants recensés à priori et intégrés dans la base de données des programmes.
[0004] Note : le(s) système(s) d’information ou dit autrement le(s) système(s) informatique(s) sont parfois cités dans cette demande de brevet par (grâce à) leur sigle à savoir, SL [0005] Les attaques (les menaces) : notons qu’il existe en gros trois types d’attaques (menaces) ou dit autrement trois grandes familles d’attaques informatiques (menaces) :
- L’attaque qu’on appellera Attaque type 1 (Menace 1) dans ces documents de demande de brevet et dont les étapes sont décrites dans la figure 1 se trouvant conformément à la regiementation à la fin de ces documents de demande de brevet. L’attaque type 1 est une attaque qu’on qualifiera d’attaque directe sur le (les) réseau(x).
- L’attaque qu’on appellera Attaque type 2 (Menace 2) dans ces documents de demande de brevet est une attaque (menace) sur les terminaux (ordinateurs à titre d’exemple non exclusif) c’est à dire une attaque qui cible les terminaux (ordinateurs à titre d’exemple non exclusif) par le biais de courriers éléctroniques piégés c’est à dire portant (comportant) dans leurs contenus des codes malveillants.
Ces derniers, c’est à dire les terminaux, des ordinateurs à titre d’exemple non exclusif, sont connectés à un (des) réseau(x) et constituent donc aussi un (des) point(s) d’entrée(s), d’accès, d’accroche(s), sur (à) un (des) réseau(x).
Ils (les terminaux) peuvent également permettre une escalade du (des) réseau(x) par la suite. Une escalade qu’on appelle également techniquement parfois une latéralisation de l’attaque. Cela dépend aussi du point de départ pour (de) l’attaquant, c’est à dire du niveau de droits d’utilisateur octroyé(s) à l’utilisateur du terminal (aux utilisateurs des terminaux) par l’administrateur du réseau, que l’attaquant a réussi à infiltrer, à infecter ou dit autrement sur lequel (lesquels) il a réussi à exécuter un / son (des / ses) code(s) malveillant(s).
- L’attaque qu’on appellera Attaque type 3 (ou menace 3) est un réalisable par (grâce à) un (des) accès physique(s) pour réussir « un (des) branchement(s) » sur le réseau. Unique(s) ou répétitif(s).
[0006] Notons que l’objet de cette demande de brevet concerne des procédés de défense et produits programmes d’ordinateur contre les attaques (menaces) type 1, 2 et 3.
[0007] La figure 1 représente en coupe, le schéma (les étapes) des attaques type 1 et 3. [0008] L’attaquant peut toutefois ne pas suivre forcément les étapes décrites dans le schéma ci-dessous (dans l’ordre, ou dans l’ordre décrit) et tenter. Etant donné que l’attaquant peut décider d’attaquer (de tenter des attaques ou dit autrement des exploitations ou une exploitation sur) X cibles en même temps et se dire qu’il verra bien où - c’est à dire sur quelle(s) cible(s) - son exploitation (ses exploitations) fonctionnera (fonctionneront) sans forcément suivre une logique optimisant ses chances de réussite sur une cible donnée.
[0009] Donc même si les ATTAQUES D et E décrites dans le schéma 1 ci-dessous ont très peu de chance d’aboutir (de réussir), tout le monde n’est pas forcément logique et/ou ne suit pas forcément une logique qui optimise les chances de réussite sur une cible donné. Notamment si dès le départ la stratégie consiste à « tenter » sur un grand nombre X de cibles différentes.
[0010] Donc nous sommes contraint de distinguer sur la base de ce que nous venons d’expliquer et sur la base des étapes décrites dans le schéma 1 plusieurs types ou dit autrement combinaisons d’étapes possibles : cinq (5) pour être précis. Voici le schéma 1 (notons que le schema 1 se lit avec la figure 1 décrivant les étapes 1, 2, 3, 4 et 5 du schema 1 et précisons que la figure 1 se trouve à la fin de cette demande de brevet conformément à la règlementation) :
[0011] ATTAQUE « A » = ÉTAPE 1 + ÉTAPE 2 + ÉTAPE 3 + ÉTAPE 4 + ÉTAPE 5 [0012] ATTAQUE « B » = ÉTAPE 2 + ÉTAPE 3 + ÉTAPE 4 + ÉTAPE 5 [0013] ATTAQUE « C » = ÉTAPE 3 + ÉTAPE 4 + ÉTAPE 5 [0014] ATTAQUE « D » = ÉTAPE 5 [0015] ATTAQUE « E » = Exploitation(s) de failles « 0 day ».
[0016] Explication de faille 0 day : faille 0 day veut dire « une faille fabriquant ». C’est à dire une faille lors du codage chez le(s) fabriquant(s) du (des) programme(s) utilisé(s) par la cible sur une ou plusieurs version(s) donnée(s). Le(s) fabricants arrive(nt) à remédier à ces failles généralement quand ils apprennent leur(s) existences suite à une attaque 0 Day relative à leur(s) produit(s) et font profiter leur(s) client(s) des remédiations par le biais de mises à jours. Mais avant la (les) correction(s) et la (les) mise(s) à jour, la cible reste vulnérable. Et quand une faille zéro Day est utilisée pour la première fois (donc non récupérée sur le web noir ou ailleurs) ou cherchée (trouvée) par la décortication d’un code pour attaquer une cible précise, cela est fatale.
[0017] PS 1 : Lors de l’attaque E l’attaquant n’utilise pas « forcément » une exploitation 0 Day pour des programmes qu’il a identifié chez sa cible. Mais utilise parfois des exploitations 0 Day connues et/ou récupérées sur ce qu’on appelle le web noir (une plateforme d’échanges anonymes utilisée par les pirates) en espérant que le(s) programme(s) pour lequel (lesquels) il dispose de faille(s) 0 Day existe(nt) chez sa cible. Les programmes étant souvent répandus, les fabricants de programmes informatiques n’étant pas très nombreux. Une faille pour des programmes Microsoft par exemple.
[0018] PS 2 : lors de l’attaque D, l’attaquant n’utilise pas des exploitations pour des vulnérabilités recueillies sur le (les) réseau(x) de la cible après avoir interrogé le (les) réseau(x) de la cible vu qu’il saute l’étape 3 de la figure 1. Il utilise une (des) exploitation(s) connue(s) et/ou récupérée(s) sur le « web noir » connu sous le nom de « dark web » en anglais, ou ailleurs par différents biais, en espérant que la (les) vulnérabilité(s) existe(nt) chez sa (ses) cible(s).
Les étapes des attaques types 2 sont :
- étape 1 : envoyer un (des) courrier(s) électronique(s) (dit également courriels ou courriel au singulier) dit piégé(s) vers l’adresse (les adresses) électronique(s) un utilisateur (des utilisateurs) d’un terminal (de terminaux) branché(s) sur un (des réseaux) donné(s). Des courrier(s) électronique(s) piégés c’est à dire des courrier(s) électroniques contenant une infection ou dit autrement un virus ou dit autrement un cheval de Troie ou dit autrement un Malware ou dit autrement un (des) code(s) malveillant(s) excecutable(s) sur un terminal (des terminaux) - des ordinateurs à titre d’exemple non exclusif - ; et permettant une (des) action(s) sur le terminal (les terminaux) sur lequel (lesquels) sera (seront) ouvert(s), - exécuté(s) - le (les) code(s) malveillants par l’ouverture de pièce(s) jointe(s) au(x) courriels et/ou par le cliquage (c’est à dire action consistant à cliquer) sur le(s) lien(s) hypertexte dans le (les) contenus du (des) courriel(s).
- étape 2 : Récupérer les informations disponibles sur le terminal (les terminaux), le (les) saboter ou le (les) verrouiller contre demande(s) de rançon(s). Et/ ou escalader le réseau à partir de ce terminal (ces terminaux) étant donné qu’il est (sont) connecté(s) au(x) réseau(x). La profondeur (l’ampleur) de la menace et/ou de l’attaque dépendra du point de départ. C’est à dire du (des) terminal (terminaux) atteint(s) par le(s) code(s) malveillant(s) et des droits octroyés sur le réseau (par l’administrateur légal du réseau) à l’utilisateur dont l’attaquant s’est procuré un accès à distance à son terminal. Ou encore interroger le réseau à partir de ce terminal. Ou récupérer des informations disponibles sur le terminal.
[0019] Rappelons que l’attaque qu’on appelle Attaque 2 (Menace 2) dans cette demande de brevet est une attaque (menace) sur les terminaux (ordinateurs à titre d’exemple non exclusif) c’est à dire qui cible les terminaux.
[0020] Rappelons également que ces derniers, c’est à dire les terminaux, sont connectés à un (des) réseau(x) et constituent donc aussi un (des) point(s) d’entrée(s), d’accès, sur le (les) réseau(x) auxquels (sur lesquels) ils (les terminaux) sont connectés / installés. Ils (les terminaux) peuvent également permettre une escalade du (des) réseau(x) par la suite. Une escalade qu’on appelle également parfois techniquement : une latéralisation de l’attaque. Rappelons aussi que cela dépend du point de départ pour (de) l’attaquant, c’est à dire du niveau de droits d’utilisateur octroyé(s) à l’utilisateur du terminal (aux utilisateurs des terminaux) par l’administrateur du réseau, que l’attaquant a réussi à infiltrer, à infecter ou dit autrement sur lequel (lesquels) il a réussi à exécuter un (des) code(s) malveillant(s).
[0021] Avant de décrire les solutions techniques et procédés antérieures (existants) notons, tout d’abord, que les solutions techniques existantes sont efficaces. Et que l’objet de cette demande de brevet n’est en aucun cas de les critiquer et/ou les remplacer « mais de les compléter » par des Procédés (concepts, logiques) et Programmes d’ordinateurs « nouveaux », « complémentaires » mais aussi « supplémentaires » et à très grande(s) valeur(s) ajoutée(s).
[0022] Ces documents de demande de brevet pointent toutefois la (les) limites de l’existant ainsi que les failles et/ou marge(s) d’insécurité(s) laissée(s) par les solutions existantes et/ou par le (les) mode(s) de gestion(s) adopté(s) par les utilisateurs de ces solutions, qui permettent encore aujourd’hui beaucoup de piratages et d’attaques informatiques réussis ; pour proposer des Procédés et Programmes d’ordinateurs « nouveaux », « différents », supplémentaires, parfois complémentaires à l’existant et à très grande(s) valeur(s) ajoutée(s).
[0023] Les solutions antérieures (déjà existantes) sont :
- des solutions d’Analyse(s) de réseau(x).
- des solutions d’Analyse(s) de terminaux.
- des solutions d’analyses pour la détection de code malveillants sur les terminaux sur la base de recensement(s) antérieur(s).
- des solutions de configuration de droits d’actions sur un (des) réseau(x).
[0024] En effet, la Sécurité des Systèmes d’information (SSI) - ou dit autrement - la Sécurité des Systèmes Informatiques « contre les attaques directes de type 1 », se base (s’appuie) donc jusqu’à ce jour sur des « Solutions d’Analyse(s) de réseau(x) » et/ou « d’Analyse de terminaux » pour la détection d’activité(s) jugée(s) anormale(s) par les règles et équations prédéfinies et pour la détection de code malveillants sur la base de recensement(s) antérieur(s) de ce qu’on appelle techniquement « des signatures ». La Sécurité des Systèmes Informatiques (Systèmes d’informations) « contre les attaques directes de type 1 » se base également sur des solutions de configuration de droits d’actions sur le réseau.
[0025] Les « Solutions d’Analyse(s) de réseau(x) » :
- capteurs installés sur un (des) réseau(x) pour remonter des informations relatives à l’activité du (des) réseau(x), à savoir les logs, avec des Outils d’Analyses des informations remontées par les capteurs (outils d’analyses de logs). Et ce, pour la détection et/ou l’interception de présence(s) et/ou activité(s) « jugée(s) » illégitimes. L’analyse (les analyses) s’effectue(nt) par des (sur la base de) règles et équations d’analyse(s) (codes informatiques) prédéfinis. Ces outils sont appelés SIEM dans le milieu de la sécurité informatique. Ces outils sont dotés d’un (de) système(s) d’alerte(s) et/ou blocage(s) automatique(s). Les règles et équations (codes) de ces outils font l’objet de mises à jour.
- outils d’analyses complémentaires qui analysent « l’historique » ou « les historiques » des premiers outils d’analyses pour « vérifier » qu’il n’y a pas eu une ou plusieurs activité(s) « à juger illégitimes » qui n’a (n’ont) pas été remontée(s) dans les alertes. Ces analyses sont également faites sur la base de règles et équations (codes) prédéfinies. Et font également l’objet de mises à jour.
- les « Pots de miel » qui sont généralement des adresses IP laissées vacantes sciamment afin que l’attaquant (les attaquants - les pirates) les utilisent ; et sont équipés de capteurs pour l’intercepter (les intercepter). L’attaquant (les attaquants) cherchant parfois à s’octroyer une (des) adresse(s) IP d’abord sur le réseau comme point de départ (d’accroche). Et/ou pour interroger le réseau à partir de cette (ces) adresses IP et exploiter et/ou escalader le réseau par la suite.
[0026] Les « Solutions d’Analyse de terminaux » :
- « Endpoint » : c’est à dire des outils qui d’abord mémorisent (sauvegardent dans une mémoire) l’activité (les activités) « appelée(s) normale(s) » d’un terminal (un ordinateur à titre d’exemple non exclusif). Puis envoient une (des) alerte(s) et/ou bloquent le terminal (les terminaux) si une (des) activité(s) différente(s) de celle(s) « enregistrée(s) comme étant normale(s) » est (sont) détectée(s) sur le terminal (les terminaux) ; ou dit autrement si une (des) activité(s) différente(s) de celle(s) « enregistrée(s) dans la mémoire de l’outil comme étant normale » est (sont) détectée(s).
[0027] Les « Solutions d’analyses pour la détection de code malveillants sur les terminaux sur la base de recensement(s) antérieur(s) de ce qu’on appelle techniquement des signatures »:
- les anti-virus et anti-malware.
[0028] Les solutions « de configuration (d’octroi) de droits d’actions sur le réseau »:
- Les pares-feux.
[0029] Les limites des solutions existantes :
Rappelons que les solutions techniques existantes sont efficaces et que l’objet de cette demande de brevet n’est en aucun cas de les remplacer « mais de les compléter » par des Procédés et Programmes d’ordinateurs d’abord très « différents » et qui sont « supplémentaires » et parfois « complémentaires » à l’existant. Ces documents de demande de brevet pointe toutefois les limites de l’existant (des technologies existantes) et les failles et/ou marge(s) d’insécurité(s) laissées par les solutions existantes et par la (les) gestion(s) faite(s) par les utilisateurs des solutions existantes, qui permettent encore aujourd’hui un très grand nombre de piratages et d’attaques informatiques réussis, pour proposer des Procédés (des concepts, des logiques) « nouveaux », « différents », supplémentaires et parfois complémentaires à l’existant et à très grande(s) valeur(s) ajoutée(s) ; ainsi que des Programmes d’ordinateurs comprenant des instructions de code qui, lorsqu’elles sont exécutées sur un processeur, réalisent les étapes des Procédés « nouveaux », « différents », supplémentaires, complémentaires à l’existant et à très grande(s) valeur(s) ajoutée(s).
[0030] Limite(s) ou dit autrement faille(s) (du point de vue de l’attaquant) des solutions d’analyses de réseaux par des capteurs et l’analyse des informations remontées par les capteurs :
- Rappelons que les outils d’Analyses (de logs) équipés de capteurs décrits ci-dessus sont très efficaces mais fondent la sécurité sur la détection, l’alerte et le blocage automatique (ou bloquage manuel) sur la base de règles et équations d’analyses prédéfinies qui font l’objet de mises à jour. Or ceci présente deux limites ou disons du point de vue de l’attaquant, deux failles exploitables par un attaquant s’agissant des solutions d’analyses de réseaux.
[0031] La première:
Le réseau étant en activité lors des heures de travail, « la détection et le blocage automatique » de « ce qui est jugé » ou « de l’activité sur le réseau jugée » ou « des activités sur les réseaux jugées » suspicieuse(s) et/ou illégitime(s) par les règles et équations prédéfinies de l’outil (des outils) décrits dans a) sont faits à partir « d’un arbitrage de configuration ». Car l’activité « d’un pirate » ou disons d’une personne « qui s’introduit de manière illégitime sur un réseau » génère « des activités plus ou moins similaires » à celles des utilisateurs légitimes. En fonction de la prudence et de la ruse de l’attaquant.
[0032] Si les outils d’analyses sont réglés pour suspecter ou « pour juger suspect » et bloquer (et/ou alerter de) toutes les activités sur un (des) réseau(x) pour obtenir un risque égal à zéro, toutes les activités (les logs) sur le (les) réseau(x) seront remontés en alertes et le(s) réseau(x) sera (seront) bloqué(s) en permanence en cas de mise en place d’option(s) de blocage(s) automatique(s). C’est pourquoi, l’utilisateur (les utilisateurs) de ces outils doit (doivent) faire un arbitrage et laisse(nt) ainsi une marge d’insécurité par laquelle le pirate peut opérer sans être ni bloquer, ni détecter.
[0033] La deuxième :
Le réseau étant en activité lors des heures de travail, « la détection et les alertes sans blocage automatique » concernant « ce qui est jugé » ou disons « de l’activité jugée » suspicieuse et/ou illégitime par les règles et équations prédéfinies de l’outil (des outils) décrits dans a) sont également faits à partir « d’un arbitrage » ou dit autrement se basent « sur un arbitrage de configuration » ou dit autrement « un arbitrage dans la configuration des outils d’analyses (de logs)» [0034] Car comme lors de la détection et le bloquage automatique, l’activité « d’un pirate » ou disons d’une personne malveillante « qui s’introduit de manière illégitime sur le réseau » génère « des activités plus ou moins similaires » à celles des utilisateurs légitimes. En fonction de la prudence et de la ruse de l’attaquant.
[0035] Si les outils d’analyses sont réglés « pour suspecter ou disons pour juger suspect et alerter de toutes les activités sur le réseau ; réglage permettant d’obtenir un risque égal à zéro », toutes les activités (les logs) sur le(s) réseau(x) seront remontés en alertes.
[0036] Et dans ce cas « la seule et simple visualisation et vérification du contenu des alertes » vu leurs quantités par minute voire par seconde nécessiteraient des dizaines voire des centaines d’humains « très qualifiés en plus » pour en juger la pertinence.
[0037] Et dans ce cas, les règles et équations prédéfinies d’analyses de logs seraient inutiles, leurs existences étant utiles pour éviter d’employer une centaine de personnes très qualifiées pour analyser humainement l’activité du (des) réseau(x) et les logs.
[0038] C’est pourquoi, qu’il s’agisse de « détection et blocage automatique » ou de « détection et alertes sans blocage automatique », l’utilisateur de ces outils doit faire un arbitrage entre ce qu’on appelle un taux de silence et un taux de bruit.
[0039] Une configuration de l’outil permettant un risque très faible voire quasi-nul augmente systématiquement le taux de bruit dans les alertes et bloquerait le réseau en permanence et/ou nécessiterait un grand nombre d’humains très qualifiés pour vérifier les alertes qui contiendraient beaucoup de bruit ou dit autrement les alertes qui contiendraient de fausses alertes ; et ce en temps réel.
[0040] Une configuration que nous appelerons « raisonnable » de l’outil permettant des blocages automatique et/ou remontées d’alertes « raisonnables » et surtout « gérables » augmente systématiquement le taux de silence ou dit autrement le risque de silence. C’est à dire une (des) activité(s) illégitime(s) qui ne remonte(nt) pas dans les alertes et qui ne sont ni détectées ni bloquées par les outils d’analyses.
[0041] La (une) configuration dite « raisonnable » des solutions a) sur la base des éléments décrits ci-dessus, crée donc ainsi une marge d’insécurité et laisse donc une (des) faille(s) par laquelle (lesquelles) le(s) pirate(s), l’attaquant ou dit autrement une (des) personne(s) malveillante(s) peut (peuvent) opérer (c’est à dire s’introduire, rester présent et travailler de manière illégitime sur un réseau) sans être ni détecté(s), ni bloqué(s) et sans générer d’alertes.
[0042] Limite(s) ou dit autrement (du point de vue de l’attaquant), les faille(s) des solutions d’analyses complémentaires qui analysent « l’historique » ou « les historiques » des premiers outils d’analyses par les capteurs :
- D’abord, la détection dans l’historique est de facto et par définition une détection « tardive ». Car si l’activité illégitime est enregistrée seulement dans l’historique c’est qu’elle n’a pas été remontée dans les alertes à temps et ΓΙΡ utilisée par son auteur n’a pas donc été bloquée.
[0043] Dans le cadre d’une attaque basée sur une exploitation rapide (de sabotage ou de verrouillage contre demande de rançon) et donc sur la furtivité, ce procédé de défense par détection ultérieure dans l’historique n’est pas efficace.
[0044] D’autre part, les règles d’analyse(s) dans l’historique (les historiques) se basent sur la détection d’activité(s) « jugées » illégitime(s) par la détection « d’un grand nombre » (ou un certains nombre disons) d’activité(s) « par le regroupement d’activité(s) provenant d’une même adresse IP par exemple ». Ou par le regroupement « de fractions » dans l’historique qui constituent dans leur ensemble une menace.
[0045] Or si l’attaquant, « laisse passer du temps entre ses activités » donc entre « les fractions » il n’est pas détecté comme étant illégitime même après analyse(s) de l’historique et regroupement de fractions dans l’historique.
[0046] Notons également que l’attaquant peut aussi changer d’adresse IP et/ou « jongler » entre plusieurs adresses IP pour générer son activité sur le (les) réseau(x).
[0047] Notons pour résumer que l’idée (la stratégie) d’une attaque (activité illégitime) « non détectée » ou disons « non détectable » consiste simplement à adopter un comportement générant une activité « exactement similaire » à celle d’un utilisateur légitime qui génère une activité dans le cadre de l’exercice de sa fonction.
[0048] Enfin, notons que la limite de tous les procédés de défense (logiques de défense) existants basé(s) sur l’analyse de réseau résident dans le fait que le réseau est statique, figé et donc surtout « compréhensible ». Et que les règles d’analyses sont également compréhensibles donc contournables.
[0049] En effet, quand on comprend un procédé de défense on trouve toujours une (ou plusieurs) manière(s) de le contourner.
[0050] D’autre part, un (des) attaquant(s) - pirate(s) - peut (peuvent) profiter - et profite(nt) généralement quand il(s) n’est pas (ne sont pas) novice(s) - d’un moment d’absence occasionnel (congé, etc.) ou peut (peuvent) provoquer - et provoque(nt) généralement quand il(s) a (ont) de la créativité - une (des) absence(s) d’un ou plusieurs utilisateur(s) légithne(s) sur un (des) réseau(x) - accident, invitation, rendez-vous, etc. -, pour générer une activité (des activités) à partir de son terminal (leurs terminaux) et/ou son adresse IP (leurs adresses IP).
[0051] Cette activité (ces activités) - c’est à dire en l’absence de l’utilisateur (des utilisateurs) légithne(s) - ne sera (seront) pas jugée(s) comme étant illégitime(s) ; suspicieuse(s) - par l’outil (les outils) d’analyses car l’outil (les outils) d’analyses « qui détecte(nt) les doublons » ne détecteront pas de « doublons ». Doublon(s) c’est dire deux (ou plusieurs) adresses IP identiques générant une (des) activité(s) (opérant) sur un (des) réseau(x) à partir de deux (ou plusieurs) terminaux différents.
[0052] Limite(s) ou dit autrement (du point de vue de l’attaquant), les faille(s) des solutions Endpoint :
Notons d’abord que les Endpoints protègent seulement les terminaux qui sont connectés au(x) réseau(x) pour empêcher une escalade à partir d’un terminal et ne sont pas concernés par les attaque(s) directes type 1 et 3.
[0053] Par ailleurs, s’agissant des attaques type 2, les endpoints sont certainement efficaces mais ne permettent pas un risque zéro. Un attaquant intelligent, dans le cadre d’une attaque pour espionnage ou même pour sabotage ou verrouillage contre rançon peut ne travailler à partir du terminal que lors des horaires de travail et opérer de manière à générer une activité jugée très légitime car lente et similaire à l’activité de l’utilisateur légitime dont il a la main sur le terminal.
[0054] L’attaquant peut également se contenter de récupérer des informations sur le terminal pour éviter d’être détecté (bloqué) par le(s) pare-feu(x) et pour avoir des éléments permettant de mieux préparer (perfectionner) son attaque et attaquer par la suite un autre terminal et avancer doucement et en « laissant passer du temps entre ses activités ». Ainsi son activité sur le terminal (les terminaux) protégé(s) par les endpoint et pare-feu(x) ne sera pas détectée comme illégitime. Ou quand elle le sera il aurait déjà réussi à avoir des informations.
[0055] Rappelons que l’idée (la stratégie) d’une attaque (activité illégitime) « non détectée » consiste simplement à adopter un comportement générant une activité « exactement similaire » à celle d’un utilisateur légitime qui génère une activité dans le cadre de l’exercice de sa fonction et ce « sans doublon(s) ».
[0056] Les limites des solutions anti-virus et anti-malware :
Les anti-virus et anti-malware protègent les terminaux qui sont connectés au(x) réseau(x) seulement. Et pour empêcher une escalade à partir d’un terminal mais ne sont pas concernés par la sécurité directe du (des) réseau(x) et donc par les attaque(s) directes type 1 et par accès physique(s) type 3.
[0057] Les anti-virus et anti-malware sont également des solutions efficaces pour protéger les terminaux. Ils détectent la présence « de virus » dit autrement « d’infections » et de code malveillants sur la base (les) base(s) de ce qu’on appelle « une signature » ou des signatures, recensée(s) par les fabricants d’anti-virus et anti-Malware. Chaque Malware et virus ayant une signature introduite(s) dans la (les) base(s) de données des Antivirus et Anti-Malware pour les détecter chez les cibles à protéger.
[0058] Or :
- Quand il s’agit d’une nouvelle infection, les anti-virus et les anti-malware ne détectent pas la signature car elle n’est tout simplement pas enregistrée dans la (les) base(s) de données. Un code malveillant doit être utilisé « au moins » une fois pour être recensé.
- Entre le recensement d’une « nouvelle signature d’infection » et la mise à jour un délai est logiquement nécessaire. En outre, la cible n’effectue pas parfois la (les) mise(s) à jour tout de suite dès qu’elle(s) est (sont) disponible(s) et proposée(s) par le fabriquant d’anti-virus et anti-malware.
[0059] Enfin, au-delà des solutions décrites ci-dessus, ou dit autrement « en outre », la Sécurité des Systèmes d’information ou dit autrement la sécurité informatique repose également sur une logique complémentaire d’audits de sécurité récurrents d’un (de) réseau(x) (tests d’intrusions externes et internes ainsi que des audits de recueil de vulnérabilités) pour identifier des failles/vulnérabilités et les corriger.
[0060] Toutefois, d’une part, la logique d’audit n’apporte pas de sécurité contre les attaques Type 2.
[0061] Et d’autre part, la logique d’audit qui consiste donc à réaliser de façon (manière) récurrente un (des) test(s) d’intrusion(s) et/ou des audits de vulnérabilités sur un (des) réseau(x) pour identifier (recueillir) les vulnérabilités et failles présentes sur le(s) réseau(x) puis éditer un (des) rapport(s) avec les remédiations et/ou une feuille de route de remédiations laisse l’environnement (c’est à dire le réseau) vulnérable à plusieurs périodes.
[0062] La figure 2 représente les étapes dans le temps de deux premiers audits de sécurité dans la vie d’un réseau informatique. Sachant que les prochains obéiront à la même logique.
[0063] Explications littéraires de la figure 2 :
- Soit tO le premier audit dans la vie d’un réseau. Tel que : tO = date de début de l’audit ; tl = date de fin de l’audit ; t2 = date d’édition des rapports ; t3 = date de mise en place des correctifs par l’équipe IT ; t4 = date de développement du réseau ; t5 = date du prochain (deuxième) audit ; t6 = date de fin de l’audit ; t7 = date de fin de l’édition des rapports du deuxième audit ; t8 = date de la mise en place des correctifs des deuxièmes rapports d’audit ; t9 = date d’un nouveau développement.
[0064] La figure 3 représente les failles de la logique d’audit de sécurité dans le temps considérant à titre d’exemple les deux premiers audits de sécurité dans la vie d’un réseau informatique. Sachant que les prochains obéiront à la même logique et présenteront les mêmes inconvéniants.
[0065] Explications littéraires supplémentaires de la figure 3 :
- La logique cyclique de l’audit impose « des intervalles d’espace-temps » entre ce que nous appelons dans cette demande de brevet les événements et les différentes phases de l’audit « durant lesquelles le réseau est vulnérable ».
- Un intervalle d’espace-temps entre le début de l’audit (que nous appelons tO) et sa fin (que nous appelons tl). L’espace-temps (tO - tl) présente donc un réseau (environnement) vulnérable favorable à l’attaquant.
- Un intervalle d’espace-temps entre la fin de l’audit (tl) et la date d’édition de rapports (que nous appelons t2) présentant les vulnérabilités trouvées, le(s) correctifs) correspondant(s) à chaque vulnérabilité et les préconisations à appliquer. L’espace-temps (tl -12) présente donc un réseau (environnement) vulnérable favorable à l’attaquant.
- Un intervalle d’espace-temps entre la date d’édition des rapports (t2) et la date de mise en place des correctifs (que nous appelons t3). L’espace-temps (t2 -13) présente donc un réseau (environnement) vulnérable favorable à l’attaquant.
- En outre, toute activité a besoin de se développer, les systèmes d’information étant au service de l’activité et non l’inverse. Or ce développement (développement et implémentation de nouvelles applications internes et/ou externes, nouvelles implémentations sur le réseau, etc.) s’effectuera à une date qu’on appellera (t4) et se traduira d’un point de vue « sécurité des systèmes d’information » par la création de nouvelles (du moins potentielles) vulnérabilités et failles de sécurité.
- Ce(s) développement(s) crée(nt) un nouvel espace temps vulnérable (et donc favorable à l’attaquant) entre la date d’exécution sur le réseau (d’implémentation sur le réseau) de ce(s) développement(s) et « la date de mise en place des correctifs du (des) rapport(s) du (des) prochain(s) audit(s) » qu’on appellera (t8). Sachant (considérant) que la date de début du prochain audit est (t5) ; la date de fin du prochain audit est (t6) et que la date de l’édition du (des) rapport(s) du prochain audit est (t7). Puis un (des) nouveau(x) développement interviendront en (t9), etc.
[0066] Par ailleurs, les techniques de piratages évoluent indépendamment des dates des audits. Les dates étant définies par les cibles et non pas par les sociétés de sécurité qui traquent les nouvelles techniques et évolutions et ce pour trois raisons :
- des raisons de disponibilité des équipes IT chez les cibles (hors périodes de chantiers informatiques, etc.). Les équipes IT préférant généralement, et ce pour des raisons absurdes, être disponibles.
- des raisons budgétaires et/ou procédure(s) lente(s) de validation de budget(s).
- les sociétés de sécurité étant rémunérées lors des audits, les cibles doutent parfois de la bonne foi des sociétés de sécurité quand elles évoquent l’urgence de la mise à niveau du réseau face aux nouvelles menaces.
[0067] Ce qui démontre qu’une sécurité SSI obéissante à (basée sur) une logique de sécurité cyclique par audit(s) récurrents (cycliques) crée un environnement (laisse un réseau) souvent vulnérable et donc souvent favorable à l’attaquant et donc souvent propice à la réussite d’une attaque informatique.
[0068] Et ce sont ces intervalles d’espace-temps décrits ci-dessus durant lesquels le (les) réseau(x) est (sont) vulnérable(s) qui permettent à une personne malveillante (attaquant ou dit autrement pirate) d’exploiter avec réussite les vulnérabilités et failles du (des) réseau(x).
[0069] Exposé de l’invention :
Précisons d’abord que dans cette demande de brevet, réseau veut dire : réseau informatique. Et que réseaux veut dire : réseaux informatiques. Et que terminal veut dire : terminal informatique. Et que terminaux veut dire : terminaux informatiques.
[0070] Rappel :
Les procédés et les logiques de défense antérieures - c’est dire existants à ce jour contre les attaques informatiques qu’elles soient à des fins d’espionnage(s), de sabotage(s) ou de verrouillage(s) contre demande(s) de rançon(s), consistent à défier, avec un (des) réseau(x) « figé(s) » , « statique(s) » et « passif » sécurisé(s) par des capteurs d’activité(s) - de logs - et des règles et équations d’analyse(s) de ces activités (logs) ayant pour objet la détection, l’alerte et le bloquage automatique ou manuel, d’un (des) attaquant(s) intelligent(s), actif(s), dynamique(s) et parfois furtif(s).
[0071] Et si l’on inversait la logique sur l’attaquant ? C’est à dire défier l’attaquant par sa propre logique pour annuler son efficacité.
[0072] L’invention consiste en trois Procédés de défense contre les attaques (menaces) informatiques.
[0073] Un premier Procédé, appelé dans cette demande de brevet Procédé A, qui est un Procédé de défense d’un réseau compréhensible/lisible, statique, figé dans le temps, et passif, contre les attaques (menaces) informatiques.
[0074] Le Procédé A est caractérisé en (à) ce qu’il comporte les étapes suivantes, dont les deux premières sont successives (et notons qu’il est sollicité une protection sur ce qui suit) :
- L’étape 1) : transformation virtuelle (dit autrement : transformation de l’apparence) d'un réseau compréhensible/lisible par le gonflage (du verbe gonfler) virtuel et/ou la déformation virtuelle d’un (de) réseau(x). La transformation virtuelle (dit autrement : transformation de l’apparence) d'un réseau compréhensible/lisible peut également être réalisée par la création d’un ou plusieurs réseau(x) virtuel(x) par le biais d’un ou plusieurs code(s) informatique(s) pour inclure par la suite un ou plusieurs réseau(x) réel(x) dans un ou plusieurs réseau(x) virtuel(s) crée(s). Et ce, pour empêcher/biaiser une lecture/compréhension efficace faite par une observation (phase 1 de l’attaque) faite par un tiers et rendre ainsi un réseau réel indétectable dans un réseau virtuel et donc illisible/incompréhensible à (pour) son observateur.
- L’étape 2) : transformation virtuelle (ou dit autrement : transformation de l’apparence) d'un réseau « statique » et « figé dans le temps » en un réseau « virtuellement dynamique et aléatoire dans le temps » (ou dit autrement : dynamique et aléatoire dans le temps en apparence) par la mise en place d’une ou plusieurs configuration(s) changeante(s) et /ou aléatoire(s) dans le temps d’un réseau virtuel (crée et ajouté à un réseau réel - ou dans lequel un (des) réseau(x) réel(s) est (sont) inclut (inclus) -. Et ce, pour rendre un réseau réel indétectable et incompréhensible même via une observation de long terme ou très long terme.
- L’étape 3) : transformation de la caractéristique passive d’un réseau « lors du questionnement d’un réseau par un tiers par des requêtes » et/ou d’équipements réseau et/ ou équipements informatiques, en caractéristique passive/active. La transformation de la caractéristique passive d’un réseau qui communique passivement (c’est à dire de manière passive) les vulnérabilités « lors du questionnement par un tiers par des requêtes » est réalisée (s’effectue) par l’émission lors des questionnements (c’est à dire des requêtes) de fausses informations et/ou fausses vulnérabilités et/ou failles par le biais (via) de l’ajout à un réseau d’un ou plusieurs codes informatiques.
[0075] Avantageusement, dans l’étape 1), la transformation virtuelle et/ou le gonflage virtuel et/ou la déformation virtuelle d’un réseau, c’est à dire aussi la transformation virtuelle et/ou le gonflage virtuel et/ou la déformation virtuelle de l’infrastructure (des infrastructures) d’un réseau ; c’est à dire aussi la transformation virtuelle et/ou le gonflage virtuel et/ou la déformation virtuelle des équipements informatiques d’un réseau, sont réalisés « par le clonage de l’infrastructure informatique » d’un réseau et/ ou « par le clonage des équipements informatiques » tels que et ce à titre d’explication mais non exclusif : les terminaux, les ordinateurs, les serveurs, les imprimantes, les points d’accès wifi, les IP, etc.
[0076] Avantageusement, dans l’étape 1), la transformation virtuelle et/ou le gonflage virtuel et/ou la déformation virtuelle d’un réseau (c’est à dire transformer et/ou déformer et/ou gonfler virtuellement un réseau) par le clonage de l’infrastructure et des équipements informatiques s’effectue(nt) - est (sont) réalisée (s) - par la création de X clones pour chaque équipement informatique ou dit autrement pour chacun des équipements informatiques. Notons que X signifie une variable constituant un nombre variable selon le choix de configuration ultérieur de l’utilisateur du Procédé A.
[0077] Avantageusement, après l’étape 1) de gonflage, de déformation et d’amplification et/ ou de création d’un ou plusieurs réseau(x) virtuel(s) par le biais d’un ou plusieurs code(s) informatique(s) pour inclure par la suite un ou plusieurs réseau(x) réel(x) dans un ou plusieurs réseau(x) virtuel(s) crée(s) par un (des) codes(s) informatique(s) ou par le clonage d’un (de) réseau) / clonage de (des) infrastructure(s) / clonage des équipements d’un (de) reseau(x), est réalisée une étape de création et d’installation de « Mines » sur les clones et/ou sur le(s) réseau(x) virtuel(x) crées par un (des) code(s) informatique(s) et qui englobe(nt) un (des) réseau(x) réel(s).
[0078] Les Mines sont des « vraies » adresses IP vacantes (points d’accroches recherchés par les attaquants) et des vraies vulnérabilités laissées sciamment et installées sur les Clones et/ou sur le(s) réseau(x) virtuel(s). Les IP vacantes sont dotées de (reliées à des) capteurs (intercepteurs) pour identifier un accrochage illégitime et reliée(s) au(x) système(s) d’alerte(s). Les vulnérabilités sur les Clones et/ou le(s) réseau(x) virtuel(s) servent également à inciter une exploitation dessus pour identifier une attaque et générer une alerte. Etant sur des Clones, elles jouent le rôle de « postes virtuels avancés de sécurité ». L’exploitation ne générant pas de dommages à la différence d’une exploitation touchant le réseau réel, qui même si elle est interceptée, elle a déjà fait (effectuée) le (les) dommage(s) /résultat(s) voulu(s).
[0079] La différence qui caractérise l’innovation par rapport aux pots de miel classiques sur un réseau, c’est d’une part « la présence des mines sur des Clones » et/ou sur un (des) réseau(x) virtuel(s) avec les avantages cités ci-dessus. Et d’autre part, la possibilité de mettre en place pour la première fois au delà des pots de miels classiques c’est à dire des adresses IP vacantes avec capteurs, des vulnérabilités (failles). Les vulnérabilités (failles) sur les Clones et/ou sur un (des) réseau(x) virtuel(s) crées pour englober un (des) réseau(x) réel(s) incite(nt) à l’exploitation et ce sans dommage et donc sans risques pour un (des) réseau(x) réel(s).
[0080] Notons également que l’exploitation d’une Mine génère une alerte mais surtout avec une probabilité de réussite configurable en amont et donc quasi nulle si souhaité et donc une probabilité d’alerte et de détection « sans aucun dommage » très très élevée et donc une alerte et une detection avec possibilité de bloquage automatique quasi systématique(s). L’attaquant est ainsi face à une sorte de roulette russe avec une probabilité de réussite quasi nulle car configurable (maîtrisable) par la cible en amont.
[0081] Et en ce que l’étape 1) comporte en outre une sous étape al) :
- La sous étape al) étant une génération et/ou un maintien d’une activité virtuelle dans un réseau gonflé et déformé ; que nous pouvons également appelée une amplification virtuelle de l’activité (appelée aussi le trafic) d’un réseau réel et/ou virtuel crée par Clonage ou par code(s) informatique(s). La génération et/ou le maintien par le biais d’un ou plusieurs code(s) informatique(s) d’une activité (d’activités) virtuelle(s) et /ou l’amplification virtuelle de l’activité d’un réseau ont pour rôle de créer et/ou maintenir une (des) activité(s) virtuelles et/ou d’amplifier l’activité d’un réseau en créant et en générant une (des) activité(s) virtuelle(s) - supplémentaire(s) - ou dit autrement un (des) trafic(s) virtuel(s) -supplémentaire(s) - sur (dans) les Clones et équipements Clonés ou dans les réseaux virtuels crées par code(s) informatique(s), pour empêcher la distinction (l’identification) des Clones et équipements Clonés et/ou pour empecher la distinction (l’identification) d’un réseau virtuel par la non présence d’activité(s). La sous étape al) permet ainsi de biaiser les phases 1 et 2 d’une attaque telles que décrites dans la figure 1 de cette demande de brevet, à savoir l’observation et l’écoute d’un réseau. Et ce pour biaiser le jugement (l’analyse) par l’observation et l’écoute.
[0082] Et en ce que l’étape 3) comporte en outre une sous étape a3) :
- L’étape a3) est caractérisée par « le brouillage » , « le biaisage » des résultats des questionnements du réseau et/ou des équipements informatiques par des requêtes et « le brouillage » , « le biaisage » des résultats des scanners de vulnérabilités (outils de Scan de vulnérabilités de réseau et/ou d’équipements réseau et/ou équipements informatiques).
[0083] Avantageusement, dans l’étape a3), le brouillage (le biaisage) des résultats est réalisé « par saturation / par noyade », c’est à dire « par une émission (des émissions) » lors des questionnements d’un réseau, d’un nombre (que nous préconisons elevé) de « fausses informations » et/ou « fausses vulnérabilités ». Et ce, pour « saturer les résultats des questionnements (les réponses) » et « noyer les vraies réponses (résultats) dans une très grande quantité de fausses réponses (résultats) ».
[0084] Explication supplémentaire :
Brouiller les résultats (le brouillage des résultats) des tentatives (des démarches) de questionnement et/ou du questionnement du (des) réseau(x) par ce qu’on appelle des requêtes par l’émission d’un très grand nombre de fausses vulnérabilités (faux résultats) qui viendront s’ajouter aux vraies vulnérabilités (vrais résultats) pour rendre les réponses d’un réseau sur les vulnérabilités et failles présentes sur le réseau au moment du (des) questionnement(s) inexploitables.
[0085] Car pour pouvoir empêcher un pirate (une personne malveillante) « d’interroger » de manière « efficace » (ou dit autrement efficacement) et de manière « exploitable » un (des)réseau(x)il faut :
- Soit, empêcher le réseau de parler (de répondre, de communiquer avec le pirate). Ce qui est impossible à ce jour.
- Soit, par l’innovation « du brouilleur de requêtes par saturation / noyade » que nous appelons aussi « brouilleur de scanner par saturation / noyade). C’est à dire, répondre (en répondant) aux requêtes / questionnements et/ou aux scanners avec tellement (dire tellement) de fausses informations pour noyer les vraies réponses (résultats) dans une mer de fausses réponses (faux résultats).
[0086] Ainsi, le brouillage actif de requêtes et/ou scanners par saturation (par noyade) par l’émission à chaque requête de scanner (à chaque questionnement manuel ou automatisé) qui interroge le réseau, un nombre très important de fausses vulnérabilités qui viendront s’ajouter aux « vraies » vulnérabilités dans les résultats (réponses) aux requêtes et/ou dans les résultats (réponses) des scanners (des logiciels de Scan). Le brouillage permet ainsi de noyer les « vraies » vulnérabilités dans une mer de « fausses » vulnérabilités.
[0087] Ce brouillage permet une stratégie de défense par noyade / saturation qu’on peut appeler également stratégie de couverture par noyade. Cette technique ampute l’attaquant de « la capacité à analyser et exploiter efficacement » les réponses recueillies et/ou les données relevées par ses questionnements (ses requêtes) et/ou son (ses) logiciels de scan (scanners de vulnérabilités). Car l’attaquant ne sera tout simplement plus en mesure de savoir laquelle (lesquelles) des vulnérabilités (réponses) receuillie(s) est (sont) vraie(s) et laquelle (lesquelles) est (sont) une (des) fausse(s) pour savoir laquelle (lesquelles) exploiter.
[0088] Important :
Le pourcentage de « fausses » vulnérabilités (réponses) émises étant « configurable en amont » par la cible permet d’obtenir mathématiquement une (la) probabilité mathématique souhaitée de réussite / échec de l’exploitation (des exploitations).
[0089] En outre, plus on augmente le nombre de « fausses » vulnérabilités (réponses) dans les réponses à la (aux) requête(s) et/ou dans le(s) résultat(s) des scanners (c’est à dire les logiciels de Scan de vulnérabilités), plus on réduit mathématiquement la probabilité de réussite et donc la chance de réussite pour un attaquant. En émettant un très grand nombre de « fausses » vulnérabilités (réponses) proportionnellement aux « vraies » qu’on peut estimer naturellement en amont - on peut arriver à une probabilité (chance) de réussite quasi nulle pour un attaquant.
[0090] Avantageusement, dans l’étape a3), le brouillage par saturation / par noyade est réalisé par l’émission d’un grand nombre de fausses informations / réponses (vulnérabilités) concernant un réseau et les équipements associés à un réseau par le biais de l’ajout d’un ou plusieurs code(s) informatique(s) programmés pour émettre un grand nombre de fausses informations (vulnérabilités) à chaque requête reçus par un réseau.
[0091] Avantageusement, dans l’étape a3) le brouillage par saturation / par noyade peut être réalisé également par l’émission de manière aléatoire à chaque requête d’un grand nombre de fausses informations (vulnérabilités) concernant un réseau et les équipements associés à un réseau. C’est à dire par l’ajout au(x) code(s) informatique(s) d’un (ou plusieurs) algorithme(s) qui modifie(nt) de manière aléatoire les fausses vulnérabilités à émettre.
[0092] Avantageusement, dans l’étape a3) « le brouillage par saturation / par noyade peut être également réalisé par l’ajout d’un grand nombre de fausses vulnérabilités et/ou failles dans un (des) réseau(x) virtuel(s) crée(s) par clonage ou par code(s) informatique(s) pour englober un (des) réseau(x) réels. L’émission de fausses vulnérabilités (réponses) est dans ce cas systématique par effet mécanique de l’ajout des fausse(s) vulnérabilités / failles dans (sur) un (des) réseau(x) virtuel(s) qui englobe(nt) un (des) réseau(x) réel(s). Dans ce cas, l’émission de manière aléatoire est également possible par le biais de l’ajout d’un (ou plusieurs) algorithme(s) qui modifie(nt) de manière aléatoire les fausses vulnérabilités /failles ajoutées et leurs emplacements dans un (des) réseau(x) virtuel(s) qui englobe(nt) un (des) réseau(x) réel(s).
[0093] Un autre objet de l’invention est un dispositif de réalisation de défense contre les attaques informatiques qui met en oeuvre le Procédé A (sur la base du Procédé A), consistant en trois produits programmes d’ordinateurs.
[0094] Le produit programme d’ordinateur appelé produit programme d’ordinateur 1 dans cette demande de brevet est :
- Le Transformateur/Gonfleur/Déformateur virtuel d’un réseau informatique (de réseaux informatiques) par Clonage.
[0095] La transformation virtuelle / gonflage virtuel / déformation virtuelle d’un réseau par clonage, c’est à dire aussi la transformation virtuelle / gonflage virtuel / déformation virtuelle de l’infrastructure (des infrastructures) d’un réseau et c’est à dire aussi la transformation virtuelle / gonflage virtuel / déformation virtuelle des équipements informatiques d’un réseau, est (sont) réalisé(s) « par le clonage de l’infrastructure » d’un réseau et « des équipements informatiques d’un réseau» tels que et ce à titre d’explication mais non exclusif : les terminaux, les ordinateurs, les serveurs, les imprimantes, les points d’accès wifi, les IP, etc.
[0096] Les clones gonflent virtuellement un réseau (et son apparence) et déforment ainsi l’infrastructure du (des) réseau(x) et biaisent l’observation de celui (ceux) qui tente(nt) de l’observer (les observer) ou dit autrement celui (ceux) qui l’observe(nt) (les observant). C’est à dire reflètent une (des) fausse(s) image(s) d’un (des) réseau(x) réel(s).
[0097] L’observation étant également substituable par des logiciels de cartographie(s) de réseau(x) qui proposent l’automatisation de cette tache (phase) et dressent en quelques minutes une (des) cartographie(s) du (des) réseau(x) et de l’infrastructure (des infrastructures) et équipements (les IP reliés à un réseau ou dit autrement les IP relatives à un réseau par exemple), le gonfleur et déformateur virtuel biaise également le(s) résultat(s) de ces logiciels qui dresseront une (des) cartographie(s) remplie(s) de Clones. Ou dit autrement, ces logiciels incluront dans leur(s) résultat(s) et donc dans leur(s) cartographie(s) les Clones.
[0098] La transformation virtuelle et/ou le gonflage virtuel et/ou la déformation virtuelle d’un réseau (c’est à dire transformer et/ou déformer et/ou gonfler virtuellement un réseau) par le clonage de l’infrastructure et des équipements informatiques s’effectue(nt) - est (sont) réalisé(s) - par la création de X clones pour chaque équipement informatique (ou pour une partie des équipements informatiques) ou dit autrement par la creation de X Clones pour chacun (ou une partie) des équipements informatiques. Notons que X signifie une variable constituant un nombre variable selon un choix de configuration ultérieur de l’utilisateur du Procédé A.
[0099] Une fois la transformation/deformation/gonflage par Clonage faite / fait, un (des) module(s) permet(tent) une modification de la (des) configuration(s) des Clones et du (des) nouveau(x) réseau(x) virtuel(s).
[0100] Le(s) fabriquant(s) livre(nt) une première version avec une première configuration. Par la suite le(s) fabriquant(s) procède(nt) à une formation de l’utilisateur (du personnel de l’utilisateur) pour la reconfiguration manuelle (simple d’ailleurs) c’est à dire pour apprendre à l’utilisateur comment changer la configuration manuellement. Ainsi qu’une formation pour la mise en place d’une configuration changeante automatiquement sur la base d’un algorithme (d’algorithme) dont la construction est faite par le client dans les modules de gestion des programmes. C’est à dire comment mettre en place une configuration changeante automatiquement sur des bases choisies par l’utilisateur. Par la suite le fabriquant ne sera plus en mesure de savoir quelle(s) est (sont) la (les) configuration(s) mise en place chez son (ses) client(s).
[0101] Pour une sécurité maximale, nous préconisons :
- soit, un changement des configurations manuellement quotidiennement.
- soit, pour plus de confort, c’est à dire pour ne pas avoir à changer tous les jours manuellement les configurations, nous préconisons la mise en place d’un changement de configurations quotidien automatique mais de changer les algorithmes des changements de configurations aléatoires régulièrement ; c’est à dire de changer les règles des changements aléatoires manuellement régulièrement. Cette deuxième possibilité offre en plus du confort, une sécurité même vis-à-vis du personnel qui configure les programmes en interne. Car il (le personnel) ne sera pas en mesure de savoir le choix aléatoire des algorithmes.
[0102] Le produit programme d’ordinateur appelé produit programme d’ordinateur 2 dans cette demande de brevet est :
- Le générateur/stabilisateur d’activité(s) informatique(s) virtuelle(s) et amplificateur virtuel d’activité(s) informatique(s) - de trafic(s) informatique(s).
[0103] Le Générateur/stabiliseur d’activité(s) informatique(s) Virtuelle(s) et Amplificateur virtuel d’activité(s) informatique(s) analyse d’abord l’activité réelle et le trafic réel d’un réseau réel pour décortiquer, analyser et mémoriser l’activité (les activités) d’un réseau réel, puis créer (générer) et maintenir une (des) activité(s) et un (des) trafic(s) virtuel(s) « similaire(s) » ou dit autrement identique(s) à celui (ceux) d’un (des) réseau(x) réels ; et à ceux des équipements réels et donc à l’infrastructure (aux infrastructures) réelle(s).
[0104] Toutefois, l’activité (les activités) et le trafic (les trafics) du réseau (des réseaux) de chaque cible étant différent et présentant donc des particularités (spécificités) propres à la cible et dépendantes de sa taille, de son activité informatique habituelle, de son activité dans le sens large c’est à dire commercial, de ses horaires de travail, de l’effectif des utilisateurs, etc. ; il est préférable que le trafic (l’activité des clones par exemple en cas de clonage) soit identique et propre au(x) réseau(x) réel(s) de l’utilisateur pour que les l’activités virtuelle(s) (des Clones par exemple en cas de clonage) soient vraisemblables à celles des équipements réels et à celle(s) de l’infrastructure (des infrastructures) réelle(s). Et que le (les) trafic(s) virtuel(s) considèrent des spécificités relatives à l’utilisateur du Procédé A décrit ci-dessus à savoir, sa taille, son activité informatique - sur le(s) réseau(x) - habituelle et celles des utilisateurs de son (ses) réseau(x), son activité au sens large c’est à dire commercial, ses horaires de travail, l’effectif des utilisateurs, etc.
[0105] Le produit programme d’ordinateur appelé produit programme d’ordinateur 3 dans cette demande de brevet est le :
- Brouilleur actif de scanner de vulnérabilités de réseau(x) et équipement(s) informatique(s) par saturation/noyade.
[0106] Le Brouilleur actif de scanner de vulnérabilités de réseau(x) et équipement(s) informatique(s) par saturation/noyade ou dit autrement le brouilleur (actif) de questionnements) manuel(s) ou automatisé(s) de réseau - ou dit autrement le brouilleur (actif) de requêtes manuelle(s) ou automatisée(s) envoyées sur un (des) réseau(x) - ou dit autrement le brouilleur actif de scanner(s) de vulnérabilité(s) - ou dit autrement le brouilleur actif des logiciels de questionnement de réseau et de recueil de vulnérabilité(s) - par saturation / noyade émet (de verbe émettre - c’est à dire a pour rôle l’émission) à chaque (lors de chaque) questionnement - dit autrement à chaque (lors de chaque) requête envoyée sur un (des) réseau(x) manuellement ou via des logiciels spécialisés, d’un nombre (très élevé de préférence) de « fausses » vulnérabilités (réponses) qui viendront s’ajouter aux résultats de la (des) requête(s) et/ou des scanners (logiciels de Scan).
[0107] Le brouilleur permet de doter la cible d’une défense (stratégie de défense) par saturation ou dit autrement par noyade.
[0108] Car, pour pouvoir empêcher un pirate (une personne malveillante) « d’interroger » de manière « efficace » (ou dit autrement efficacement) et de manière « exploitable » un (des)réseau(x)il faut :
- soit, empêcher le réseau de parler (de répondre, de communiquer avec le pirate). Ce qui est impossible à ce jour.
- soit, par l’innovation du brouilleur par saturation / noyade, répondre avec tellement (dire tellement) de fausses informations (réponses) pour noyer les vraies réponses (résultats) dans une mer de fausses réponses (faux résultats).
[0109] Ainsi, le brouillage actif de scanner par saturation (par noyade) par l’émission à chaque requête de scanner (à chaque questionnement manuel ou automatisé) qui interroge un réseau, d’un nombre (très important de préférence) de « fausses » vulnérabilités qui viendront s’ajouter aux « vraies » vulnérabilités dans les résultats (réponses) aux requêtes et/ou dans les résultats (réponses) des logiciels de Scan, permet de noyer les « vraies » vulnérabilités dans une mer de « fausses » vulnérabilités / failles.
[0110] Ce brouillage permet une stratégie de défense par noyade / saturation qu’on peut appeler également stratégie de couverture par noyade qui ampute l’attaquant de la capacité à analyser et exploiter efficacement les réponses recueillies par sa (ses) requête(s) manuelle(s) et/ou les données relevées par son (ses) logiciels de scan de vulnérabilités (de scan de réseau informatique). Car l’attaquant ne sera tout simplement plus en mesure de savoir laquelle (lesquelles) des vulnérabilités / failles / résultats est (sont) vraie(s) et laquelle (lesquelles) est (sont) une (des) fausse(s) pour savoir laquelle (lesquelles) exploiter.
[OUI] Important:
Le pourcentage de « fausses » vulnérabilités / fausses réponses émises étant « configurable en amont » par la cible permet d’obtenir mathématiquement une (la) probabilité mathématique souhaitée de réussite / échec de l’exploitation (des exploitations).
[0112] En outre, plus on augmente le nombre de « fausses » vulnérabilités / failles / réponses dans les réponses à la (aux) requête(s) et/ou dans le(s) résultat(s) des scanners (c’est à dire les logiciels de Scan de vulnérabilités), plus on réduit mathématiquement la probabilité de réussite et donc la chance de réussite pour un attaquant. En émettant un très grand nombre de « fausses » vulnérabilités / réponses proportionnellement aux « vraies » - qu’on peut naturellement estimer en amont - on peut arriver à une probabilité (chance) de réussite quasi nulle pour un attaquant.
[0113] Le brouilleur actif de scanner de vulnérabilités de réseau(x) et équipement(s) informatique(s) par saturation/noyade est également caractérisé par l’existence - c’est à dire dispose d’ (de) - c’est à dire propose, offre à son utilisateur - un (des) module(s) permettant à l’utilisateur la mise en place d’un algorithme d’émission(s) de fausses vulnérabilités / réponses aléatoires (de manière aléatoire) dans le temps. C’est à dire sur la base de règles changeantes et aléatoires dans le temps.
[0114] Le brouilleur actif de scanner de vulnérabilités de réseau(x) et équipement(s) informatique(s) par saturation/noyade est également caractérisé par l’existence - c’est à dire dispose d’un (de) - c’est à dire propose, offre à son utilisateur un (des) - module(s) permettant à l’utilisateur le changement de l’algorithme d’émission de fausse vulnérabilités (réponses) aléatoires (de manière aléatoire).
[0115] Le(s) fabriquant(s) livre(nt) une première version avec une première configuration. Par la suite le(s) fabriquant(s) procède(nt) à une formation de l’utilisateur (du personnel de l’utilisateur) pour la reconfiguration manuelle (simple d’ailleurs) c’est à dire pour apprendre à l’utilisateur comment changer la configuration manuellement. Et une formation pour la mise en place d’une configuration changeante automatiquement sur la base d’un ou plusieurs algorithme(s) dont la construction (gestion de construction) est faite par le client dans les modules de gestion des programmes. C’est à dire une formation pour apprendre à l’utilisateur comment mettre en place une configuration changeante automatiquement sur des bases de son choix. Par la suite le fabriquant ne sera plus en mesure de savoir quelle(s) est (sont) la (les) configuration(s) mise en place chez son (ses) client(s).
[0116] Pour une sécurité « maximale », nous préconisons :
- soit un changement des configurations manuellement quotidiennement.
- soit, pour plus de confort, c’est à dire pour ne pas avoir à changer tous les jours manuellement les configurations : la mise en place d’un changement de configuration(s) quotidien automatique mais de changer les algorithmes des changements de configuration(s) aléatoire(s) c’est à dire les règles des changements aléatoires manuellement régulièrement.
[0117] Cette deuxième possibilité offre en plus du confort, une sécurité même vis-à-vis du personnel qui configure les programmes en interne. Car il (le personnel) ne sera pas en mesure de savoir le(s) choix aléatoire(s) des algorithmes.
[0118] Les avantages du Procédé A et les produits programmes d’ordinateurs 1, 2 et 3 qui mettent en oeuvre le Procédé A par rapport aux solutions existantes (antérieures) au delà de « la différence » qui les distinguent des solutions existantes et leur complémentarité à l’existant sont :
- La Dynamicité et la caractéristique aléatoire dans le temps.
- La Dynamicité et la caractéristique aléatoire dans le temps offre également une sécurité (protection) vis-à-vis des observations et surveillances de long terme. C’est-à-dire, la forme que la cible souhaite donner à son (ses) réseau(x) et la manière avec laquelle elle transforme et/ou gonfle et/ou déforme virtuellement (dans l’apparence) son réseau (ses réseaux), son infrastructure (ses infrastructures), ses équipements, sont modifiables autant de fois que souhaité dans le temps. Quotidiennement si souhaité. Et empêche ainsi à une longue surveillance de décrire le(s) réseau(x), de distinguer (identifier) le(s) réseau(x) réel(x), et empêche donc ainsi à une longue surveillance de décrire la sécurité (la logique de défense) pour la détourner, la battre ou même déjà la comprendre. Car il faut d’abord comprendre un réseau (une infrastructure) pour s’y introduire et sa logique de sécurité pour la détourner. La configuration des Programmes d’ordinateur 1, 2 et 3 sont modifiables et devrait être modifier régulièrement (et sont modifiables automatiquement ou manuellement en fonction du choix de l’utilisateur et ce quotidiennement si souhaité par une simple reconfiguration automatique programmée de manière aléatoire ou une simple reconfiguration rapide manuelle) pour annuler l’efficacité d’une observation et une analyse passive /active de long terme. Le Procédé A et les Programmes 1, 2 et 3 permettent donc sécurité avec une configuration dynamique, active et surtout aléatoire dans le temps.
- La protection de l’utilisateur du Procédé A et des programmes d’ordinateurs 1,2 et 3 (la cible) même vis-à-vis de l’inveteur du Procédé et du (des) fabriquant(s) des programmes 1, 2 et 3. En effet, pour la première fois dans le domaine de sécurité des systèmes d’information, des solutions proposent à l’utilisateur d’être protégé même vis-à-vis de l’inveteur du Procédé et des fabricants (sociétés) propriétaires des solutions de sécurité (à savoir les programmes 1,2 et 3). Le Procédé A et les produits programmes d’ordinateurs 1, 2 et 3 offrent à la différence des solutions existantes une protection pour l’utilisateur (la cible) même vis-à-vis de l’inventeur du Procédé et des fabriquants des outils (des solutions).
[0119] Explication : pour sécuriser et/ou prévenir une cible d’une attaque, les outils qui analysent les réseaux (les logs) des cibles (des utilisateurs de ces outils d’analyses), obligent les utilisateurs de ces solutions (les clients) à ouvrir (nécessitent absolument que les utilisateurs ouvrent) un (des) accès vers leur(s) réseau(x) au(x) fabriquant(s) de l’outil (des outils).
[0120] Grâce au Procédé A et/ou aux produits programmes d’ordinateurs 1, 2 et 3, le client dispose d’une sécurité (d’un arsenal de sécurité) qui ne nécessite en aucun cas de remonter des informations à son (ses) fabriquant(x).
[0121] Le(s) fabriquant(s) livre(nt) une première version avec une première configuration. Par la suite le(s) fabriquant(s) procéde(nt) à une formation de l’utilisateur (du personnel de rutilisateur) pour la reconfiguration manuelle (simple d’ailleurs) c’est à dire pour apprendre à rutilisateur comment changer la configuration manuellement. Et une formation pour la mise en place d’une configuration changeante automatiquement sur la base d’un algorithme dont la construction est faite par le client dans les modules de gestion des programmes. C’est à dire comment mettre en place une configuration changeante automatiquement sur des bases de son choix. Par la suite le fabriquant ne sera plus en mesure de savoir quelle(s) est (sont) la (les) configuration(s) mise en place chez son (ses) client(s).
[0122] Pour une sécurité maximale, nous préconisons :
- soit, un changement des configurations manuellement quotidiennement,
- soit, pour plus de confort, c’est à dire pour ne pas avoir à changer tous les jours manuellement les configurations : la mise en place d’un changement de configurations quotidien automatique mais de changer les algorithmes des changements de configurations aléatoires c’est à dire les règles des changements aléatoires manuellement régulièrement. Cette deuxième possibilité offre en plus du confort, une sécurité même vis-à-vis du personnel qui configure les programmes en interne. Car il ne sera pas en mesure de savoir le choix aléatoire des algorithmes.
[0123] Conclusion sur le Procédé A et les produits programmes d’ordinateurs qui mettent en oeuvre le Procédé A :
Ce nouveau procédé s’inspire (se base) sur les procédés d’attaques pour les perturber, les ralentir, annuler leur(s) efficacité(s) et amputer ainsi l’attaquant (les attaquants) de (leurs) trois forces majeures à savoir, rintelligence, la furtivité, et la capacité de détournement des dispositifs de sécurité par d’abord une lecture / une compréhension par l’observation d’un réseau et des dispositifs de défense d’un réseau.
[0124] Ce procédé (le Procédé A) change structurellement ce que nous appelons « le jeu » entre l’attaquant et la cible. Le jeu étant au delà de la technicité du domaine : d’une part un attaquant qui cherche à attaquer pour espionner, saboter ou verrouiller contre demande de rançon et d’autre part une cible qui cherche à se défendre tout en se développant et en étant en activité donc en générant en permanence des logs informatiques quotidiens légitimes.
[0125] Ce Procédé (le Procédé A) transforme « le jeu » pour l’attaquant en un jeu nonintelligent, dans lequel ses sens de l’observation et de l’écoute sont biaisés, et dans lequel sa ruse, son esprit d’analyse et ses requêtes et outils (scanners) ne lui servent plus à rien et le met tout simplement face à un nouveau jeu : « un jeu de probabilité de réussite/échec configurable en amont par la cible » et lui offrant donc une probabilité mathématique de réussite quasi nulle. Avec en plus à chaque essai une probabilité quasi nulle de ne pas tomber sur « une Mine » et générer une alerte sans conséquence sur un réseau et qui entraînera à chaque fois le bloquage de son adresse IP. Sachant qu’un pirate peut avoir la possibilité dans un laps de temps d’un mois par exemple d’avoir accès à une dizaine d’adresses IP maximum et ce, s’il dispose « d’une logistique » et/ou une capacité de mobilité assez importante (une sorte de roulette russe avec une probabilité de survie quasi nulle).
[0126] Le deuxième Procédé, appelé dans ces documents Procédé B, est un procédé de Défense contre le(s) courrier(s) électronique(s) (dit courriels - courriel au singulier) dit piégé(s) par la présence de code(s) malveillant(s) ou dit autrement virus ou dit autrement infection ou dit autrement Malware, dans les pièces jointes à son - leur(s) contenu(s) ou dans le(s) lien(s) hypertexte de son (leurs) contenu(s) par une nouvelle stratégie appelée stratégie d’ouverture en milieu séparé/isolé/non sensible.
[0127] C’est à dire par stratégie d’ouverture sur un réseau séparé et isolé(s) et/ou nonsensible(s). C’est à dire par stratégie d’ouverture sur un terminal (des terminaux) informatique(s) séparé(s) et/ou isolés et/ou non-sensible(s).
[0128] Précisons que le Procédé B est un Procédé de défense contre une (des) attaque(s) types 2.
[0129] Rappelons que le(s) courrier(s) électronique(s) (dit courriels - courriel au singulier) dit piégé(s) par la présence de code(s) malveillant(s) ou dit autrement virus ou dit autrement infection ou dit autrement Malware, dans les pièces jointes à son - leur(s) contenu(s) ou dans le(s) lien(s) hypertexte de son (leurs) contenu(s) cible(nt) attaque(nt) - un terminal (des terminaux) comme un ordinateur) des ordinateurs par exemple, etc.
[0130] Rappel :
- « Endpoint » c’est à dire des outils (programmes faits de codes informatiques) qui d’abord mémorisent (sauvegardent dans une mémoire) l’activité (les activités) « appelée(s) normale(s) » d’un terminal (c’est à dire un ordinateur par exemple). Puis envoient une (des) alerte(s) et/ou bloquent le terminal (les terminaux) si une (des) activité(s) différente(s) de celle(s) « enregistrée(s) dans la mémoire comme étant normale » est (sont) détectée(s) sur le terminal (les terminaux) ; ou dit autrement si une (des) activité(s) différente(s) de celle(s) « enregistrée(s) dans la mémoire de l’outil comme étant normale » est (sont) détectée(s).
[0131] Rappelons également les limite(s) ou dit autrement du point de vue de l’attaquant, les faille(s) des solutions endpoints :
- Les Endpoints protègent les terminaux qui sont connectés à un (à des) - au(x) réseau(x). Et servent également pour empêcher une escalade à partir d’un terminal et/ ou plusieurs terminaux.
- Les endpoints sont certainement efficaces mais ne permettent pas un risque zéro. Un attaquant intelligent, dans le cadre d’une attaque pour espionnage ou même pour sabotage ou verrouillage contre rançon peut ne travailler à partir du terminal que lors des horaires de travail et opérer de manière à générer une activité jugée très légitime car lente et similaire à l’activité de l’utilisateur légitime dont il a la main sur le terminal.
-Il peut également se contenter de récupérer des informations sur le terminal pour éviter d’être détecté par le(s) pare-feu et pour avoir des éléments permettant de mieux préparer (perfectionner) son attaque et attaquer par la suite un autre terminal et avancer doucement et en « laissant passer du temps entre ses activités ». Ainsi son (ses) activité(s) sur le terminal (les terminaux) protégé(s) par le(s) endpoint(s) et pare-feu ne sera (seront) pas détectée(s) - jugée(s) - comme illégitime(s). Ou quand elle(s) le sera (le seront), l’attaquant aurait déjà réussi à avoir des informations et/ou à verrouiller et/ ou saboter le terminal.
- Rappelons que l’idée (la stratégie) d’une attaque (activité illégitime) « non détectée / non détectable » consiste simplement à adopter un comportement générant une activité « exactement similaire » ou à défaut « quasi similaire » à celle d’un utilisateur légitime qui génère une activité dans le cadre de l’exercice de sa fonction et ce « sans doublon(s) ». Le petit risque pris par la génération d’une activité quasi similaire et non exactement similaire n’est pas fatal car l’attaquant identifié et bloquer peut laisser passer du temps et revenir plus tard sur le même terminal ou sur un autre. Et ces petits risques pris lui permettront de connaître les limites des débordements qu’il peut se permettre la fois d’après.
[0132] Rappelons également les limites des solutions anti-virus et anti-malware :
- les anti-virus et anti-malware protègent les terminaux qui sont connectés au(x) réseau(x) seulement. Et pour empêcher une escalade (ou une latéralisation) à partir d’un terminal et/ou plusieurs terminaux.
- les anti-virus et anti-malware sont également une solution efficace pour protéger un terminal (des terminaux). Ils détectent la présence « de virus » dit autrement « d’infections » et de code malveillants sur la base (les) base(s) de ce qu’on appelle « une signature » ou « des signatures » de code(s) malveillant(s) - de virus / d’infections. Les signatures de code(s) malveillant(s) - de virus / d’infections - sont recensée(s) par les fabricants d’anti-virus et anti-Malware. Chaque Malware et virus ayant ce que nous appelons techniquement une signature, introduite(s) dans la (les) base(s) de données des Anti-virus et Anti-Malware pour les détecter chez les cibles à protéger.
[0133] Or :
- quand il s’agit d’une nouvelle infection, les anti-virus et les anti-malware ne détectent pas la signature car elle n’est tout simplement recensée et donc elle n’est pas enregistrée dans la (les) base(s) de données. Un code malveillant doit être utilisé « au moins » une fois pour être recensé.
- entre le recensement d’une « nouvelle signature d’infection » et la mise à jour un délai est logiquement nécessaire. En outre, la cible (les cibles) n’effectue(nt) pas parfois la (les) mises à jour tout de suite dès qu’elle(s) est (sont) disponible(s) et proposée(s) par le fabriquant d’anti-virus et anti-malware.
[0134] Le Procédé B est caractérisé en ce qu’il comporte les étapes suivantes - notons que les étapes 1) et 2) ci-dessous du Procédé B ne sont pas forcément successives ; et notons qu’il est sollicité une protection sur ce qui suit - :
- étape 1) : identification et collecte manuelle (par un humain) et/ou identification et collecte automatisée par analyse (automatisée) sur la base de règles et équations (codes informatiques) prédéfinies, des courriels transportant et/ou comportant dans leurs contenus une (des) pièces jointes et/ou un (des) lien(s) hypertexte.
- étape 2) : l’ouverture de la (des) pièce(s) jointe(s) et le cliquage (c’est dire l’action qui consiste à cliquer) sur le(s) lien(s) hypertexte à partir d’un environnement isolé (séparé) ou dit autrement un milieu isolé (séparé). C’est à dire techniquement, l’ouverture de la (des) pièce(s) jointe(s) et le cliquage (c’est dire l’action qui consiste à cliquer) sur le(s) lien(s) hypertexte sur un (à partir d’un) et/ou (de) plusieurs réseau(x) isolé(s) c’est à dire séparé du (des) réseau(x) (informatique - informatiques) de la cible.
C’est à dire aussi, techniquement, l’ouverture de la (des) pièce(s) jointe(s) et le cliquage (c’est dire l’action qui consiste à cliquer) sur le(s) lien(s) hypertexte sur un (à partir d’un) et/ou (de) plusieurs terminal (terminaux) - ordinateur(s) par exemple, etc. isolés / séparés du (des) réseau(x) (informatique - informatiques) de la cible. Notons qu’un terminal (des terminaux) - ordinateur(s) par exemple, etc. - isolés / séparés du (des) réseau(x) informatique(s) c’est à dire techniquement un terminal (des terminaux) - ordinateur(s) par exemple - connecté(s) - branché(s) / installé(s) - sur (à) un (des) réseau(x) séparé(s) / isolé(s).
Dit autrement, l’ouverture de la (des) pièce(s) jointe(s) et le cliquage (c’est dire l’action qui consiste à cliquer) sur le(s) lien(s) hypertexte sur (à partir) à partir d’un (de) terminal (terminaux) - dit autrement sur un (des) terminal (terminaux) - connectés et/ou installés à/sur un (des) réseau(x) séparé(s) de celui (ceux) de la (des) cible(s).
Notons qu’un réseau (des réseaux) informatique(s) isolé(s), séparé(s) veut dire : un (des) réseau(x) - informatique(s) - séparé(s) / isolé(s) du (des) réseau(x) informatique(s) de la cible (des cibles).
Notons qu’un terminal (des terminaux) - ordinateur(s) par exemple, etc. - isolé(s) / séparé(s) du (des) réseau (x) - informatique (s) - veut dire : un terminal (des terminaux)
- ordinateur(s) par exemple, etc. - installé(s) / connecté(s) à un (des) réseau(x) isolé(s) / séparé(s). Rappelons qu’un réseau (des réseaux) informatique(s) isolé(s), séparé(s) veut dire : un (des) réseau(x) - informatique(s) - séparé(s) / isolé(s) du (des) réseau(x) informatique(s) de la cible (des cibles).
Notons (précisons) qu’un réseau (des réseaux) informatique(s) isolé(s), séparé(s) peut (peuvent) également être substitué(s) par un réseau (des réseaux) informatique(s) nonsensible(s). Un réseau (des réseaux) informatique(s) non-sensible(s) veut dire un réseau (des réseaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatif(s) et/ou un (des) dommage(s) majeur(s) ou significatif(s) pour la cible (une cible).
Notons (précisons) également qu’un terminal (des terminaux) - ordinateur(s) par exemple, etc. - isolé(s) / séparé(s) du (des) réseau(x) (informatiques) de la cible peut (peuvent) également être substitué(s) par un terminal (des terminaux) informatique(s) non-sensible(s). Un terminal (des terminaux) informatique(s) non-sensible(s) c’est à dire un terminal (des terminaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatifs et/ou (un) des dommage(s) majeur(s) ou significatif(s) pour la cible (une cible).
- étape 3) : le renvoi des fichiers et/ou données récupérés à partir du (des) lien(s) hypertexte et/ou de la (des) pièce(s) jointe(s) ouvertes (c’est à dire après leur ouverture et le cliquage dessus) sur le (les) réseau(x) isolé(s), séparé(s) ou dit autrement ouverts (c’est à dire après l’ouverture et le cliquage dessus) sur le (les) réseau(x) isolé(s), séparé(s) ou dit autrement à partir du (des) réseau(x) isolé(s), séparé(s), vers le (les) destinataire(s) initial (initiaux).
[0135] Un autre objet de l’invention est un dispositif de réalisation de défense contre les attaques informatiques sur la base du Procédé B, c’est à dire un dispositif de réalisation de défense contre les attaques informatiques caractérisé en (à) ce qu’il met en oeuvre le Procédé B et consistant en un produit programme d’ordinateur appelé produit programme d’ordinateur 4 dans cette demande de brevet.
[0136] Le produit programme d’ordinateur de défense contre les courriers électroniques piégés appelé produit programme d’ordinateur 4 dans cette demande de brevet est :
- Le produit programme d’ordinateur de défense contre les courriers électroniques piégés par la stratégie d’ouverture sur un (des) réseau(x) informatique(s) isolé(s)/séparé(s)/non-sensible(s).
Ou dit autrement, le programme de défense contre les courriers électroniques piégés par la stratégie d’ouverture en environnement (milieu) isolé/séparé/non-sensible.
[0137] Dans cette demande de brevet figure deux Procédés (types / logiques) de codage codage(s) informatique(s) - possibles pour le produit programme d’ordinateur 4. Précisons que d’autres procédés de codage (logique(s) de codage(s) informatique(s) sont également possibles pour mettre en oeuvre le Procédé B et seront indiqués dans les prochaines versions du produit programme d’ordinateur 4.
[0138] Nous appelons dans cette demande de brevet le premier procédé (premier type/ première logique) de codage ou dit autrement le premier code : Code 1.
[0139] Nous appelons dans cette demande de brevet le deuxième procédé (deuxième logique / deuxième type) de codage ou dit autrement le deuxième code : Code 2.
[0140] Notons par ailleurs que « courriels » veut dire dans cette demande de brevet : courriers électroniques. Et que « courriel » veut dire : courrier électronique [0141] Notons que dans cette demande de brevet le(s) courrier(s) électronique(s) ayant (portant) dans son (leurs) contenu(s) un ou plusieurs lien(s) hypertexte et/ou une (des) pièce(s) jointe(s) ou dit autrement le(s) courrier(s) électronique(s) transportant un ou plusieurs lien(s) hypertexte et/ou une (des) pièce(s) jointe(s) est (sont) également parfois appelé(s) : courriels à risque.
[0142] Notons que dans cette demande de brevet (précisément dans la mise en oeuvre du Procédé B par le produit programme d’ordinateur 4 et par le produit programme d’ordinateur 5 ci-dessous) une plateforme est appelée : « Centrale des Courriels à Risque » ou parfois « la Centrale des Courriels à Risque ». Notons également que « Centrale des Courriels à Risque » est parfois citée grâce (par) son sigle à savoir, « CCR » ; et que « la Centrale des Courriels à Risque » est parfois citée grâce (par) son sigle à savoir, « la CCR ».
[0143] Voici la définition et la description détaillée de la Centrale des Courriels à Risque (CCR): La Centrale des Courriels à Risque (CCR) est une plateforme installée (à installer) et/ou connectée (à connecter) sur (à) un terminal (des terminaux) - ordinateurs) par exemple, etc. - installé(s) (à installer) et connecté(s) (à connecter) sur (à) un (des) réseau(x) séparé(s) - isolé(s) du réseau (des réseaux) de l’utilisateur (de la cible) et (nous recommandons qu’elle soit) dédiée « de préférence mais pas forcément » exclusivement (uniquement) à l’activité de traitement anti courriels piégés.
[0144] Notons qu’un - le - (des - les) réseau(x) séparé(s) tel que décrit(s) ci-dessus (précisément à la page 19 de cette demande de brevet) est (sont) appelé(s) également parfois dans cette demande de brevet le(s) réseau(x) CCR ou « le(s) réseau(x) isolé(s) ».
[0145] Notons qu’un (que le) terminal (des terminaux - les terminaux) - ordinateur(s) par exemple, etc. - séparé(s) / isolé(s) / non-sensible(s) du (des) réseau(x) - informatique(s) - tels que décrit(s) ci-dessus (précisément à la page 19 de cette demande de brevet) est (sont) appelé(s) également parfois dans cette demande de brevet « terminal CCR » ou « terminaux CCR » ou « terminaux séparés » ou « terminaux isolés » ou «terminaux non-sensibles ». Notons qu’un terminal (des terminaux) non-sensible(s) veut dire un terminal (des terminaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatif^) et/ou un (des) dommage(s) majeur(s) ou significatif^) pour la cible (une cible).
[0146] Rappelons qu’un réseau (des réseaux) informatique(s) isolé(s) / séparé(s) du (des) réseau(x) informatique(s) de la cible (des cibles) peut (peuvent) également être substitué(s) par un réseau (des réseaux) informatique(s) non-sensible(s). Un réseau (des réseaux) informatique(s) non-sensible(s) veut dire un réseau (des réseaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatif^) et/ou un (des) dommage(s) majeur(s) ou significatif^) pour la cible (une cible).
[0147] Rappelons également qu’un terminal (terminaux) - ordinateur(s) par exemple, etc. isolé(s) / séparé(s) du (des) réseau(x) informatique(s) de la cible (des cibles) peut (peuvent) également être substitué(s) par un terminal (des terminaux) informatique(s) non-sensible(s). Un terminal (des terminaux) informatique(s) non-sensible(s) c’est à dire un terminal (des terminaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatif^) et/ou un (des) dommage(s) majeur(s) ou significatif^) pour la cible (une cible).
[0148] Notons donc que la Centrale des Courriels à Risque (CCR) peut également être une plateforme installée (à installer) et/ou connectée (à connecter) sur (à) un terminal (des terminaux) - ordinateur(s) par exemple, etc. - installé(s) (à installer) et connecté(s) (à connecter) sur (à) un réseau (des réseaux) informatique(s) non-sensible(s).
[0149] Rappelons que réseau (des réseaux) informatique(s) non sensible(s) c’est à dire un réseau (des réseaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatifs et/ou (un) des dommage(s) majeur(s) ou significatif^) pour la cible (une cible).
[0150] Et qu’un terminal (des terminaux) informatique(s) non-sensible(s) c’est à dire un terminal (des terminaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatifs et/ou un (des) dommage(s) majeur(s) ou significatif^) pour la cible (une cible).
[0151] Voici ci-dessous, la description du produit programme d’ordinateur 4 sur la base du code 1 (et notons qu’il est sollicité une protection sur ce qui suit) :
[0152] Première fonction (ou fonction 1) du produit Programme d’ordinateur 4 sur la base du code 1 :
- analyse (l’analyse) d’un (des) courriel(s) reçu(s) (c’est à dire entrant/entrants) sur la base de règles prédéfinies (codes informatiques) modifiables et identification (l’identification) du (des) courriel(s) à risque. Courriel(s) à risqué veut dire : courriel(s) ayant/comportant dans son (leurs) contenu(s) - transportant- un ou plusieurs lien(s) hypertexte et/ou une ou plusieurs pièce(s) jointe(s). Explication supplémentaire détaillée : la première fonction du Programme d’ordinateur 4 sur le base du code 1 consiste à analyser le (les) courriel(s) reçu(s) c’est à dire entrant(s) dès son (leur) réception ; et ce sur la base de règles prédéfinies modifiables pour identifier (repérer) parmi les courriels entrants (reçus) celui (ceux) ayant/comportant dans son (leurs) contenu(s) transportant- un ou plusieurs lien(s) hypertexte et/ou une ou plusieurs pièce(s) jointe(s) qu’on peut également appeler fichier(s) joint(s) et/ou documents joint(s) ; et ce avant son (leurs) ouverture(s) par le (les) destinataire(s) du (des) courriel(s) ayant/comportant dans son (leurs) contenu(s) - transportant- un ou plusieurs lien(s) hypertexte et/ou une ou plusieurs pièce(s) jointe(s). A l’intérieur de cette fonction 1 (première fonction) deux sous fonctions sont possibles sous la forme d’options et laissées au choix de l’utilisateur. Ces deux sous fonctions à l’intérieur de la fonction 1 sont appelées dans cette demande de brevet : option 1 et option 2 (respectivement).
[0153] Option 1 : le produit Programme d’ordinateur 4 marque le (les) courriel(s) à risque (tels que définis dans cette demande de brevet) avec un marquage visuel (signal visuel) dans la boite de réception du (des) destinataire(s). En ajoutant une mention écrite. La mention écrite est à titre d’exemple non exclusif : Ne pas ouvrir ! Courriel en attente de traitement anti piégeage avant autorisation d’ouverture !
[0154] Option 2 : le produit Programme d’ordinateur 4 retire le (les) courriel(s) à risque (tels que définis dans cette demande de brevet) de la (des) boite(s) de messagerie du (des) destinataire(s) des courriels à risque.
[0155] Deuxième fonction (ou fonction 2) du produit Programme d’ordinateur 4 sur le base du code 1 :
- Collecte (la collecte) du (des) courriel(s) à risque.
[0156] Troisième fonction (ou fonction 3) du produit Programme d’ordinateur 4 sur la base du code 1 :
- Sauvegarde (la sauvegarde) du (des) courriel(s) à risque ainsi que la sauvegarde de l’adresse (des adresses) électronique(s) du (des) destinataire(s) associé(s). Notons que destinataires veut dire dans la description du programme d’ordinateur 4 de cette demande de brevet : destinataire(s) des courriels à risque (courriels à risque tels que définis dans cette demande de brevet).
[0157] Quatrième fonction (ou fonction 4) du produit Programme d’ordinateur 4 sur la base du code 1 :
- Octroi (l’octroi) - la génération - d’un numéro d’immatriculation à - pour - chaque courriel à risque sauvegardé et la sauvegarde de ce numéro d’immatriculation en l’associant dans la mémoire du programme d’ordinateur 4 à l’adresse électronique (aux adresses électroniques) du (des) destinataire(s) (déjà sauvegardé) du (des) courriel(s) à risque. Rappelons que destinataires veut dire dans la description du programme d’ordinateur 4 de cette demande de brevet : destinataire(s) des courriels à risque (courriels à risque tels que définis dans cette demande de brevet).
[0158] Cinquième fonction (optionnelle) - ou fonction 5 optionnelle - du produit Programme d’ordinateur 4 sur la base du code 1 :
- Chiffrement (le chiffrement) du (des) contenu(s) du (des) courriel(s) à risque. C’est à dire le chiffrement du (des) contenu(s) du (des) courrier(s) électronique(s) ayant (portant) dans son (leurs) contenu(s) - transportant - un ou plusieurs lien(s) hypertexte et/ou une (des) pièce(s) jointe(s).
[0159] Sixième fonction (ou fonction 6) du produit Programme d’ordinateur 4 sur le base du code 1 :
- Envoi (l’envoi) du (des) courriel(s) - chiffré(s) si l’utilisateur opte pour l’activation de l’option chiffrement c’est à dire si l’utilisateur opte pour l’activation de la cinquième fonction optionnelle du produit Programme d’ordinateur 4 sur la base du code 1, décrite ci-dessus - sur (vers) une plateforme séparée / isolée du réseau de l’utilisateur (de la cible) ; baptisée et appelée dans cette demande de brevet « la Centrale des Courriels à Risque » appelée (citée) parfois également dans cette demande de brevet par son sigle, à savoir « CCR ».
[0160] Rappelons la définition et la description détaillée de la Centrale des Courriels à Risque (CCR) :
- La Centrale des Courriels à Risque (CCR) est une plateforme installée (à installer) et/ou connectée (à connecter) sur (à) un terminal (des terminaux) - ordinateur(s) par exemple, etc. - installé(s) (à installer) et connecté(s) (à connecter) sur (à) un (des) réseau(x) séparé(s) - isolé(s) du réseau (des réseaux) de l’utilisateur (de la cible) et (nous recommandons qu’elle soit) dédiée « de préférence mais pas forcément » exclusivement (uniquement) à l’activité de traitement anti courriels piégés.
[0161] Notons que le (les) réseau(x) séparé(s) décrit(s) ci-dessus est (sont) appelé(s) également parfois dans cette demande de brevet le(s) réseau(x) CCR ou « le(s) réseau(x) isolé(s) ».
[0162] Rappelons qu’un réseau (des réseaux) informatique(s) isolé(s), séparé(s) du (des) réseau(x) informatique(s) de la cible (des cibles) peut (peuvent) également être substitué(s) par un réseau (des réseaux) informatique(s) non-sensible(s). Un réseau (des réseaux) informatique(s) non-sensible(s) c’est à dire un réseau (des réseaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatif^) et/ou un (des) dommage(s) majeur(s) ou significatif(s) pour la cible (une cible).
[0163] Rappelons également qu’un terminal (des terminaux) - ordinateur(s) par exemple, etc. - isolé(s) / séparé(s) du (des) réseau(x) informatiques de la cible (des cibles) peut (peuvent) également être substitué(s) par un terminal (des terminaux) informatique(s) non-sensible(s). Un terminal (des terminaux) informatique(s) non-sensible(s) c’est à dire un terminal (des terminaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatif(s) et/ou un (des) dommage(s) majeur(s) ou significatif(s) pour la cible (une cible).
[0164] Notons donc que la Centrale des Courriels à Risque (CCR) peut également être une plateforme installée (à installer) et/ou connectée (à connecter) sur (à) un terminal (des terminaux) - ordinateur(s) par exemple, etc. - installé(s) (à installer) et connecté(s) (à connecter) sur (à) un réseau (des réseaux) informatique(s) non-sensible(s).
[0165] Un réseau (des réseaux) informatique(s) non-sensible(s) c’est à dire un réseau (des réseaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas un (des) risque(s) majeur(s) ou significatif(s) et/ou un (des) dommage(s) majeur(s) ou significatif(s) pour la cible (une cible).
[0166] Et un terminal (des terminaux) informatique(s) non-sensible(s) c’est à dire un terminal (des terminaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatif(s) et/ou un (des) dommage(s) majeur(s) ou significatif(s) pour la cible (une cible).
[0167] Rappelons qu’un (des) réseau(x) séparé(s) tel(s) que décrit(s) ci-dessus est (sont) appelé(s) également parfois dans cette demande de brevet : « réseau(x) CCR » ou « réseau(x) séparé(s) » ou « réseau(x) isolé(s) » ou « réseaux CCR ».
[0168] A ce stade, deux étapes « de traitement humain » sont nécessaires. Ces deux étapes de traitement humain sont appelées dans cette demande de brevet : étape 1 et étape 2.
[0169] Notons cepandant que ces deux étapes peuvent être automatisées. Et notons que l’automatisation de ces deux étapes est déjà prévue dans la prochaine version du produit programme d’ordinateur 4.
[0170] L’étape 1 (étape 1) de traitement humain :
- Un ou plusieurs humain(s), en fonction du volume de courriels à risque reçu par le (les) destinataire(s) du (des) courriel(s) à risques - présentant un risque d’infection(s) procède(nt) à l’ouverture (aux ouvertures) des pièces jointes au(x) courriel(s) à risque fichier(s) joint(s) au(x) courriels à risque / documents joint(s) au(x) coumel(s) à risque ; et clique(ent) sur le(s) lien(s) hypertexte présent(s) dans le (les) contenu(s) des - ou dit autrement attachés au(x) - coumel(s) à risque ou dit autrement transporté(s) par le(s) courriel(s) à risque pour accéder au(x) document(s) - fichier(s) - associé(s) ; et ce à partir du terminal (des terminaux) - ordinateur(s) par exemple, etc. - installé(s) et connecté(s) au(x) réseau(x) séparé(s) / isolé(s) / « réseau(x) CCR ». Ou dit autrement à partir de (sur) la CCR (la Centrale des Courriels à Risque).
[0171] L’étape 2 (étape 2) de traitement humain :
- Un ou plusieurs humain(s), en fonction du volume de courriels à risque reçu par la cible (les cibles) - utilisateur (utilisateurs) du programme d’ordinateur 4 -, « procède(nt) à la réintégration dans le produit programme d’ordinateur 4 de la (des) pièce(s) jointe(s) déjà ouverte(s) sur le (les) réseau(x) séparé(s) isolé(s) - réseau(x) CCR - et des document(s) - fichier(s) / information(s) - récupéré(s) à partir du (des) lien(s) sur lequel (lesquels) l’humain (les humains) a (ont) cliqué à partir du réseau(x) séparé(s) isolé(s) / réseau(x) CCR. C’est à dire aussi : un ou plusieurs humain(s), en fonction du volume de courriels à risque reçu par la cible (les cibles) - utilisateur (utilisateurs) du programme d’ordinateur 4 -, « procède(nt) à la réintégration dans le produit programme d’ordinateur 4 de la (des) pièce(s) jointe(s) déjà ouverte(s) sur le (les) réseau(x) séparé(s) isolé(s) / réseau(x) CCR et des document(s) - fichier(s) / information^) - récupéré(s) à partir du (des) lien(s) sur lequel (lesquels) l’humain (les humains) a (ont) cliqué à partir du terminal (des terminaux) CCR / du terminal (des terminaux) séparés tels que décrits (définis) dans cette demande de brevet. Et/ou des fichiers (documents) récupérés à partir du (des) lien(s) hypertexte se trouvant dans le (les) courriels. Lors de cette étape 2, l’humain (les humains) associe(nt) les fichiers et documents au(x) numéro(s) d’immatriculation du (des) courriel(s) 1’(les) ayant transporté(s) dans leur(s) contenu(s).
[0172] Rappelons que ces deux étapes peuvent être automatisées.
[0173] Et rappelons que l’automatisation de ces deux étapes est déjà prévue dans la prochaine version du produit programme d’ordinateur 4.
[0174] Septième fonction (fonction 7) du produit Programme d’ordinateur 4 sur la base du code 1 :
- le déchiffrement de courriel (du courriel/des courriels) à risque si la cible (utilisateur du programme d’ordinateur 4) opte (a opté) pour l’activation de l’option chiffrement ; c’est à dire si la cible (utilisateur du programme d’ordinateur 4) opte (a opté) pour l’activation de la fonction 5 (cinq) du produit Programme d’ordinateur 4 sur la base du code 1. Fonction 5 telle que décrite ci-dessus.
[0175] Huitième fonction (fonction 8) du produit Programme d’ordinateur 4 sur la base du code 1 :
- Envoi (l’envoi) - ou dit autrement renvoi (le renvoi) - de la (des) pièce(s) jointe(s) et /ou fichier(s) / document(s) réintégré(e) / réintégré(es) / réintégré(s) par l’humain (les humains) ou automatiquement lors de la prochaine version du produit Programme d’ordinateur 4 sur la base du code 1, dans le produit Programme d’ordinateur 4 sur la base du code 1 vers le(s) destinataire(s) initial (initiaux) du (des) coumel(s) à risque.
[0176] Notons qu’à ce stade, l’adresse (les adresses) électronique(s) du (des) destinataire(s) initial (initiaux) a (ont) déjà été sauvegardée(s) dans la mémoire (les mémoires) du produit Programme d’ordinateur 4 sur le base du code 1 ; et que l’adresse (les adresses) électronique(s) du (des) destinataire(s) initial (initiaux) a (ont) déjà été associé(s) à un (à des) numéro(s) déjà généré(s) par le produit Programme d’ordinateur 4 sur le base du code 1 ; et que ce(s) numéro(s) est (sont) appelé(s) ci-dessus numéro(s) d’immatriculation(s).
[0177] Neuvième fonction (fonction 9) du produit Programme d’ordinateur 4 sur la base du code 1 :
- envoi d’une (de) demande(s) - l’envoi d’une (de) demande(s) - de confirmation de (la) réception du (des) courriel(s) et pièce(s) / document(s) / fichier(s) jointe(s) / joint(s). Précisions que la (les) demande(s) de confirmation est (sont) envoyée(s) au(x) destinataire(s) initial/initiaux (donc également final / finaux) du (des) courriel(s) à risque.
[0178] Dixième fonction (fonction 10) du produit Programme d’ordinateur 4 sur la base du code 1 :
- suppression (la suppression), du (des) courriel(s) de la mémoire (des mémoires) du produit Programme d’ordinateur 4 sur la base du code 1, après que le (les) destinataires initial (initiaux) accuse(nt) - aient accusé - réception du (des) courriel(s) après le traitement anti piégeage du Procédé B.
[0179] Précisions que la confirmation de la réception via un accusé (des accusés) de réception « doit » inclure la confirmation de la bonne ouverture du (des) document(s), dit autrement du (des) fichier(s) /pièce(s) joint(s) / jointe(s) et de avant leur suppression de la CCR.
[0180] Voici ci-dessous la description du produit programme d’ordinateur 4 sur la base du code 2.
[0181] Première fonction (ou fonction 1) du produit Programme d’ordinateur 4 sur la base du code 2 :
- redirection (la redirection) automatique et systématique de tous les courriels reçus c’est à dire techniquement parlant : les courriels entrants - vers la CCR. Et ce dès leur réception (leur entrée). Les courriels ne sont donc pas (à ce stade) accessibles par le (les) - à (aux) - destinataire(s) des courriels.
[0182] Deuxième fonction (ou fonction 2) du produit Programme d’ordinateur 4 sur la base du code 2 :
- analyse (l’analyse) d’un (des) courriel(s) reçu(s) - c’est à dire entrant(s) - sur la base de règles prédéfinies (codes informatiques) modifiables et identification (l’identification) « du (des) courriel(s) à risque » dans (sur) la CCR. Et ce avant de donner l’accès aux courriels (ou après mais nous préconisons avant) aux personnels travaillant sur (à) la CCR.
[0183] Rappelons que dans cette demande de brevet le(s) courrier(s) électronique(s) ayant (portant) dans son (leurs) contenu(s) - transportant - un ou plusieurs lien(s) hypertexte et/ou portant / transportant une ou plusieurs pièce(s) jointe(s) est (sont) également parfois appelé(s) : courriels à risque.
[0184] Donc rappelons également que « courriel(s) à risque » veut dire : le(s) courrier(s) électronique(s) ayant (portant) dans son (leurs) contenu(s) - transportant - un ou plusieurs lien(s) hypertexte et/ou une ou plusieurs pièce(s) jointe(s).
[0185] Troisième fonction (ou fonction 3) du produit Programme d’ordinateur 4 sur la base du code 2 :
- collecte (la collecte) sur la CCP des courriels à risque. C’est à dire collecte du (des) courrier(s) électronique(s) ayant (portant) dans son (leurs) contenu(s) - transportant un ou plusieurs lien(s) hypertexte et/ou une ou plusieurs pièce(s) jointe(s).
[0186] Quatrième fonction (ou fonction 4) du produit Programme d’ordinateur 4 sur la base du code 2 :
- sauvegarde (la sauvegarde) du (des) courriel(s) à risque c’est à dire du (des) courrier(s) électronique(s) ayant (portant) dans son (leurs) contenu(s) - transportant un ou plusieurs lien(s) hypertexte et/ou une ou plusieurs pièce(s) jointe(s) ; ainsi que la sauvegarde de l’adresse électronique (des adresses électroniques) du (des) destinataire(s) associé(s). Notons que le(s) destinataire(s) associé(s) veut dire le (les) destinataire(s) du (des) courriel(s) à risque c’est à dire le (les) destinataire(s) du (des) courrier(s) électronique(s) ayant (portant) dans son (leurs) contenu(s) - transportant un ou plusieurs lien(s) hypertexte et/ou une ou plusieurs pièce(s) jointe(s).
[0187] Cinquième fonction (optionnelle) - fonction 5 optionnelle - du produit Programme d’ordinateur 4 sur la base du code 2 :
- octroi (l’octroi) - dit autrement génération (la génération) - d’un numéro d’immatriculation à (pour) chaque courriel sauvegardé et la sauvegarde de ce numéro d’immatriculation en l’associant dans la mémoire (les mémoires) du programme d’ordinateur 4 à l’adresse électronique (aux adresses électroniques) du (des) destinataire(s) du courriel. Notons que l’adresse électronique (les adresses électroniques) du (des) destinataire(s) est (sont) à ce stade déjà sauvegardée(s) dans la mémoire (les mémoires) du programme d’ordinateur 4 sur la base du code 2.
[0188] Sixième fonction (optionnelle) - fonction 6 optionnelle - du produit Programme d’ordinateur 4 sur la base du code 2 :
- chiffrement (le chiffrement) du contenu (des contenus) du (des) courriel(s) à risque. C’est à dire le chiffrement du (des) contenu(s) du (des) courrier(s) électronique(s) ayant (portant) dans son (leurs) contenu(s) - transportant - un ou plusieurs lien(s) hypertexte et/ou une ou plusieurs pièce(s) jointe(s).
[0189] Septième fonction (ou fonction 7) du produit Programme d’ordinateur 4 sur la base du code 2 :
- envoi (l’envoi) - ou dit autrement renvoi (le renvoi) - du (des) courriel(s) ne comportant dans (son) leurs contenu(s) ni une (des) pièce(s) jointe(s) ni un (des) lien(s) hypertexte vers le(s) destinataire(s) initial (initiaux) du (des) courriel(s).
[0190] A ce stade, deux étapes « de traitement humain » sont nécessaires. Ces deux étapes de traitement humain sont appelées dans cette demande de brevet : étape 1 et étape 2.
[0191] Précisons que ces deux étapes sont, dans cette première version, identiques dans le produit programme d’ordinateur 4 sur la base du Code 1 et dans le produit programme d’ordinateur 4 sur la base du code 2.
[0192] Rappelons que ces deux étapes peuvent être automatisées.
[0193] Et rappelons que l’automatisation de ces deux étapes est déjà prévue dans la prochaine version du produit programme d’ordinateur 4.
[0194] Rappelons ces deux étapes.
[0195] L’étape 1 (étape 1) de traitement humain :
- un ou plusieurs humain(s), en fonction du volume de courriels à risque reçu par le (les) destinataire(s) du (des) courriel(s) à risques - présentant un risque d’infection(s) procède(nt) à l’ouverture (aux ouvertures) des pièces jointes au(x) courriel(s) à risque / fichier(s) joint(s) au(x) courriels à risque / documents joint(s) au(x) courriel(s) à risque ; et clique(ent) sur le (les) lien(s) hypertexte présent(s) dans le (les) contenu(s) des - ou dit autrement attachés au(x) - courriel(s) à risque ou dit autrement transporté(s) par le (les) courriel(s) à risque pour accéder au(x) document(s) / fichier(s) associé(s) ; et ce à partir du terminal (des terminaux) - ordinateur(s) par exemple, etc. - installé(s) et connecté(s) au(x) réseau(x) séparé(s) / isolé(s) / « réseau(x) CCR ». Ou dit autrement à partir de (sur) la CCR (la Centrale des Courriels à Risque).
[0196] L’étape 2 (étape 2) de traitement humain :
- un ou plusieurs humain(s), en fonction du volume de courriels à risque reçu par le destinataire (les destinataires) - utilisateur(s) du programme d’ordinateur 4 -, « procède(nt) à la réintégration dans le produit programme d’ordinateur 4 de la (des) pièce(s) jointe(s) déjà ouverte(s) sur le (les) réseau(x) séparé(s) isolé(s) - réseau(x) CCR - et des document(s) / fichier(s) / information(s) - récupéré(s) à partir du (des) lien(s) sur lequel (lesquels) l’humain (les humains) a (ont) cliqué à partir du réseau(x) séparé(s) isolé(s) / réseau(x) CCR. C’est à dire aussi : un ou plusieurs humain(s), en fonction du volume de courriels à risque reçu par la cible (les cibles) - utilisateur(s) du programme d’ordinateur 4 -, « procède(nt) à la réintégration dans le produit programme d’ordinateur 4 de la (des) pièce(s) jointe(s) déjà ouverte(s) sur le (les) réseau(x) séparé(s) isolé(s) / réseau(x) CCR et des document(s) / fichier(s) / information(s) - récupéré(s) à partir du (des) lien(s) sur lequel (lesquels) l’humain (les humains) a (ont) cliqué à partir du terminal (des terminaux) CCR / du terminal (des terminaux) séparés tels que décrits (et définis) dans cette demande de brevet ; et/ou des fichiers (documents) récupérés à partir du (des) lien(s) hypertexte se trouvant dans le (les) courriels à risque. Lors de cette étape 2, l’humain (les humains) associe(nt) le(s) fichier(s) et document(s) au(x) numéro(s) d’immatriculation du (des) courriel(s) l’(les) ayant transporté(s) dans leur(s) contenu(s).
[0197] Rappelons que ces deux étapes peuvent être automatisées.
[0198] Et rappelons que l’automatisation de ces deux étapes est déjà prévue dans la prochaine version du produit programme d’ordinateur 4.
[0199] Huitième fonction (fonction 8) du produit Programme d’ordinateur 4 sur la base du code 1 :
- envoi (l’envoi) - ou dit autrement renvoi (le renvoi) - de la (des) pièce(s) jointe(s) et / ou fichier(s) / document(s) - réintégrés par l’humain (les humains) ou automatiquement lors de la prochaine version du produit Programme d’ordinateur 4 sur le base du code 2, dans le produit Programme d’ordinateur 4 sur le base du code 2 vers le(s) destinataire(s) initial (initiaux) du (des) courriel(s) à risque.
[0200] Notons qu’à ce stade, l’adresse (les adresses) électronique(s) du (des) destinataire(s) initial (initiaux) a (ont) déjà été sauvegardée(s) dans la mémoire (le mémoires) du produit Programme d’ordinateur 4 sur le base du code 2 ; et que l’adresse (les adresses) électronique(s) du (des) destinataire(s) initial (initiaux) a (ont) déjà été associée(s) à un (à des) numéro(s) déjà généré(s) par le produit Programme d’ordinateur 4 sur le base du code 2 ; et que ce(s) numéro(s) est (sont) appelé(s) ci-dessus numéro(s) d’immatriculation(s).
[0201] Neuvième fonction (fonction 9) du produit Programme d’ordinateur 4 sur la base du code 2 :
- envoi d’une (de) demande(s) - l’envoi d’une (de) demande(s) - de confirmation de (la) réception du (des) courriel(s) et pièce(s) / document(s) / fichier(s) jointe(s) / joint(s). Précisions que la (les) demande(s) de confirmation est (sont) envoyée(s) au(x) destinataire(s) initial/initiaux (donc également final / finaux) du (des) courriel(s) à risque.
[0202] Dixième fonction (fonction 9) du produit Programme d’ordinateur 4 sur le base du code 2 :
-suppression (la suppression) du (des) courriel(s) de la mémoire du produit Programme d’ordinateur 4 sur le base du code 2 après que le (les) destinataires accuse(nt) - aient accusé - réception du (des) courriel(s) après son (leur) ouverture sur la CCP / sur un (des) réseau(x) isolé(s) / sur un (des) réseau(x) séparé(s) / nonsensible(s) c’est à dire aussi sur un terminal (des terrminaux) isolé(s) / séparé(s) / nonsensible(s).
[0203] Précisons que la confirmation de la réception via un accusé de réception « doit » inclure la confirmation de la bonne ouverture du (des) document (s), dit autrement du (des) fichier(s) et ce avant leur suppression de la CCR.
[0204] Enfin, précisons que s’agissant du Procédé B et du produit programme d’ordinateur
4, le(s) courrier(s) électronique(s) reçu(s) - c’est à dire courrier(s) électronique(s) entrant(s) - inclut (inclus) les courriers électroniques envoyés à la cible par une (des) personne(s) externe(s) et/ou les courriers électroniques envoyés à la cible (aux cibles) par un (des) utilisateur(s) inteme(s). Donc les courrier(s) électronique(s) reçu(s) - c’est à dire courrier(s) électronique(s) entrant(s) - inclut (inclus) les courriers électroniques envoyés à la cible (aux cibles) par le biais d’une (d’) adresse(s) électronique(s) exteme(s) et/ou inteme(s).
[0205] L’avantage du Procédé B et du produit programme d’ordinateur 4 qui met en oeuvre le Procédé B par rapport aux solutions existantes (antérieures) sont :
- l’avantage indiscutable est la baisse du risque d’infection « à zéro ». Les infections/ virus/codes malveillants étant exécutables (c’est à dire étant opérationnels) seulement lors de l’ouverture de la (des) pièce(s) jointe(s) et/ou lors du cliquage sur le (les) lien(s) hypertexte. Et l’ouverture de la (des) pièce(s) jointe(s) et/ou le cliquage (action de cliquer) sur le(s) liens hypertexte est réalisée (sont réalisés) via le Procédé B et le produit programme d’ordinateur 4 loin du (des) réseau(x) et terminaux informatiques de la cible : sur un (des) réseau(x) - et terminaux - informatique(s) séparé(s) / isolé(s) et/ou sur un (des) réseau(x) - et terminaux - informatique(s) non-sensible(s) tel(s) que décrit(s) dans les descriptions du Procédé B et du produit programme d’ordinateur 4.
[0206] Le troisième Procédé de l’invention est appelé dans ces documents Procédé C. Voici ci-dessous la description du Procédé C :
[0207] Mais d’abord, rappelons, qu’un (des) attaquant(s) - pirate(s) - peut (peuvent) profiter
- et profite(nt) généralement quand il(s) n’est pas (ne sont pas) novice(s) - d’un moment d’absence occasionnel (congé, etc.) ou peut (peuvent) provoquer - et provoque(nt) généralement quand il(s) a (ont) de la créativité - une (des) absence(s) d’un ou plusieurs utilisateur(s) légithne(s) sur un (des) réseau(x) - accident, invitation, rendez-vous, etc. -, pour générer une activité (des activités) à partir de son terminal (leurs terminaux) et/ou son adresse IP (leurs adresses IP).
[0208] Cette activité (ces activités) - c’est à dire en l’absence de l’utilisateur (des utilisateurs) légithne(s) - ne sera (seront) pas jugée(s) comme étant illégitime(s) - suspicieuse(s) - par l’outil (les outils) d’analyses car l’outil (les outils) d’analyses « qui détecte(nt) les doublons » ne détecteront pas de « doublons ». Doublon(s) c’est dire deux (ou plusieurs) adresses IP identiques générant une (des) activité(s) (opérant) sur un (des) réseau(x) à partir de deux (ou plusieurs) terminaux différents.
[0209] Le Procédé C est un procédé de détection d’activité (s) / présence(s) illégitime(s) sur un (des) réseau(x) informatique(s) par la comparaison de (des) « données de présence(s) et/ou absence(s) physiques » des utilisateurs légitimes à des (aux) « données d’activité(s) informatique(s) des utilisateurs légithne(s) ». Notons qu’il est sollicité une protection sur ce qui suit :
[0210] Le Procédé C comporte une sous étape Cl).
[0211] L’étape Cl) étant caractérisée par la détection sur un (des) réseau(x) informatique(s) d’une (d1) activité(s) illégitime(s) par la comparaison de (des) données de présence(s) / absence(s) physique(s) d’un utilisateur légitime (utilisateur légitime d’une adresse IP, à titre d’exemple non exclusif) à l’activité sur un (des) réseau(x) informatique(s) de ce même utilisateur légitime (de l’adresse IP de ce même utilisateur légitime, à titre d’exemple non exclusif).
[0212] Un autre objet de l’invention est un dispositif de réalisation de défense contre les attaques informatiques sur la base du Procédé C, c’est à dire un dispositif de réalisation de défense contre les attaques informatiques caractérisé en (à) ce qu’il met en oeuvre le Procédé C et consistant en un produit programme d’ordinateur appelé produit programme d’ordinateur 5 dans cette demande de brevet.
[0213] Le produit programme d’ordinateur appelé produit programme d’ordinateur 5 dans cette demande de brevet et caractérisé en ce qu’il met en oeuvre le Procédé C est :
- Un détecteur d’activité(s) illégitime(s) par la comparaison de l’activité d’une adresse IP sur un réseau informatique aux données de présences / absences physique de son utilisateur légitime. Ou dit autrement : un détecteur d’activité(s) illégitime(s) par la comparaison de l’activité d’une adresse IP sur un réseau informatique aux données de présences / absences physique de l’utilisateur légitime de cette même adresse IP.
[0214] Ce détecteur est un produit programme d’ordinateur de détection d’activité(s) illégitime(s) sur un réseau (et de détection d’exploitation d’intrusion) par la comparaison (les comparaisons) de (des) données de présence(s) / absence(s) physique(s) des utilisateurs légitimes à des (aux) données d’activités informatiques des utilisateurs légitimes.
[0215] Précisons que ce détecteur c’est à dire le produit programme d’ordinateur 5 met en oeuvre le Procédé C sur la base d’un procédé de codage - d’une logique de codage(s) informatique(s) - mais que d’autres procédés de codage(s) - logiques de codage(s) sont également possibles pour mettre en oeuvre le Procédé C via un ou plusieurs autre(s) produit(s) programme(s) d’ordinateur(s).
[0216] Notons également que d’autres procédés de codage(s) - logiques de codage(s) mettant en oeuvre le Procédé C sont prévues dans la prochaine version du programme d’ordinateur 5.
[0217] Voici ci-dessous la description du produit programme d’ordinateur 5.
[0218] Le produit proramme d’ordinateur 5 détecte sur un (des) réseau(x) une (des) activité(s) illégitime(s) en comparant les (des) données de présence(s) / absence(s) physique(s) de l’utilisateur légitime d’une adresse IP à l’activité sur un réseau informatique de cette même adresse IP.
[0219] Première fonction (ou fonction 1) du produit programme d’ordinateur 5 :
- mémorisation (la mémorisation) des (de) données que la cible (utilisateur du produit programme d’ordinateur 5) intègre dans la mémoire du programme d’ordinateur 5.
[0220] C’est à dire le programme d’ordinateur 5 mémorise dans sa mémoire des données que la cible (utilisateur du produit programme d’ordinateur 5) lui intègre (doit lui intégrer).
[0221] Les données à intégrer dans cette première version du produit programme d’ordinateur 5 sont :
- a) l’adresse IP (ΓΙΡ) de chaque utilisateur légitime sur le(s) réseau(x) de la cible (utilisateur du produit programme d’ordinateur 5).
- b) le numéro de la carte d’accès - badge d’accès à titre d’exemple non exclusif, etc.
- de chaque utilisateur légitime sur le(s) réseau(x) de la cible (utilisateur du produit programme d’ordinateur 5) telle (tel) que enregistrée (enregistré) dans la base de données des points d’accès (portes d’accès à titre d’exemple non exclusif, etc.).
- c) le (les) numéro(s) d’immatriculation du (des) véhicule(s) de chaque utilisateur légitime sur le(s) réseau(x) de la cible (utilisateur du produit programme d’ordinateur 5).
[0222] Le programme d’ordinateur 5 associe à ce stade (c’est à dire lors de la mémorisation) les données b) et c) à la (aux) donnée(s) a).
[0223] C’est à dire le programme d’ordinateur 5 associe le numéro de la carte d’accès badge d’accès, etc. - de l'utilisateur légitime sur le(s) réseau(x) informatique(s) telle (tel) que enregistrée (enregistré) dans la base de données des points d’accès (portes d’accès, etc.) ainsi que le (les) numéro(s) d’immatriculation du (des) véhicule(s) de l’utilisateur légitime sur le(s) réseau(x) informatique(s) à l’adresse IP (ΓΙΡ) octroyeé à ce même utilisateur légitime sur le(s) réseau(x).
[0224] Deuxième fonction (ou fonction 2) du produit Programme d’ordinateur 5 :
- collecte (la collecte) via (par) un (des) accès qu’on donne (ouvre) au programme d’ordinateur 5 à ce que nous appelons dans cette demande de brevet et que nous définissons ci-dessous : les données de présences et d’absences physique d’un utilisateur légitime sur un (des) réseau(x) informatique(s).
[0225] C’est à dire le programme d’ordinateur 5 se connecte via (par) un (des) accès qu’on donne au programme d’ordinateur 5 à ce que nous appelons dans cette demande de brevet et que nous définissons ci-dessous : les données de présences et d’absences physique d’un utilisateur légitime sur un (des) réseau(x) et collecte les (des) données de présences et d’absences physique d’un utilisateur légitime sur un (des) réseau(x) informatique(s).
[0226] Définition des données de présences et d’absences physique d’un utilisateur légitime sur un (des)réseau(x):
- les données de présences et d’absences physique d’un utilisateur légitime sur un (des) réseau(x) sont : toutes les données « informatisées » ou « à informatiser » concernant - relatives à - la présence et / ou l’absence physique d’un utilisateur légitime sur un (d’un) réseau.
[0227] Dans cette première version du produit programme d’ordinateur 5 les données de présences et d’absences physique d’un utilisateur légitime sur un (des) réseau(x) informatique(s) sont :
- a) les données des bases de données des accès (les points d’accès - les entrées / sorties) - portes d’accès à badges à titre d’exemple non exclusif, etc. - enregistrant (qui enregistrent) « l’entrée » et l’heure exacte de l’entrée ainsi que « la sortie » et l’heure exacte de sortie de l’utilisateur légitime. Les données des bases de données des accès (les points d’accès - les entrées / sorties) type portes d’accès (portes d’accès à badges, etc.) enregistrant (qui enregistrent) « l’entrée » et l’heure exacte de l’entrée ainsi que « la sortie » et l’heure exacte de sortie de l’utilisateur légitime sont appelées également parfois dans cette demande de brevet : Base de données 1 ou BDD1.
- b) Les données de la (des) caméra(s) de surveillance - dite intelligente(s) - du (des) parking(s) enregistrant (qui enregistrent) « l’entrée » et l’heure exacte d’entrée ainsi que la sortie et l’heure exacte de sortie du véhicule de (des) utilisateur (utilisateurs). Une caméra de surveillance - dite intelligente - est une caméra de surveillance qui retranscrit - repère et/ou identifie et/ou notent dans une (des) base(s) de données le numéro de la plaque d’immatriculation d’une voiture en la filmant c’est à dire aussi une caméra qui repère et/ou identifie et/ou enregistre sous la forme de chiffres et de lettres dans une (des) base(s) de données le numéro de la plaque d’immatriculation d’une voiture en la filmant. Les données des caméras de surveillance (dites intelligentes) du (des) parking(s) enregistrant (qui enregistrent) « l’entrée » et l’heure exacte d’entrée ainsi que la sortie et l’heure exacte de sortie du véhicule de l’utilisateur (des utilisateurs) sont appelées également parfois dans cette demande de brevet : Base de données 2 ou BDD2.
[0228] Troisième fonction (ou fonction 3) du produit Programme d’ordinateur 5 :
- collecte (la collecte) via (par) un (des) accès qu’on donne au programme d’ordinateur 5 à ce que nous appelons dans cette demande de brevet : les données d’activités informatiques d’un (des) utilisateur(s) sur un (des) réseau(x) informatique(s).
[0229] C’est à dire, le programme d’ordinateur 5 se connecte via (par) un (des) accès qu’on donne au programme d’ordinateur 5 à ce que nous appelons dans cette demande de brevet : les données d’activités informatiques d’un (des) utilisateur(s) sur un (des) réseaux). Et ce pour récupérer les logs indiquant (qui indiquent) l’activité ou (l’absence d’activité) d’une adresse IP (ou dit autrement l’activité venant - en provenance - d’une IP).
[0230] Les logs indiquent au moment même quelle(s) IP est (sont) active(s) sur le(s) réseau(x) et quelle(s) IP est (sont) inactive(s). C’est dire les logs indiquent au moment même quelle(s) IP est (sont) en activité - génère(nt) une activité - sur le(s) réseau(x) informatique^) et quelle(s) IP est (sont) inactive(s) - c’est à dire quelle(s) adresse(s) IP ne génère(nt) pas d’activité sur le(s) réseau(x).
[0231] Donc, les données d’activités informatiques d’un (des) utilisateur (utilisateurs) sur un (des) réseau(x) informatiques sont, techniquement parlant, dans cette première version du produit programme d’ordinateur 5 : les logs.
[0232] Dans cette première version du produit programme d’ordinateur 5 les données d’activités informatiques d’un utilisateur (des utilisateurs) sur un réseau (des réseaux) les logs - sont à récupérer par le programme d’ordinateur 5 via des capteurs de logs à installer sur le(s) réseau(x) de l’utilisateur du produit programme d’ordinateur 5 (la cible). C’est à dire que la récupération des logs est réalisée via des capteurs de logs à installer sur le(s) réseau(x) de l’utilisateur du produit programme d’ordinateur 5 (la cible).
[0233] La récupération (la collecte) des logs peut s’effectuer également (est réalisée également) par une connexion aux bases de données des outils (logiciels programmes) SIEM ou dit autrement peut s’effectuer également (est réalisée également) par une connexion aux données des outils (logiciels - programmes) appelés d’analyse SIEM (décrits dans le début de cette demande de brevet).
[0234] Car en cas de présence d’outils (logiciels - programmes) SIEM chez la cible, la connexion aux données (logs) des outils SIEM a pour but d’éviter de réinstaller inutilement des capteurs de logs étant donné que ces derniers (c’est dire des capteurs de logs) sont déjà installés pour l’analyse SIEM.
[0235] Les données d’activités informatiques d’un utilisateur (des utilisateurs) sur un réseau (des réseaux) informatique(s) - les logs - qu’elles soient récupérées directement par des capteurs dédiés ou récupérées dans les données des programmes d’analyse SIEM dotés de capteurs sont également parfois appelées dans cette demande de brevet : Base de données 3 ou BDD3.
[0236] Les numéros d’IP actives dans la base de données 3 (BDD3) sont appelés dans cette demande de brevet : IP-Actives-BDD3.
[0237] Quatrième fonction du produit programme d’ordinateur 5 :
- actualisation des données de BDD1 et BDD2 et BDD3. Nous préconisons une actualisation toutes les « trente seconds ». Sinon toutes les « X secondes » tel que X est un nombre entier à définir par l’utilisateur du produit programme d’ordinateur 5.
[0238] Cinquième fonction du produit programme d’ordinateur 5 :
- comparaison (la comparaison) des données collectées de BDD1 et BDD2 aux données de BDD3. C’est à dire la comparaison des données de BDD1 et BDD2 aux données de BDD3.
[0239] C’est à dire, le programme d’ordinateur compare les données collectées de BDD1 et BDD2 aux données de BDD3 et envoi une alerte si une adresse IP (des adresses IP) d’un (ou plusieurs) utilisateur(s) est (sont) active(s) sur un réseau informatique - c’est à dire génère(nt) une activité sur un réseau informatique, c’est à dire est (sont) à l’origine d’activité sur un réseau informatique, et que la base de données BDD1 et/ou la base de données BDD2 indique(nt) une sortie et/ou absence physique de rutilisateur légitime dont l’adresse IP est signalé Active dans la base de données BDD3.
[0240] C’est à dire, le programme d’ordinateur compare les données collectées de BDD1 et BDD2 aux données de BDD3 et envoi une alerte si une ou plusieurs IP figure(nt) parmi les numéros (dans la base de données des) IP-Actives-BDD3 ; IP-Actives-BDD3 telles que définies ci-dessus et que la base de données BDD1 et/ou BDD2 indique(nt) une sortie et/ou une absence physique de rutilisateur légitime de l’adresse IP active (de l’adresse IP figurant dans la base de données de IP-Actives-BDD3).

Claims (1)

  1. [Revendication 1]
    Revendications
    Procédé de défense d’un réseau comprehensible / lisible, statique, figé dans le temps, et passif, contre les attaques et/ou menaces informatiques, caractérisé en ce qu’il comporte les étapes suivantes :
    - l’étape 1),
    Transformation virtuelle d’un réseau - ou dit autrement transformation de l’apparence d'un réseau - compréhensible / lisible par un gonflage virtuel ou une déformation virtuelle d’un (de) réseau(x). La transformation virtuelle - transformation de l’apparence - d'un réseau comprehensible / lisible peut être également réalisée par la création d’un ou plusieurs réseau(x) virtuel(x) par le biais d’un ou plusieurs code(s) informatique(s) pour inclure par la suite un ou plusieurs réseau(x) réel(x) dans un ou plusieurs réseau(x) virtuel(s) crée(s).
    - l’étape 2),
    Transformation virtuelle, ou dit autrement, transformation de l’apparence d'un réseau « statique » et « figé / invariable dans le temps » en un réseau « virtuellement dynamique, variable et aléatoire dans le temps ». La transformation virtuelle, ou dit autrement, transformation de l’apparence d'un réseau « statique » et « figé dans le temps » en un réseau « virtuellement dynamique et aléatoire dans le temps » est réalisée par la mise en place d’une ou plusieurs configuration(s) changeantes dans le temps d’un ou plusieurs réseau(x) virtuel(x) icluant un (des) réseau(x) réels. La dynamicité d’un réseau et la transformation de sa caractéristique invariable en caratéristique variable et aléatoire s’effectuent donc grâce au fait que les configurations sont changeante(s) et / ou aléatoire(s) dans le temps.
    - l’étape 3),
    Transformation de la caractéristique passive d’un réseau en caractéristique passive/active « lors du questionnement d’un réseau par une ou plusieurs requête(s) informatique(s) ou lors du questionnement d’un ou plusieurs équipement(s) informatique(s) par des requêtes. La transformation de la caractéristique passive lors du questionnement par des requêtes est réalisée par l’émission, lors des questionnements / des requêtes), de fausses informations et/ou fausses vulnérabilités / failles. L’émission de fausses informations / fausses vulnérabilités / fausses failles lors des questionnements d’un réseau informatique par une ou plusieurs requête(s) informatique(s) se réalise par le biais de l’ajout à un
    réseau d’un ou plusieurs codes informatiques crées à cette fin. [Revendication 2] Procédé selon la revendication 1 caractérisé en ce que dans l’étape 1), la transformation virtuelle et/ou le gonflage virtuel et/ou la déformation virtuelle d’un réseau, c’est à dire aussi la transformation virtuelle et/ou le gonflage virtuel et/ou la déformation virtuelle de l’infrastructure ou des infrastructures d’un réseau est (sont) réalisé(s) « par le clonage de l’infrastructure informatique » d’un réseau et/ou « par le clonage des équipements informatiques d’un réseau informatique » tels que et ce à titre d’exemple mais non exclusif : les terminaux, les ordinateurs, les serveurs, les imprimantes, les points d’accès wifi, les IP, etc. [Revendication 3] Procédé selon la revendication 1 caractérisé en ce que dans l’étape 1), la transformation virtuelle et/ou le gonflage virtuel et/ou la déformation virtuelle d’un réseau par un Clonage d’un réseau et/ou par un Clonage de l’infrastructure d’un réseau informatique et/ou des équipements informatiques « est (sont) réalisée(s) par la création de X clones pour un réseau et/ou par la création de X Clones pour chaque équipement informatique ou par la création de X clones pour une partie des équipements informatiques. [Revendication 4] Procédé selon la revendication 1 caractérisé en ce que après l’étape 1) de gonflage, de déformation et d’amplification et/ou de création d’un ou plusieurs réseau(x) virtuel(s) par le biais d’un ou plusieurs code(s) informatique(s) pour inclure par la suite un ou plusieurs réseau(x) réel(x) dans un ou plusieurs réseau(x) virtuel(s) crée(s), est réalisée une étape de création et d’installation de « Mines » sur les clones et/ou sur le(s) réseau(x) virtuel(x) qui englobe(nt) un (des) réseau(x) réel(s). [Revendication 5] Procédé selon la revendication 1 caractérisé en ce que l’étape 1) comporte en outre une sous étape al), L’étape al) étant une génération et un maintien d’une activité virtuelle par l’ajout d’un ou plusieurs codes informatiques crées à cette fin, dans un réseau, gonflé et déformé par Clonage, ou dans un réseau gonflé et déformé par le biais de l’ajout à un réseau d’un ou plusieurs code(s) informatique(s) créant un (des) réseau(x) et/ou équipement(s) informatique(s) virtuel(s) pour englober un ou plusieurs réseaux réels. L’étape al) est également réaliseable par une amplification virtuelle d’ une (des) activité(s) réelle(s) d’un réseau appelée aussi le trafic d’un réseau réel et le mantien de cette activité amplifiée par le biais de l’ajout à un réseau d’un ou plusieurs code(s) informatique(s) crées à cette fin. [Revendication 6] Procédé selon la revendication 1 caractérisé en ce que l’étape 3)
    comporte en outre une sous étape a3), L’étape a3) est caractérisée par «un brouillage» et « un biaisage » des résultats des questionnements d’un réseau informatique ou des équipements informatiques d’un réseau informatique lors de l’envoi vers ce réseau informatique d’une ou plusieurs requête(s) informatique(s). [Revendication 7] Procédé selon la revendication 1 caractérisé en ce que dans l’étape a3), le brouillage et le biaisage des résultats des questionnements d’un réseau informatique par des requêtes informatiques est (sont) réalisé(s) « par saturation / par noyade ». Et ce « par une émission lors des questionnements et des requêtes de fausses informations » et/ou « fausses vulnérabilités » pour biaiser les résulats des requêtes informatiques qui questionnent un réseau informatique. L’émission d’un grand nombre ou de préférence un très grand nombre de fausses informations » et/ou « fausses vulnérabilités » permet de « saturer les résultats et les réponses » et ainsi « noyer les vraies réponses et vulnérabilités dans une très grande quantité de fausses réponses et vulnérabilités ». [Revendication 8] Procédé selon la revendication 1 caractérisé en ce que dans l’étape a3), le brouillage par saturation / par noyade est réalisé par l’émission d’un grand nombre de fausses informations et vulnérabilités concernant un réseau et les équipements associés à un réseau par le biais de l’ajout à un réseau d’un ou plusieurs code(s) informatique(s) programmés pour émettre un grand nombre de fausses informations et vulnérabilités à chaque requête reçue par un réseau informatique ou par un équipement informatique d’un réseau informatique. [Revendication 9] Procédé selon la revendication 1 caractérisé en ce que dans l’étape a3), le brouillage par saturation / par noyade est réalisé également par l’émission de manière aléatoire à chaque requête d’un grand nombre de fausses informations et vulnérabilités concernant un réseau et les équipements associés à un réseau. Et ce par l’ajout au(x) code(s) informatique(s), d’un ou plusieurs algorithme(s) qui modifie(nt) de manière aléatoire les fausses vulnérabilités à émettre. [Revendication 10] Procédé selon la revendication 1 caractérisé en ce que dans l’étape a3), le brouillage par saturation / par noyade est réalisé par l’ajout d’un grand nombre de fausses vulnérabilités ou failles sur un (des) réseau(x) virtuel(s) crée(s) par gonflage virtuel (par Clonage à titre d’exemple non exclusif) ou par code(s) informatique(s), par l’émission systématique dans ce cas de fausses vulnérabilités par effet mécanique de l’ajout des fausse(s) vulnérabilités dans le réseau gonfler virtuellement et/ou dans
    [Revendication 11] [Revendication 12] le(s) réseau(x) virtuel(s) crée(s) par code informatique et qui englobe(nt) le(s) réseau(x) réel(s). Dans ce cas, l’émission de manière aléatoire est également possible par le biais de l’ajout d’un ou plusieurs algorithme(s) qui modifie(nt) de manière aléatoire les fausses vulnérabilités ajoutées et leurs emplacements dans un réseau gonflé par clonage ou dans un (des) réseau(x) virtuel(x) crée(s) par code(s) informatique(s) et qui englobe(nt) un (des) réseau(x) réel(s).
    Trois programmes d’ordinateur appelés dans cette demande de brevet : le programme d’ordinateur 1, le programme d’ordinateur 2 et le programme d’ordinateur 3, comprenant des instructions de code qui, lorsqu’elles sont exécutées sur un processeur, réalisent les étapes du Procédé A selon l’une ou plusieurs des revendications 1 à 9.
    Procédé de défense contre le(s) courrier(s) électronique(s) dit courriels courriel au singulier - dit piégé(s) par la présence de code(s) malveillants) ou par la présence de virus / infection(s) /code(s) malveillants dans une pièce jointe ou des pièces jointes à son (leurs) contenu(s) ou dans un (des) lien(s) hypertexte de son (leurs) contenu(s) par une nouvelle stratégie appelée stratégie d’ouverture en milieu - sur un réseau informatique - séparé / isolé ou à défaut en milieu - sur un (des) réseau(x) informatique(s) et/ou sur un (des) équipement(s) informatique(s) - non-sensible(s). L’ouverture des pièces jointes et le cliquage (action de cliquer) s’effectue donc aussi sur un terminal (des terminaux) informatique(s) séparé(s) / isolé(s) ou à défaut non sensible(s). Un réseau (des réseaux) informatique(s) isolé(s), séparé(s) veut dire : un (des) réseau(x) - informatique(s) - séparé(s) / isolé(s) du (des) réseau(x) informatique(s) de la cible (des cibles). Un réseau (des réseaux) informatique(s) isolé(s), séparé(s) peut (peuvent) également être substitué(s) par un réseau (des réseaux) informatique(s) et/ou un (des) terminal (terminaux) non-sensible(s). Un réseau (des réseaux) informatique(s) non-sensible(s) veut dire un réseau (des réseaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas un (des) risque(s) majeur(s) ou significatif^) et/ou un (des) dommage(s) majeur(s) ou significatif^) pour la cible (une cible). Un terminal (des terminaux) informatique(s) non-sensible(s) c’est à dire un terminal (des terminaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatif^) et/ou (un) des dommage(s) majeur(s) ou significatif^) pour la cible (une cible). Ce Procédé de défense contre le(s) courrier(s) électronique(s) dit courriels - courriel au singulier - dit piégé(s) est caractérisé en ce qu’il comporte les étapes suivantes :
    - l’étape 1), l’identification et/ou la collecte manuelle (par un humain) et/ou par analyse (automatisée) sur la base de règles et équations prédéfinies (codes informatiques prédéfinis), des courriels transportant et/ou comportant dans leurs contenus une pieces ou des pièces jointes et/ou un (des) lien(s) hypertexte.
    - l’étape 2), l’ouverture de la (des) pièce(s) jointe(s) et le cliquage (action qui consiste à cliquer) sur le(s) lien(s) hypertexte à partir d’un environnement / milieu / réseau isolé (séparé) ou à défaut à partir d’un environnement / milieu / réseau non-sensible. Techniquement, cela se traduit par une ouverture ou au moins une première ouverture de la (des) pièce(s) jointe(s) et le cliquage (action qui consiste à cliquer) sur le(s) lien(s) hypertexte sur un (à partir d’un) ou plusieurs réseau(x) isolé(s) / séparé du (des) réseau (x) informatique(s) de la cible ou à défaut à partir d’un environnement / milieu / réseau non-sensible.
    Techniquement, cela se traduit par une ouverture ou au moins une première ouverture de la (des) pièce(s) jointe(s) et le cliquage (action qui consiste à cliquer) sur le(s) lien(s) hypertexte sur un (à partir d’un) ou (de) plusieurs terminal (terminaux) - ordinateur(s) par exemple, etc. isolés / séparés du (des) réseau (x) informatique(s) de la cible. Un terminal (terminaux) - ordinateur(s) par exemple, etc. - isolés / séparés du (des) réseau (x) (-informatiques sont techniquement un terminal (terminaux) - ordinateur(s) par exemple - connecté(s) / branché(s) / installé(s) à (sur) un (des) réseau(x) séparé(s) / isolé(s).
    - l’étape 3), le renvoi des fichiers et/ou données récupérés à partir du (des) lien(s) hypertexte et/ou de la (des) pièce(s) jointe(s) ouvertes - après leur ouverture et le cliquage dessus - sur un (des) réseau(x) isolé(s) / séparé(s) vers le (les) destinataire(s) initial (initiaux).
    [Revendication 13] Un programme d’ordinateur appelé dans cette demande de brevet programme 4, comprenant des instructions de code qui, lorsqu’elles sont exécutées sur un processeur, réalisent les étapes du Procédé de la revendication 12.
    [Revendication 14] Procédé de défense contre les attaques informatiques par la détection d’activité (s) / présence(s) illégitime(s) sur un (des) réseau(x) in formatique(s) par une comparaison de (des) « données de présence(s) et/ ou absence(s) physiques » des utilisateurs légitimes à de (des) « données d’activité(s) informatique(s) des utilisateurs légithne(s) ».
    [Revendication 15] Procédé selon la revendication 14 caractérisé en ce que la défense contre les attaques informatiques par la détection d’activité (s) - présence(s) illégitime(s) sur un (des) réseau(x) informatique(s) est réalisée par une comparaison des données de présence(s) / absence(s) physique(s) d’un utilisateur légitime d’une adresse IP à l’activité sur un (des) réseau(x) informatique(s) de cette même adresse IP.
    [Revendication 16] Un programme appelé dans cette demande de brevet : programme 5, comprenant des instructions de code qui, lorsqu’elles sont exécutées sur un processeur, réalisent les étapes du Procédé des revendications 14 et 15.
FR1872211A 2018-12-03 2018-12-03 Procédés et programmes d’ordinateur de défense contre les attaques informatiques Pending FR3089321A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1872211A FR3089321A1 (fr) 2018-12-03 2018-12-03 Procédés et programmes d’ordinateur de défense contre les attaques informatiques

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1872211 2018-12-03
FR1872211A FR3089321A1 (fr) 2018-12-03 2018-12-03 Procédés et programmes d’ordinateur de défense contre les attaques informatiques

Publications (1)

Publication Number Publication Date
FR3089321A1 true FR3089321A1 (fr) 2020-06-05

Family

ID=67999682

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1872211A Pending FR3089321A1 (fr) 2018-12-03 2018-12-03 Procédés et programmes d’ordinateur de défense contre les attaques informatiques

Country Status (1)

Country Link
FR (1) FR3089321A1 (fr)

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
DUAN QI ET AL: "CONCEAL: A Strategy Composition for Resilient Cyber Deception-Framework, Metrics and Deployment", 2018 IEEE CONFERENCE ON COMMUNICATIONS AND NETWORK SECURITY (CNS), IEEE, 30 May 2018 (2018-05-30), pages 1 - 9, XP033383993, DOI: 10.1109/CNS.2018.8433196 *
STEFAN ACHLEITNER ET AL: "Cyber Deception", MANAGING INSIDER SECURITY THREATS, ACM, 2 PENN PLAZA, SUITE 701 NEW YORK NY 10121-0701 USA, 28 October 2016 (2016-10-28), pages 57 - 68, XP058300376, ISBN: 978-1-4503-4571-2, DOI: 10.1145/2995959.2995962 *
SUN JIANHUA ET AL: "DESIR: Decoy-enhanced seamless IP randomization", IEEE INFOCOM 2016 - THE 35TH ANNUAL IEEE INTERNATIONAL CONFERENCE ON COMPUTER COMMUNICATIONS, IEEE, 10 April 2016 (2016-04-10), pages 1 - 9, XP032930236, DOI: 10.1109/INFOCOM.2016.7524602 *

Similar Documents

Publication Publication Date Title
McGuire et al. Cyber crime: A review of the evidence
Catakoglu et al. Automatic extraction of indicators of compromise for web applications
CN113225349B (zh) 恶意ip地址威胁情报库建立、防止恶意攻击方法及装置
Kim et al. The dark side of the Internet: Attacks, costs and responses
Fossi et al. Symantec internet security threat report trends for 2010
Vacca Network and system security
Herr PrEP: A framework for malware & cyber weapons
Testa et al. Illegal roaming and file manipulation on target computers: Assessing the effect of sanction threats on system trespassers’ online behaviors
Florêncio et al. Where do all the attacks go?
Teichmann et al. The evolution of ransomware attacks in light of recent cyber threats. How can geopolitical conflicts influence the cyber climate?
US20170155683A1 (en) Remedial action for release of threat data
Kalla et al. Phishing detection implementation using databricks and artificial Intelligence
Wilner et al. On the social science of ransomware: Technology, security, and society
Kaur et al. Cybersecurity threats in Fintech
Broadhurst et al. Crime in cyberspace: offenders and the role of organized crime groups
Turban et al. E-commerce security and fraud issues and protections
Sleem A Comprehensive Study of Cybersecurity Threats and Countermeasures: Strategies for Mitigating Risks in the Digital Age.
Khosrow-Pour Encyclopedia of criminal activities and the Deep Web
EP4409450A1 (fr) Procédé d'analyse de la vulnérabilité d'un système d'information à une attaque informatique
Bhattad et al. Social Engineering in Cyber Security: A Comprehensive Review of Modern Threats, Challenges, and Counter Measures
FR3089321A1 (fr) Procédés et programmes d’ordinateur de défense contre les attaques informatiques
AlMasri et al. Detecting Spyware in Android Devices Using Random Forest
Kazaure et al. Digital Forensics Investigation Approaches in Mitigating Cybercrimes: A Review.
Strang et al. Why Cyberattacks Disrupt Society and How to Mitigate Risk
Maurushat et al. Artificial intelligence enabled cyber fraud: a detailed look into payment diversion fraud and ransomware

Legal Events

Date Code Title Description
PLSC Publication of the preliminary search report

Effective date: 20200605

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4