FR3129053A1 - Procédé de recherche de données sensibles dans au moins un paquet de données, dispositif et système associés. - Google Patents

Procédé de recherche de données sensibles dans au moins un paquet de données, dispositif et système associés. Download PDF

Info

Publication number
FR3129053A1
FR3129053A1 FR2111977A FR2111977A FR3129053A1 FR 3129053 A1 FR3129053 A1 FR 3129053A1 FR 2111977 A FR2111977 A FR 2111977A FR 2111977 A FR2111977 A FR 2111977A FR 3129053 A1 FR3129053 A1 FR 3129053A1
Authority
FR
France
Prior art keywords
terminal
pap
data
network
sensitive data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR2111977A
Other languages
English (en)
Inventor
Mohamed Boucadair
Christian Jacquenet
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Priority to FR2111977A priority Critical patent/FR3129053A1/fr
Priority to PCT/EP2022/081046 priority patent/WO2023083770A1/fr
Publication of FR3129053A1 publication Critical patent/FR3129053A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/65Environment-dependent, e.g. using captured environmental data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Procédé de recherche de données sensibles dans au moins un paquet de données, dispositif et système associés L’invention concerne un procédé d’identification de données dites sensibles dans au moins un paquet de données (P1_OS, P1_OS_BIS) émis par au moins un terminal (UE) connecté à un réseau (NET_GLOB), des informations d’identification relatives à l’identité et/ou à l’environnement d’une entité à laquelle appartient ledit au moins un terminal pouvant être déterminées à partir de données sensibles ayant été insérées dans ledit au moins un paquet avant qu’il n’atteigne un équipement de destination. Ledit procédé comporte des étapes mises en œuvre par un dispositif de recherche (PAP_1, PAP_2, PAP_3, PAP_4), dont : - réception (E40_1_1, E40_1_2, E40_1_3, E40_1_4) dudit au moins un paquet de données, - recherche (E60_1_1, E60_1_2, E60_1_4) de données sensibles dans ledit au moins un paquet de données,- et, le cas échéant, mise à disposition de ladite entité d’informations sur les données sensibles détectées. Figure pour l’abrégé : Fig. 7

Description

Procédé de recherche de données sensibles dans au moins un paquet de données, dispositif et système associés.
La présente invention appartient au domaine général des télécommunications. Elle concerne plus particulièrement un procédé de recherche de données sensibles dans du trafic émis par au moins un terminal connecté à un réseau. Elle concerne également un dispositif configuré pour mettre en œuvre ledit procédé de recherche, et un système comportant un tel dispositif ainsi qu’un terminal de communication apte à prendre connaissance de données sensibles détectées par ledit dispositif. L’invention trouve une application particulièrement avantageuse, bien que nullement limitative, dans le cadre d’un service de recherche de données sensibles proposé à des utilisateurs par un fournisseur d’accès à un réseau « global » tel que le réseau Internet ou un réseau Intranet.
Le développement continu des technologies de l’information, ainsi que leur adoption et leur utilisation toujours plus importantes par les utilisateurs, contribuent à la transmission d’une quantité considérable de données sur les réseaux de communication exploitant ces technologies.
La transmission de ces données repose de manière conventionnelle sur l’échange de paquets de données émis par les terminaux en possession des utilisateurs. Il peut s’agir bien entendu de données dont un utilisateur sait qu’elles seront transmises, par exemple lorsqu’un appel téléphonique est passé au moyen d’un téléphone mobile.
Cela peut néanmoins aussi concerner des données insérées dans des paquets par un logiciel équipant un terminal en possession d’un utilisateur et transmises, depuis le terminal vers un équipement distant (serveur, instance logicielle, etc.), à l’insu dudit utilisateur. En particulier, il est connu que le ou les systèmes d’exploitation équipant le terminal d’un utilisateur, ainsi que la ou les applications logicielles installées sur ce terminal, peuvent transmettre des données à l’insu dudit utilisateur vers des équipements distants, comme par exemple des serveurs accessibles via un réseau (p. ex. le réseau Internet), données dont la gestion est assurée par le fabricant/concepteur dudit système d’exploitation/de ladite ou desdites applications.
A titre d’exemple nullement limitatif, des données transmises à l’insu d’un utilisateur par le système d’exploitation d’un téléphone mobile d’un utilisateur peuvent correspondre à l’un quelconque des éléments parmi :
- un numéro IMEI (acronyme de l’expression anglo-saxonne « International Mobile Equipment Identity »),
- un numéro de série du téléphone mobile,
- un numéro de série de la carte SIM insérée dans le téléphone mobile,
- un numéro de téléphone,
- une adresse IP locale,
- une adresse matérielle MAC (acronyme de l’expression anglo-saxonne « Media Access Control ») dudit téléphone mobile, voire éventuellement une ou plusieurs adresses matérielles MAC de terminaux situés dans le voisinage du téléphone mobile (par exemple, suite à l’exécution automatique par le téléphone mobile d’une procédure de découverte d’adresses matérielles MAC en vue d’une éventuelle association (appairage)), etc.
Il peut d’ailleurs être noté que de telles données sont susceptibles d’être transmises à l’insu de l’utilisateur alors même qu’aucune carte SIM n’est activée par le terminal mobile.
Des données ainsi transmises à l’insu d’un utilisateur peuvent faire l’objet d’une collecte systématisée par les équipements distants en question (et être ainsi qualifiées de « données de télémétrie »), pour finalement être utilisées dans la mise la œuvre de différents traitements.
De tels traitements peuvent par exemple consister en l’analyse d’une activité de la source (système d’exploitation, application logicielle) à l’origine de la transmission des données, permettant ainsi légitimement de contribuer à améliorer le fonctionnement de ladite source, par exemple via le développement et la mise à disposition de mises à jour ou correctifs (patchs) que l’utilisateur peut installer sur son terminal.
Cela étant, même en prenant en compte l’hypothèse d’une intention initialement louable de la part d’un fabricant/concepteur d’un système d’exploitation/d’une application logicielle (p. ex. amélioration logicielle comme évoqué ci-avant), la transmission de données à l’insu d’un utilisateur n’en reste pas moins problématique dans la mesure où elle contribue au risque que des informations relatives à l’identité dudit utilisateur puissent être déterminées à l’aide des données transmises. De telles informations sont des « informations d’identification » telles que définies par l’IETF (« Internet Engineering Task Force » en anglais) dans le document RFC 6973 de Juillet 2013.
On note que le fait de pouvoir obtenir de telles informations d’identification à partir des données transmises permet de qualifier ces dernières de « données sensibles ».
Cette détermination d’informations d’identification peut typiquement s’effectuer en corrélant ou en combinant entre elles des données sensibles transmises par différentes sources (système d’exploitation, application logicielle, etc.) et/ou en corrélant ou en combinant des données sensibles de différents types transmises par une même source et/ou encore en corrélant ou en combinant des données sensibles transmises par une ou plusieurs sources avec des données transmises par d’autres moyens logiciels, comme par exemple des données de localisation de type GPS (acronyme de l’expression anglo-saxonne « Global Positioning System »), etc.
En outre, lesdites informations d’identification ne se limitent pas nécessairement à l’identité même de l’utilisateur du terminal à l’origine de la transmission de données sensibles, mais peuvent aussi concerner plus généralement l’environnement dudit utilisateur, comme par exemple d’autres utilisateurs dont les terminaux respectifs sont situés dans le voisinage du terminal émetteur.
On note que la notion de « voisinage » fait ici référence à des terminaux situés à proximité d’un terminal donné et dont la présence peut être découverte, par exemple, à l’aide de mécanismes de diffusion (« broadcast » en anglais) mis en œuvre par ledit terminal donné en vue d’une éventuelle association (appairage), de maintien d’une table « ARP » (« Address Resolution Protocol » en anglais) ou « ND » (« Neighbor Discovery » en anglais).
A titre d’exemple, si des données sensibles transmises par un premier terminal divulgue des adresses matérielles MAC (ou tout autre identifiant persistant) d’autres terminaux situés dans le voisinage dudit premier terminal, il est possible d’accéder (modulo la mise en œuvre de corrélations idoines avec d’autres données) à des informations d’identification relatives aux utilisateurs de ces autres terminaux, comme par exemple des informations relatives aux fréquentations sociales, aux centres d’intérêt, aux lieux visités, etc. Qui plus est, la détermination de ces informations d’identification peut se faire alors même que ces autres terminaux supportent un système d’exploitation distinct de celui supporté par le premier terminal transmettant lesdites données sensibles.
En définitive, la transmission de données sensibles à l’insu des utilisateurs de terminaux représente une menace pour la préservation de leurs vies privées, et ce d’autant plus que l’évolution de la complexité des systèmes d’exploitation, ainsi que la multiplication des applications logicielles, tendent à accroitre toujours plus le volume de ces données sensibles transmises dans les réseaux de communication.
La présente invention a pour objectif de remédier à tout ou partie des inconvénients de l’art antérieur, notamment ceux exposés ci-avant, en proposant une solution qui permette de savoir si des données sensibles sont transmises par au moins un terminal (typiquement à son insu), de sorte à offrir la possibilité à une entité à laquelle appartient ledit au moins terminal de prendre connaissance de l’exposition d’informations d’identification la concernant ou bien concernant son environnement.
Au sens de la présente invention, une entité peut désigner un utilisateur ou un administrateur dudit au moins un terminal. La notion d’administrateur fait typiquement référence à une personne (physique ou morale) en charge de la gestion dudit au moins un terminal. A titre d’exemple nullement limitatif, il peut s’agir d’un parent responsable de la gestion d’une pluralité de téléphones mobiles respectivement utilisés par ses enfants, ou bien encore d’une entreprise responsable de la gestion d’une pluralité de terminaux déployés dans les locaux qu’elle occupe et utilisés par des employés.
La notion d’ « entité » ne se limite néanmoins pas aux cas précédents, et concerne également, dans le cadre de la présente invention, les cas où l’entité en question désigne :
- un réseau d’accès auquel est connecté ledit au moins un terminal et relié au réseau via lequel ledit équipement de destination est accessible, ou
- un réseau local auquel est connecté ledit au moins un terminal et relié audit réseau d’accès.
La prise en compte de ces autres cas d’application résulte notamment du fait qu’un réseau (i.e. un ou plusieurs équipements appartenant audit réseau) est susceptible d’insérer des données dans des paquets émis par au moins un terminal.
Pour permettre à une entité à laquelle appartient ledit au moins un terminal de prendre connaissance de l’exposition la concernant ou bien concernant son environnement, l’invention concerne, selon un premier aspect, un procédé de recherche de données dites sensibles dans au moins un paquet de données émis par au moins un terminal connecté à un réseau, ledit au moins un paquet de données ayant pour destination un équipement dit « de destination » accessible via ledit réseau, des informations d’identification relatives à l’identité et/ou à l’environnement d’une entité à laquelle appartient ledit au moins un terminal pouvant être déterminées à partir de données sensibles ayant été insérées dans ledit au moins un paquet avant qu’il n’atteigne ledit équipement de destination. Ledit procédé comporte des étapes mises en œuvre par un dispositif de recherche distinct dudit équipement de destination, dont :
- réception dudit au moins un paquet de données,
- recherche de données sensibles dans ledit au moins un paquet de données,
- et, si des données sensibles sont détectées dans ledit au moins un paquet, mise à disposition de ladite entité d’informations sur lesdites données sensibles détectées.
Ainsi, le procédé de recherche selon l’invention propose que des données sensibles soient recherchées, et éventuellement détectées, dans au moins un paquet de données émis par au moins un terminal, et plus particulièrement que cette recherche et cette détection soient réalisées par un dispositif qui diffère de l’équipement distant auquel ledit au moins un paquet de données est initialement destiné. De cette manière, l’identification de données sensibles peut par exemple être réalisée avant même que ledit au moins paquet n’atteigne l’équipement de destination qui lui est associé (le terme « identification » fait ici référence au résultat de l’étape de recherche du procédé selon l’invention, et renvoie donc plus particulièrement à la détection, en tant que telle, de données sensibles dans ledit au moins un paquet de données ; l’ « identification » est donc distincte de la « recherche » au sens de la présente invention).
En procédant de cette manière, l’invention permet de déterminer si des données sensibles ont été insérées, au cours de l’acheminement dudit au moins un paquet de données, par une ou plusieurs sources (p. ex. système d’exploitation d’un terminal, application logicielle installée sur un terminal, réseau d’accès ou éventuellement réseau local) dans ledit au moins un paquet de données, notamment à l’insu de l’utilisateur dudit au moins un terminal.
On note que la notion d’ « insertion » de données sensibles dans un paquet de données couvre, au sens de la présente invention, deux cas, à savoir :
- un premier cas selon lequel des données sensibles sont contenues dans un paquet de données dès son émission par ledit au moins un terminal. A titre d’exemple, un tel paquet peut être émis par un système d’exploitation ou une application logicielle installés sur ledit au moins un terminal ;
- un deuxième cas selon lequel un paquet de données originellement transmis par ledit au moins un terminal est modifié, au cours de son acheminement vers ledit équipement de destination, par une entité (source) autre que ledit au moins un terminal, de sorte à y intégrer des données sensibles.
En outre, l’étape de mise à disposition permet avantageusement de donner accès à l’entité à des informations relatives aux données sensibles ainsi détectées. Ces informations peuvent par exemple correspondre aux données sensibles détectées elles-mêmes, mais également consister en un inventaire du ou des équipement(s) de destination atteint(s) par les paquets transmis, voire aussi à des résultats de traitements réalisés à partir des données détectées (p. ex. : analyse de dépendance entre plusieurs destinations, de sorte à détecter un risque de corrélation entre des données sensibles transmises au titre de connexions distinctes dudit au moins un terminal).
Ces informations mises à disposition de l’entité reflètent donc, en quelque sorte, une trace laissée au cours du temps (i.e. à mesure que des paquets de données sont reçus et analysés par un dispositif de recherche selon l’invention) par ledit au moins un terminal sur le ou les réseaux via le(s)quel(s) chemine(nt) les paquets émis. Dit encore autrement, les informations mises à disposition de l’entité constitue une sorte de tableau de bord représentatif d’une identité numérique dudit au moins un terminal.
Qui plus est, au sens de la présente invention, la notion d’identité numérique n’est pas uniquement définie pour un terminal, mais peut également être dérivée à partir des données sensibles associées, le cas échéant, aux différents terminaux appartenant à une entité. Il est alors possible de faire référence à « l’identité numérique d’une entité » (p. ex. : identité numérique d’un réseau ou d’un administrateur d’une pluralité de terminaux).
Le procédé de recherche selon l’invention offre donc avantageusement la possibilité à l’entité d’établir, surveiller et contrôler l’activité dudit au moins un terminal lui appartenant. Les bénéfices sont ainsi doubles pour l’entité en question étant donné qu’elle se voit offrir la possibilité d’avoir accès à son identité numérique, mais également de mettre en place des actions correctives visant à éviter la divulgation, à son insu, d’informations d’identification relatives à son identité et/ou à son environnement (p. ex. : autres terminaux hébergés dans le même réseau local).
Il est à noter que le procédé de recherche selon l’invention peut s’inscrire dans le cadre d’un service proposé par un fournisseur de services en charge de la gestion du dispositif de recherche, comme par exemple le fournisseur d’accès responsable de la gestion et de la maintenance du réseau via lequel ledit équipement de destination est accessible.
Un autre aspect particulièrement important du procédé de recherche selon l’invention réside dans le fait le dispositif de recherche mettant en œuvre ledit procédé est localisé de manière appropriée pour recevoir (et non intercepter) ledit au moins un paquet de données, et ainsi en déchiffrer le contenu. Dit autrement, le dispositif de recherche est localisé de sorte que ledit au moins un paquet de données qu’il reçoit lui est effectivement destiné, sans avoir à réaliser une interception à l’insu de l’utilisateur dudit au moins un terminal. Il ressort donc aussi de ces éléments que la procédure proposée par l’invention est initiée à la demande de l’entité à laquelle appartient ledit au moins un terminal.
Ainsi, et comme décrit plus en détail ci-après, le dispositif de recherche peut par exemple être localisé sur une route d’acheminement de paquets de données. Une telle route est par exemple configurée par défaut au niveau dudit au moins un terminal, ou bien encore peut correspondre à une route établie de manière dynamique pour permettre l’acheminement dudit au moins un paquet de données.
En alternative (si le dispositif de recherche n’est placé sur aucune route d’acheminement de paquets de données) ou en complément de ces dispositions, le dispositif de recherche peut être relié au terminal à l’aide d’au moins un tunnel de communication apte à forcer l’acheminement de paquets de données dudit au moins un terminal vers le dispositif de recherche. Avantageusement, ledit au moins un tunnel est configuré pour mettre en œuvre une connexion sécurisée.
Dans des modes particuliers de mise en œuvre, le procédé de recherche peut comporter en outre l’une ou plusieurs des caractéristiques suivantes, prises isolément ou selon toutes les combinaisons techniquement possibles.
Dans des modes particuliers de mise en œuvre, le dispositif de recherche est localisé sur une route d’acheminement dudit au moins un paquet de données vers ledit équipement de destination, ledit procédé comportant en outre une étape de transmission mise en œuvre par ledit dispositif de recherche et consistant, une fois la recherche de données sensibles réalisée, à relayer ledit au moins un paquet de données vers l’équipement de destination.
De telles dispositions permettent au dispositif de recherche de jouer un rôle de proxy entre ledit au moins un terminal et l’équipement de destination auquel est destiné un paquet de données. Dit autrement, le dispositif de recherche dispose ici des informations de routage nécessaires à la retransmission du paquet (autrement dit pour relayer ledit paquet) vers ledit équipement de destination.
Dans des modes particuliers de mise en œuvre, ledit dispositif de recherche est relié au terminal à l’aide d’au moins un tunnel, ledit au moins un paquet de données reçu par le dispositif de recherche correspondant à une copie d’un paquet de données originel transmis vers l’équipement de destination, ladite copie étant transmise via ledit au moins un tunnel et n’étant pas relayée par ledit dispositif de recherche vers l’équipement de destination.
Avantageusement, ladite copie est transmise via ledit au moins un tunnel au moyen d’une connexion sécurisée, permettant ainsi de détecter toute modification des données telles que transmises par la source à l’origine dudit au moins un paquet de données.
Dans des modes particuliers de mise en œuvre, l’étape de recherche comporte :
- une comparaison des données contenues dans ledit au moins un paquet avec une liste filtrante associée audit au moins un terminal, et/ou
- une comparaison des données contenues dans ledit au moins un paquet avec un dictionnaire associé audit dispositif de recherche, et/ou
- une exécution d’un algorithme d’apprentissage automatique pour détecter des motifs de données récurrents contenus dans ledit au moins un paquet de données.
Au sens de la présente invention, le terme « dictionnaire » fait référence à l’ensemble des données sensibles que le dispositif de recherche est en mesure d’identifier. Ce dictionnaire dépend donc d’un paramétrage du dispositif de recherche.
Une liste filtrante caractérise quant à elle, par exemple, les données sensibles que l’entité à laquelle appartient ledit au moins terminal veut voir identifiées. La granularité d’une telle liste filtrante peut être ajustée, par exemple en spécifiant uniquement une ou plusieurs sources potentielles de données sensibles (système d’exploitation, application, réseau local, réseau d’accès, etc.), ou bien encore en spécifiant, pour une ou plusieurs sources données, quelles données sensibles doivent être impérativement identifiées (en-tête(s) spécifique(s) dans des paquets de données, etc.).
Selon une variante de réalisation, une liste filtrante peut aussi caractériser les seules données que l’entité autorise à être transmises vers un ou plusieurs équipements de destination. Autrement dit, selon cette variante, le dispositif de recherche peut identifier (selon son dictionnaire), en tant que donnée sensible, toute donnée qui n’appartient pas à ladite liste filtrante.
On note que le dictionnaire associé au dispositif de recherche peut être inclus dans une liste filtrante associée à un terminal, ou bien englober ladite liste filtrante, ou bien encore être d’intersection vide avec ladite liste filtrante.
Dans des modes particuliers de mise en œuvre, l’étape de mise à disposition comporte, si un critère d’alerte est satisfait, une émission d’un message d’alerte configuré pour permettre l’accès de l’entité auxdites informations sur les données sensibles détectées.
Le destinataire du message d’alerte peut être, par exemple, l’utilisateur dudit au moins un terminal ou bien encore ladite entité dans le cas où une pluralité de terminaux appartiennent à celle-ci (p. ex. : réseau ou administrateur d’une pluralité de terminaux).
Dans des modes particuliers de mise en œuvre, des données sensibles sont insérées dans ledit au moins un paquet par au moins l’un quelconque des éléments parmi :
- un système d’exploitation équipant ledit au moins un terminal,
- une application logicielle installée sur ledit au moins un terminal,
- un réseau d’accès auquel est connecté ledit au moins un terminal et relié au réseau via lequel ledit équipement de destination est accessible,
- un réseau local auquel est connecté ledit au moins un terminal et relié audit réseau d’accès.
On note qu’il est conventionnel de considérer un système d’exploitation ou une application logicielle comme source de données sensibles. Néanmoins, et comme déjà évoqué ci-avant, l’invention ne se limite pas à ce type de source, mais couvre également le cas de données sensibles transmises (typiquement à l’insu de l’utilisateur dudit au moins un terminal) par le réseau local et/ou par le réseau d’accès. Ces réseaux sont en effet susceptibles d’injecter des données sensibles dans des paquets émis par ledit au moins un terminal vers le réseau via lequel ledit équipement de destination est accessible. L’injection de ces données est par exemple réalisée au niveau applicatif (p. ex. : dans les en-têtes du protocole de communication utilisé pour la transmission de données tel que, par exemple, le protocole HTTP, dans les options TCP, dans les options IPv4, dans les en-têtes d’extension IPv6, dans les options UDP, etc.).
Autrement dit, le fait de considérer comme données sensibles certaines données injectées par le réseau local et/ou par le réseau d’accès permet avantageusement d’élargir la notion de données sensibles, et donc en définitive d’améliorer l’évaluation du risque selon lequel des informations d’identification relatives à l’entité à laquelle appartient ledit au moins un terminal et/ou à son environnement seraient accessibles à son insu. De ce fait, l’identité numérique établie par le dispositif de recherche est globale.
Dans des modes particuliers de mise en œuvre, une donnée sensible est l’un quelconque des éléments d’une liste comprenant :
- une donnée de localisation dudit au moins un terminal,
- un numéro IMSI ou MSISDN ou IMEI associé audit au moins un terminal (acronymes respectifs des expressions anglo-saxonnes « International Mobile Subscriber Identity », « Mobile Station International Subscriber Directory Number », « International Mobile Equipment Identity »),
- un numéro de carte SIM équipant ledit au moins un terminal,
- un identifiant d’un réseau d’accès relié au réseau via lequel ledit équipement de destination est accessible et/ou un identifiant d’un opérateur en charge de la gestion dudit réseau d’accès,
- lorsque ledit au moins un terminal est connecté à un réseau local relié à un réseau d’accès lui-même relié au réseau via lequel ledit équipement de destination est accessible, un identifiant dudit réseau local et/ou un identifiant persistant d’un équipement dédié (CPE) réalisant la connexion entre le réseau local et le réseau d’accès,
- une adresse IP ou une adresse matérielle dudit au moins un terminal,
- une adresse IP ou une adresse matérielle d’au moins un autre terminal positionné dans un voisinage dudit au moins un terminal ayant émis ledit au moins un paquet,
- un identifiant persistant associé audit au moins un terminal (p. ex. : un numéro de série matériel, encore dit « hardware serial number » en anglais).
Dans des modes particuliers de mise en œuvre, l’étape de recherche est mise en œuvre si un critère d’autorisation de recherche de données sensibles pour ledit au moins un terminal est satisfait.
Ledit critère d’autorisation est par exemple représentatif d’une souscription de la part de l’utilisateur d’un terminal mobile (ou « User Equipment (UE) » en anglais) d’un contrat auprès du fournisseur d’accès responsable de la gestion d’un réseau d’accès. Ce contrat concerne plus particulièrement un service payant, proposé par ledit fournisseur d’accès pour permettre l’analyse de paquets de données, dans le but d’y détecter des données sensibles et ainsi offrir la possibilité de prendre connaissance de l’exposition d’informations d’identification.
A l’inverse, il peut aussi être envisagé, par exemple, que le service fourni par le fournisseur d’accès est gratuit, ledit critère d’autorisation désignant alors l’accord donné par l’entité pour que des données sensibles soient identifiées dans des paquets émis par ledit au moins un terminal.
Selon un deuxième aspect, l’invention concerne un programme d’ordinateur comportant des instructions pour la mise en œuvre d’un procédé de recherche selon l’invention lorsque ledit programme d’ordinateur est exécuté par un ordinateur.
Ce programme peut utiliser n’importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n’importe quelle autre forme souhaitable.
Selon un troisième aspect, l’invention concerne un support d’informations ou d’enregistrement lisible par un ordinateur sur lequel est enregistré un programme d’ordinateur selon l’invention.
Le support d'informations ou d’enregistrement peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple un disque dur.
D'autre part, le support d'informations ou d’enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau tel qu’un réseau IP, comme typiquement le réseau Internet.
Alternativement, le support d'informations ou d’enregistrement peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.
Selon un quatrième aspect, l’invention concerne un dispositif de recherche de données dites sensibles dans au moins un paquet de données émis par au moins un terminal connecté à un réseau, ledit au moins un paquet de données ayant pour destination un équipement dit « de destination » accessible via ledit réseau, des informations d’identification relatives à l’identité et/ou à l’environnement d’une entité à laquelle appartient ledit au moins un terminal pouvant être déterminées à partir de données sensibles ayant été insérées dans ledit au moins un paquet avant qu’il n’atteigne ledit équipement de destination. Ledit dispositif de recherche est distinct dudit équipement de destination et comporte :
- un module de réception configuré pour recevoir ledit au moins un paquet de données,
- un module de recherche configuré pour détecter des données sensibles insérées dans ledit au moins un paquet de données,
- un module de mise à disposition configuré pour mettre à disposition de ladite entité, si des données sensibles sont détectées dans ledit au moins un paquet, des informations sur lesdites données sensibles détectées.
Dans des modes particuliers de réalisation, le dispositif de recherche peut comporter en outre l’une ou plusieurs des caractéristiques suivantes, prises isolément ou selon toutes les combinaisons techniquement possibles.
Dans des modes particuliers de réalisation, ledit dispositif de recherche est déployé dans :
- le réseau via lequel ledit équipement de destination est accessible,
- un réseau d’accès relié au réseau via lequel ledit équipement de destination est accessible,
- lorsque ledit au moins un terminal est connecté à un réseau local relié à un réseau d’accès lui-même relié au réseau via lequel ledit équipement de destination est accessible, ledit réseau local.
Dans des modes particuliers de réalisation, ledit dispositif de recherche est localisé sur une route d’acheminement dudit au moins un paquet de données vers ledit équipement de destination ou est relié au terminal par un tunnel.
Selon un cinquième aspect, l’invention concerne un dispositif d’agrégation comportant :
- un module de réception configuré pour recevoir, en provenance d’une pluralité de dispositifs de recherche selon l’invention, des données sensibles détectées par lesdits dispositifs de recherche dans au moins un paquet de données émis par au moins un terminal connecté à un réseau, ledit au moins un paquet de données ayant pour destination un équipement dit « de destination » accessible via ledit réseau, des informations d’identification relatives à l’identité et/ou à l’environnement d’une entité à laquelle appartient ledit au moins un terminal pouvant être déterminées à partir de données sensibles ayant été insérées dans ledit au moins un paquet avant qu’il n’atteigne ledit équipement de destination,
- un module de mise à disposition configuré pour mettre à disposition de ladite entité des informations sur les données sensibles reçues en provenance desdits dispositifs de recherche.
Selon un sixième aspect, l’invention concerne un terminal de communication comportant :
- un module d’émission configuré pour émettre au moins un paquet de données dans un réseau, ledit au moins un paquet de données ayant pour destination un équipement dit « de destination » accessible via ledit réseau, des informations d’identification relatives à l’identité et/ou à l’environnement d’une entité à laquelle appartient ledit terminal pouvant être déterminées à partir de données sensibles ayant été insérées dans ledit au moins un paquet avant qu’il n’atteigne ledit équipement de destination,
- un module d’accès configuré pour accéder à des informations sur des données sensibles détectées dans ledit au moins un paquet de données.
Les informations auxquelles le terminal de communication peut accéder, au moyen de son module d’accès, sont des informations mises à disposition par un dispositif de recherche selon l’invention.
A titre d’exemple, lesdites informations auxquelles le terminal de communication est en mesure d’accéder grâce à son module d’accès sont des informations mises à disposition de l’entité par un dispositif de recherche selon l’invention.
Dans des modes particuliers de réalisation, ledit terminal de communication comporte en outre un module de copie configuré pour dupliquer au moins un paquet de données destiné à être transmis vers un équipement de destination, le terminal de communication étant configuré pour transmettre ladite copie vers au moins un dispositif de recherche selon l’invention.
Comme déjà évoqué auparavant, la transmission d’une copie d’un paquet de données peut par exemple être effectuée via au moins un tunnel reliant le terminal de communication et ledit au moins un dispositif de recherche. En outre, une telle copie n’est pas destinée à être relayée par ledit au moins un dispositif de recherche vers l’équipement de destination.
Selon un sixième aspect, l’invention concerne un système de gestion de données dites sensibles comportant au moins un dispositif de recherche selon l’invention ainsi qu’au moins un terminal de communication selon l’invention.
D’autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures :
la représente schématiquement, dans son environnement, un mode particulier de réalisation d’un système de gestion de données sensibles selon l’invention ;
la représente schématiquement un exemple d’architecture matérielle d’un dispositif de recherche appartenant au système de gestion de données sensibles de la ;
la représente schématiquement un exemple d’architecture matérielle d’un autre dispositif de recherche appartenant au système de gestion de données sensibles de la ;
la représente schématiquement un exemple d’architecture matérielle d’encore un autre dispositif de recherche appartenant au système de gestion de données sensibles de la ;
la représente schématiquement un exemple d’architecture matérielle d’encore un autre dispositif de recherche appartenant au système de gestion de données sensibles de la ;
la représente schématiquement un exemple d’architecture matérielle d’un terminal de communication appartenant au système de gestion de données sensibles de la ;
la représente, sous forme d’ordinogramme, un mode particulier d’un procédé de traitement de données, dit « procédé général », mis en œuvre par le système de gestion de données sensibles de la , ledit mode englobant un mode particulier d’un procédé de communication selon l’invention et mis en œuvre par le terminal de la , ainsi que des modes particuliers d’un procédé de recherche selon l’invention et respectivement mis en œuvre par les dispositifs de recherche des figures 2, 3, 4 et 5,
la représente schématiquement un exemple d’architecture matérielle d’un dispositif d’agrégation appartenant au système de gestion de données sensibles selon un mode de réalisation de l’invention.

Claims (16)

  1. Procédé de recherche de données dites sensibles dans au moins un paquet de données (P1_OS, P1_OS_BIS) émis par au moins un terminal (UE) connecté à un réseau (NET_GLOB), ledit au moins un paquet de données ayant pour destination un équipement dit « de destination » (EQUIP_OS) accessible via ledit réseau, des informations d’identification relatives à l’identité et/ou à l’environnement d’une entité à laquelle appartient ledit au moins un terminal pouvant être déterminées à partir de données sensibles ayant été insérées dans ledit au moins un paquet avant qu’il n’atteigne l’équipement de destination, ledit procédé comportant des étapes mises en œuvre par un dispositif de recherche (PAP_1, PAP_2, PAP_3, PAP_4) distinct dudit équipement de destination, dont :
    - réception (E40_1_1, E40_1_2, E40_1_3, E40_1_4) dudit au moins un paquet de données,
    - recherche (E60_1_1, E60_1_2, E60_1_4) de données sensibles dans ledit au moins un paquet de données,
    - et, si des données sensibles sont détectées dans ledit au moins un paquet, mise à disposition de ladite entité d’informations sur lesdites données sensibles détectées.
  2. Procédé selon la revendication 1, dans lequel le dispositif de recherche est localisé sur une route d’acheminement dudit au moins un paquet de données vers ledit équipement de destination, ledit procédé comportant en outre une étape de transmission (E80_1_1, E80_1_3, E80_1_4) mise en œuvre par ledit dispositif de recherche (PAP_1, PAP_3, PAP_4) et consistant, une fois la recherche de données sensibles réalisée, à relayer ledit au moins un paquet de données (P1_OS) vers l’équipement de destination (EQUIP_OS).
  3. Procédé selon la revendication 1, dans lequel ledit dispositif de recherche (PAP_1, PAP_2) est relié au terminal à l’aide d’au moins un tunnel (TUN_1, TUN_2), ledit au moins un paquet de données reçu par le dispositif de recherche (PAP_2) correspondant à une copie (P1_OS_BIS) d’un paquet de données originel (P1_OS) transmis vers l’équipement de destination (EQUIP_OS), ladite copie étant transmise via ledit au moins un tunnel et n’étant pas relayée par ledit dispositif de recherche vers l’équipement de destination (EQUIP_OS).
  4. Procédé selon l’une quelconque des revendications 1 à 3, dans lequel l’étape de recherche (E60_1_1, E60_1_2, E60_1_4) comporte :
    - une comparaison des données contenues dans ledit au moins un paquet avec une liste filtrante associée audit au moins un terminal, et/ou
    - une comparaison des données contenues dans ledit au moins un paquet avec un dictionnaire associé audit dispositif de recherche, et/ou
    - une exécution d’un algorithme d’apprentissage pour détecter des motifs de données récurrents contenus dans ledit au moins un paquet de données.
  5. Procédé selon l’une quelconque des revendications 1 à 4, dans lequel l’étape de mise à disposition comporte, si un critère d’alerte (CRIT_AL_1, CRIT_AL_2, CRIT_AL_4) est satisfait (E90_1_1, E90_1_2, E90_1_4), une émission d’un message d’alerte (MESS_AL_1) configuré pour permettre l’accès de l’entité auxdites informations sur les données sensibles détectées.
  6. Procédé selon l’une quelconque des revendications 1 à 5, dans lequel des données sensibles sont insérées dans ledit au moins un paquet par au moins l’un quelconque des éléments parmi :
    - un système d’exploitation (OS) équipant ledit au moins un terminal (UE),
    - une application logicielle (APP_1, APP_2) installée sur ledit au moins un terminal,
    - un réseau d’accès (NET_ACC) auquel est connecté ledit au moins un terminal et relié au réseau via lequel ledit équipement de destination est accessible,
    - un réseau local (NET_LOC) auquel est connecté ledit au moins un terminal et relié audit réseau d’accès.
  7. Procédé selon l’une quelconque des revendications 1 à 6, dans lequel une donnée sensible est l’un quelconque des éléments d’une liste comprenant :
    - une donnée de localisation dudit au moins un terminal,
    - un numéro IMSI ou MSISDN ou IMEI associé audit au moins un terminal,
    - un numéro de carte SIM équipant ledit au moins un terminal,
    - un identifiant d’un réseau d’accès relié au réseau via lequel ledit équipement de destination est accessible et/ou un identifiant d’un opérateur en charge de la gestion dudit réseau d’accès,
    - lorsque ledit au moins un terminal est connecté à un réseau local relié à un réseau d’accès lui-même relié au réseau via lequel ledit équipement de destination est accessible, un identifiant dudit réseau local et/ou un identifiant persistant d’un équipement dédié (CPE) réalisant la connexion entre le réseau local et le réseau d’accès,
    - une adresse IP ou une adresse matérielle dudit au moins un terminal,
    - une adresse IP ou une adresse matérielle d’au moins un autre terminal positionné dans un voisinage dudit au moins un terminal ayant émis ledit au moins un paquet,
    - un identifiant persistant associé audit au moins un terminal.
  8. Procédé selon l’une quelconque des revendications 1 à 7, dans lequel ladite entité est l’un quelconque des éléments parmi :
    - un utilisateur ou un administrateur dudit au moins un terminal,
    - lorsque ledit au moins un terminal est connecté à un réseau d’accès ou bien à un réseau local conformément à la revendication 6, ledit réseau d’accès ou bien ledit réseau local.
  9. Procédé selon l’une quelconque des revendications 1 à 8, dans lequel l’étape de recherche (E60_1_1, E60_1_2, E60_1_4) est mise en œuvre si un critère (CRIT_AUTH) d’autorisation de recherche de données sensibles pour ledit au moins un terminal (UE) est satisfait (E50_1_1, E50_1_2, E50_1_3, E50_1_4).
  10. Dispositif de recherche (PAP_1, PAP_2, PAP_3, PAP_4) de données dites sensibles dans au moins un paquet de données (P1_OS, P1_OS_BIS) émis par au moins un terminal (UE) connecté à un réseau (NET_GLOB), ledit au moins un paquet de données ayant pour destination un équipement dit « de destination » (EQUIP_OS) accessible via ledit réseau, des informations d’identification relatives à l’identité et/ou à l’environnement d’une entité à laquelle appartient ledit au moins un terminal pouvant être déterminées à partir de données sensibles ayant été insérées dans ledit au moins un paquet avant qu’il n’atteigne l’équipement de destination, ledit dispositif de recherche étant distinct dudit équipement de destination et comportant :
    - un module de réception (MOD_RX_1, MOD_RX_2, MOD_RX_3, MOD_RX_4) configuré pour recevoir ledit au moins un paquet de données,
    - un module de recherche (MOD_ID_1, MOD_ID_2, MOD_ID_3, MOD_ID_4) configuré pour détecter des données sensibles insérées dans ledit au moins un paquet de données,
    - un module de mise à disposition configuré pour mettre à disposition de ladite entité, si des données sensibles sont détectées dans ledit au moins un paquet, des informations sur lesdites données sensibles détectées.
  11. Dispositif selon la revendication 10, ledit dispositif de recherche (PAP_1, PAP_2, PAP_3, PAP_4) étant déployé dans :
    - le réseau (NET_GLOB) via lequel ledit équipement de destination est accessible,
    - un réseau d’accès (NET_ACC) relié au réseau via lequel ledit équipement de destination est accessible,
    - lorsque ledit au moins un terminal (UE) est connecté à un réseau local (NET_LOC) relié à un réseau d’accès (NET_ACC) lui-même relié au réseau via lequel ledit équipement de destination est accessible, ledit réseau local.
  12. Dispositif selon l’une quelconque des revendications 10 à 11, dans lequel ledit dispositif de recherche (PAP_1, PAP_2) est localisé sur une route d’acheminement dudit au moins un paquet de données vers ledit équipement de destination ou est relié au terminal par un tunnel (TUN_1, TUN_2).
  13. Dispositif d’agrégation (PAP_AG) comportant :
    - un module de réception (MOD_RX_AG) configuré pour recevoir, en provenance d’une pluralité de dispositifs de recherche (PAP_1, PAP_2, PAP_3, PAP_4) selon l’une quelconque des revendications 10 à 12, des données sensibles détectées par lesdits dispositifs de recherche dans au moins un paquet de données (P1_OS, P1_OS_BIS) émis par au moins un terminal (UE) connecté à un réseau (NET_GLOB), ledit au moins un paquet de données ayant pour destination un équipement dit « de destination » (EQUIP_OS) accessible via ledit réseau, des informations d’identification relatives à l’identité et/ou à l’environnement d’une entité à laquelle appartient ledit au moins un terminal pouvant être déterminées à partir de données sensibles ayant été insérées dans ledit au moins un paquet avant qu’il n’atteigne l’équipement de destination,
    - un module de mise à disposition configuré pour mettre à disposition de ladite entité des informations sur les données sensibles reçues en provenance desdits dispositifs de recherche.
  14. Terminal de communication (UE) comportant :
    - un module d’émission (MOD1_TX_UE) configuré pour émettre au moins un paquet de données (P1_OS, P1_OS_BIS) dans un réseau (NET_GLOB), ledit au moins un paquet de données ayant pour destination un équipement dit « de destination » (EQUIP_OS) accessible via ledit réseau, des informations d’identification relatives à l’identité et/ou à l’environnement d’une entité à laquelle appartient ledit terminal pouvant être déterminées à partir de données sensibles ayant été insérées dans ledit au moins un paquet avant qu’il n’atteigne l’équipement de destination,
    - un module d’accès (MOD_ACC) configuré pour accéder à des informations sur des données sensibles détectées dans ledit au moins un paquet de données.
  15. Terminal de communication (UE) selon la revendication 14, ledit terminal de communication comportant en outre un module de copie (MOD_REP_UE) configuré pour dupliquer au moins un paquet de données destiné à être transmis vers un équipement de destination, le terminal de communication étant configuré pour transmettre ladite copie vers au moins un dispositif de recherche selon l’une quelconque des revendications 10 à 12.
  16. Système de gestion de données dites sensibles (SYS) comportant au moins un dispositif de recherche (PAP_1, PAP_2, PAP_3, PAP_4) selon l’une quelconque des revendications 10 à 12 ainsi qu’au moins un terminal (UE) selon l’une quelconque des revendications 14 à 15.
FR2111977A 2021-11-10 2021-11-10 Procédé de recherche de données sensibles dans au moins un paquet de données, dispositif et système associés. Pending FR3129053A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR2111977A FR3129053A1 (fr) 2021-11-10 2021-11-10 Procédé de recherche de données sensibles dans au moins un paquet de données, dispositif et système associés.
PCT/EP2022/081046 WO2023083770A1 (fr) 2021-11-10 2022-11-08 Procédé de recherche de données sensibles dans au moins un paquet de données, dispositif et système associés

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2111977A FR3129053A1 (fr) 2021-11-10 2021-11-10 Procédé de recherche de données sensibles dans au moins un paquet de données, dispositif et système associés.
FR2111977 2021-11-10

Publications (1)

Publication Number Publication Date
FR3129053A1 true FR3129053A1 (fr) 2023-05-12

Family

ID=80786671

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2111977A Pending FR3129053A1 (fr) 2021-11-10 2021-11-10 Procédé de recherche de données sensibles dans au moins un paquet de données, dispositif et système associés.

Country Status (2)

Country Link
FR (1) FR3129053A1 (fr)
WO (1) WO2023083770A1 (fr)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8856869B1 (en) * 2009-06-22 2014-10-07 NexWavSec Software Inc. Enforcement of same origin policy for sensitive data
US20160191545A1 (en) * 2014-12-31 2016-06-30 Symantec Corporation Systems and methods for monitoring virtual networks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8856869B1 (en) * 2009-06-22 2014-10-07 NexWavSec Software Inc. Enforcement of same origin policy for sensitive data
US20160191545A1 (en) * 2014-12-31 2016-06-30 Symantec Corporation Systems and methods for monitoring virtual networks

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
ANASTASIA SHUBA ET AL: "AntShield: On-Device Detection of Personal Information Exposure", ARXIV.ORG, CORNELL UNIVERSITY LIBRARY, 201 OLIN LIBRARY CORNELL UNIVERSITY ITHACA, NY 14853, 4 March 2018 (2018-03-04), XP080857567 *
EVITA BAKOPOULOU ET AL: "Exposures Exposed: A Measurement and User Study to Assess Mobile Data Privacy in Context", ARXIV.ORG, CORNELL UNIVERSITY LIBRARY, 201 OLIN LIBRARY CORNELL UNIVERSITY ITHACA, NY 14853, 19 August 2020 (2020-08-19), XP081744919 *
JUILLET, RFC 6973, 2013

Also Published As

Publication number Publication date
WO2023083770A1 (fr) 2023-05-19

Similar Documents

Publication Publication Date Title
EP3117640B1 (fr) Module d'identité de souscripteur embarque apte a gérer des profils de communication
EP3417591B1 (fr) Procédé et serveur de sélection d'un serveur d'entrée d'un réseau de communication ims
WO2008047024A1 (fr) Contrôle de message a transmettre depuis un domaine d'émetteur vers un domaine de destinataire
WO2018229425A1 (fr) Procédé de configuration d'un terminal
FR3096533A1 (fr) Procédé de gestion d’une communication entre terminaux dans un réseau de communication, et dispositifs pour la mise en œuvre du procédé
FR3129053A1 (fr) Procédé de recherche de données sensibles dans au moins un paquet de données, dispositif et système associés.
EP2638717B1 (fr) Terminal et procede pour transmettre un identifiant d'abonnement
WO2023083769A1 (fr) Procédé de traitement d'au moins un paquet de données, dispositif et système associés.
EP3970352A1 (fr) Procede et dispositif de traitement d'une demande d'anonymisation d'une adresse ip source, procede et dispositif de demande d'anonymisation d'une adresse ip source
EP3788762A1 (fr) Procédé d'envoi d'une information et de réception d'une information pour la gestion de réputation d'une ressource ip
FR3105694A1 (fr) Procédé de configuration d’un équipement utilisateur, équipement utilisateur, et entité de gestion de règles
FR3103921A1 (fr) Procédé de coordination de la mitigation d’une attaque informatique, dispositif et système associés.
WO2019243706A1 (fr) Procédé de découverte de fonctions intermédiaires et de sélection d'un chemin entre deux équipements de communication
WO2023083771A1 (fr) Procédés de contrôle, de vérification et de configuration, et entités configurées pour mettre en œuvre ces procédés
WO2024068722A1 (fr) Procedes de resolution de nom, de communication, de traitement de messages et serveur, dispositif client et noeud relais correspondants
FR3129051A1 (fr) Procédés de contrôle et de transmission, et entités configurées pour mettre en œuvre ces procédés
WO2009125145A1 (fr) Procede d'obtention de donnees relatives a la configuration d'un equipement terminal et serveur
WO2018234662A1 (fr) Procédé de contrôle de l'obtention par un terminal d'un fichier de configuration
WO2022117941A1 (fr) Procédé de détection d'un équipement malveillant dans un réseau de communication, équipement de communication et programme d'ordinateur correspondants
EP4258137A1 (fr) Procédé de distribution de fichier entre systèmes 3gpp mcdata interconnectés
WO2015181484A1 (fr) Technique d'obtention d'une politique de routage de requêtes émises par un module logiciel s'exécutant sur un dispositif client
FR3011418A1 (fr) Technique d'administration a distance d'un dispositif appartenant a un reseau prive
WO2021260290A1 (fr) Procedes et serveurs de gestion des services d'un terminal additionnel dans un reseau de coeur sip
FR3116921A1 (fr) Périphérique connecté à un terminal, terminal et serveur configurés pour gérer une preuve de propriété, par le terminal, d’une donnée générée par le périphérique
FR3110800A1 (fr) Procédé de notification d’un terminal mobile

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20230512