WO2015132183A1 - Procédé de sécurisation d'accés à un site de la toile - Google Patents

Procédé de sécurisation d'accés à un site de la toile Download PDF

Info

Publication number
WO2015132183A1
WO2015132183A1 PCT/EP2015/054261 EP2015054261W WO2015132183A1 WO 2015132183 A1 WO2015132183 A1 WO 2015132183A1 EP 2015054261 W EP2015054261 W EP 2015054261W WO 2015132183 A1 WO2015132183 A1 WO 2015132183A1
Authority
WO
WIPO (PCT)
Prior art keywords
server
terminal
parameter values
determining
site
Prior art date
Application number
PCT/EP2015/054261
Other languages
English (en)
Inventor
Jean-Pierre Massicot
Alain Foucou
Zbigniew Sagan
Original Assignee
Advanced Track & Trace
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Advanced Track & Trace filed Critical Advanced Track & Trace
Publication of WO2015132183A1 publication Critical patent/WO2015132183A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity

Definitions

  • the present invention relates to a method of securing access to a web site. It applies, in particular, to avoid “fishing" frauds, both for the sites and for their users.
  • the present invention aims to remedy all or part of these disadvantages.
  • the present invention aims a method of securing access to a web site, which comprises:
  • the step of determining user terminal parameter values, terminal parameter values, or nodes or network elements between the server and the terminal includes determining a list of servers. traversed by the data between the server and the terminal.
  • the step of determining user terminal parameter values, terminal parameter values or nodes or network elements separating the server and the terminal includes determining the protocol Internet address. of the terminal.
  • the step of determining user terminal parameter values, terminal parameter values, or nodes or network elements separating the server and the terminal includes determining a response duration. between the terminal and the server.
  • the step of determining user terminal parameter values, terminal parameter values, or nodes or network elements separating the server and the terminal includes determining country and / or data. or owner contact of the server's domain name or internet protocol address of the server hosting the site.
  • the step of determining user terminal parameter values, terminal parameter values, or nodes or network elements separating the server and the terminal includes determining match data between a terminal and a terminal. domain name and protocol internet address.
  • the step of determining user terminal parameter values, terminal parameter values, or nodes or network elements separating the server and the terminal includes determining data for detecting the user's terminal parameters.
  • an intermediary proxy server between the server hosting the site and the terminal.
  • the server hosting the site determines at least one of the following values:
  • the server hosting the site performs encryption of the parameter values.
  • the method which is the subject of the present invention further comprises a step of determining terminal parameter values, the logo forming step implementing said parameter values of the terminal.
  • the step of determining terminal parameter values includes determining a list of servers traversed by the data between the server and the terminal.
  • the method that is the subject of the present invention comprises a step of shooting an image of the logo and a step of transmitting the image of the logo to a certification server.
  • the method that is the subject of the present invention comprises a step of deciphering, by the certification server, the data that the logo represents and a step of checking the consistency of said data.
  • the method that is the subject of the present invention comprises a step of accessing an address of the Internet network by processing an image of the logo.
  • FIG. 1 represents, schematically, a page of a web site, as it appears on a user terminal screen
  • FIG. 2 represents, schematically, devices implemented by the method which is the subject of the invention.
  • FIG. 3 represents, in the form of a logic diagram, steps implemented in a particular embodiment of the method of the invention.
  • FIG. 1 shows a page 120, for example a home page, of a web site, as it appears on the screen of a user terminal of a visitor of this site.
  • This user terminal may be a computer, a tablet or a smartphone, for example.
  • this page 120 has a mark, or logo, 122.
  • this logo 122 is generated dynamically, that is to say at the time of access to the page. 120.
  • This logo 122 includes a code representing a message representative of the time of its generation. Other examples are given with reference to FIG.
  • FIG. 2 shows a server 124 hosting the page 120 and generating the logo 122 when the user accesses this page.
  • the server 124 is connected to the certification server 126.
  • the certification server 126 checks the correspondence between the logo of which an image is captured by the image sensor 128 and at least one logo generated by the server 124.
  • the server 124 and the server 126 are merged.
  • the image sensor 128 performs the mapping of the logos, for example by displaying the time of generation of the logo 122, the user can thus verify this time.
  • the user can ensure that the site page he is accessing is the legitimate site page and not a page of a mirror site where he is at risk of fraud.
  • a user accesses a site of the web. This access can be obtained by entering an email address (known as a uniform resource locator URL) or by clicking on a link.
  • an email address known as a uniform resource locator URL
  • the server 124 determines variable operating parameter values between two accesses to said site. These parameter values include, for example, its IP address on the internet network, a time stamp, graphic elements so that the logo is consistent with the graphic chart of the site and, possibly, a unique visitor number.
  • the server 124 forms a set of data forming a source of constituting the logo 122, obtained by encrypting the operating parameters of the server 124.
  • this encryption is asymmetric key, for example the key deprived of a bi-key PKI public key infrastructure. In embodiments, this encryption is that of https security.
  • the data set of the source is sent to the user.
  • the terminal of the user determines terminal parameter values or nodes and network elements separating the server and the terminal, for example:
  • DNS Lookup makes it possible to study a domain name, an IP address, an email address or a name. host.
  • an analysis of the extracted information is performed in order to obtain a specific analysis feedback connection.
  • Nslookup queries on the domain and / or reverses-dns of an IP address then a check of the coherence of the DNS (whois, root and NS servers) is carried out, then a certain number of controls are carried out on the DNS of the domain : Checks for SOAs, NS fields, MXs, and A fields are analyzed. Combined with Whois extraction and tests on the detected mail servers and web servers.
  • the logo provides, in embodiments, an online service integrating functions of NSLOOKUP type, WHOIS, analysis of DNS servers, mail servers and web servers, all in a fully automated way to allow a precise examination of the analysis performed: domain, host, IP or email address. It integrates all the tools useful for a sharp check of the configuration of a domain name or an IP address on the Internet.
  • an intercepting proxy server it can be done by comparing the client's external IP address to the address seen by a server of the client. external web server or, in some cases, by examining the HTTP headers received by a server. It is also possible to compare the result of an IP address check during a secure mode access (https) compared to a non-secure mode (http) access, because the principal of the interception proxy servers do not intercept security ("SSL"). In case of suspicion of SSL secure mode interception, one can examine the certificate associated with the site of the secure web, the root certificate (“root certificate”) indicating whether it was issued for the purpose of interception.
  • the proxy server accepts the connection, attempts to access a server at the specified IP address, returns an error message, or closes the connection with the client.
  • This difference in behavior with the direct connection is easy to detect. For example, the majority of internet browsers generate an error page in case they can not connect to an http server but generate a different error message in case the connection is accepted then closed.
  • this interception proxy server detection can be performed using dedicated applications that recall their servers.
  • the logo determined in the next step represents the results of all or part of these analyzes because they constitute parameter values of the terminal, nodes or other elements of the network lying between the terminal. and the server hosting the site that the user accesses.
  • the user terminal implements the logo source data to determine the logo to be displayed.
  • the user terminal also implements the values of user terminal parameters, node or network elements between the server hosting the site and the user terminal, to determine the logo to be displayed. .
  • the user terminal displays the logo thus determined.
  • the user controls the shooting of an image of the logo.
  • it implements a connected camera or a smartphone.
  • a screen capture is used on a computer or a smartphone.
  • the image of the logo is transmitted to the certification server.
  • the certification server receives the image and decrypts the data that the logo represents.
  • the certification server verifies the parameter values used to check that there is no inconsistency, for example hourly or in the path followed by the data between the server 124 and the terminal user.
  • the certification server sends a certification or non-certification message to the terminal 1 28.
  • a step 156 the terminal 128 displays whether the certification is positive or negative.
  • the user is prevented from visiting illegitimate sites, for example that are accessed by fishing.
  • a dynamic certification logo is generated. By taking an image of this logo with a smartphone, it is compared to an original logo, which certifies the site.
  • the logo provides access to an Internet network address ("URL").
  • URL Internet network address
  • the user can thus check the site he accesses and, possibly, for the current date, the products authorized for sale on this site.
  • the content of the logo provides access to an identification of the computer making the request and / or the path on the Internet data from the server hosting the site to the user terminal. We thus counter the fraud known as "man in the middle”.
  • the logo may depend on the path, the date, the product to be sold and the user terminal making the request, so that a third party, in the position of "man in the middle" can not know the logo received by the user legitimate.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Le procédé de sécurisation d'accès à un site de la toile, qui comporte : - une étape (132) d'accès audit site par un terminal utilisateur, - une étape (134) de détermination de valeurs de paramètres du serveur hébergeant ledit site, variables entre deux accès audit site, réalisée par le serveur, - une étape (140) de détermination, par le terminal de l'utilisateur, de valeurs de paramètres du terminal ou de nœuds ou éléments de réseau séparant le serveur et le terminal, - une étape (142) de formation d'un logo en fonction desdites valeurs de paramètres et - une étape (144) d'affichage dudit logo sur ledit terminal utilisateur.

Description

PROCÉDÉ DE SÉCURISATION D'ACCÈS À UN SITE DE LA TOILE
DOMAINE TECHNIQUE DE L'INVENTION
La présente invention concerne un procédé de sécurisation d'accès à un site de la toile. Elle s'applique, notamment, à éviter les fraudes de type « fishing », tant pour les sites que pour leurs utilisateurs.
ETAT DE LA TECHNIQUE
On connaît de nombreuses manières de protéger un contenu, ou message porté sur un support. Par exemple, un codage ou un chiffrement est appliqué aux données constituant ce message. Cependant, la simple connaissance de la clé de décodage ou de déchiffrement permet d'accéder au message. Or ces clés doivent être stockées sur des supports, par exemple papiers, plastiques ou électroniques ou sur des serveurs. Que ces clés soient portées par l'utilisateur ou stockées sur un système informatique, un tiers malveillant suffisamment outillé peut les atteindre.
Ces protections sont donc insuffisantes.
OBJET DE L'INVENTION
La présente invention vise à remédier à tout ou partie de ces inconvénients.
A cet effet, la présente invention vise un procédé de sécurisation d'accès à un site de la toile, qui comporte :
- une étape d'accès audit site par un terminal utilisateur,
- une étape de détermination de valeurs de paramètres du serveur hébergeant ledit site, variables entre deux accès audit site, réalisée par le serveur,
- une étape de détermination, par le terminal de l'utilisateur, de valeurs de paramètres du terminal ou de nœuds ou éléments de réseau séparant le serveur et le terminal,
- une étape de formation d'un logo en fonction desdites valeurs de paramètres et
- une étape d'affichage dudit logo sur ledit terminal utilisateur.
Grâce à ces dispositions, un logo variable, ou dynamique, est généré à chacune des visites du site. Par traitement de ce logo, l'utilisateur qui accès au site peut vérifier l'authenticité du site et/ou la sécurité de ses échanges avec ce site. Dans des modes de réalisation, l'étape de détermination de valeurs de paramètres de terminal de l'utilisateur, de valeurs de paramètres du terminal ou de nœuds ou éléments de réseau séparant le serveur et le terminal comporte la détermination d'une liste de serveurs traversés par les données entre le serveur et le terminal.
Dans des modes de réalisation, l'étape de détermination de valeurs de paramètres de terminal de l'utilisateur, de valeurs de paramètres du terminal ou de nœuds ou éléments de réseau séparant le serveur et le terminal comporte la détermination de l'adresse internet protocole du terminal.
Dans des modes de réalisation, l'étape de détermination de valeurs de paramètres de terminal de l'utilisateur, de valeurs de paramètres du terminal ou de nœuds ou éléments de réseau séparant le serveur et le terminal comporte la détermination d'une durée de réponse entre le terminal et le serveur.
Dans des modes de réalisation, l'étape de détermination de valeurs de paramètres de terminal de l'utilisateur, de valeurs de paramètres du terminal ou de nœuds ou éléments de réseau séparant le serveur et le terminal comporte la détermination de données de pays et/ou de contact de propriétaire du nom de domaine du serveur ou de l'adresse internet protocole du serveur hébergeant le site.
Dans des modes de réalisation, l'étape de détermination de valeurs de paramètres de terminal de l'utilisateur, de valeurs de paramètres du terminal ou de nœuds ou éléments de réseau séparant le serveur et le terminal comporte la détermination de données de correspondance entre un nom de domaine et une adresse internet protocole.
Dans des modes de réalisation, l'étape de détermination de valeurs de paramètres de terminal de l'utilisateur, de valeurs de paramètres du terminal ou de nœuds ou éléments de réseau séparant le serveur et le terminal comporte la détermination de données permettant la détection d'un serveur proxy intermédiaire entre le serveur hébergeant le site et le terminal.
Dans des modes de réalisation, au cours de l'étape de détermination de valeurs de paramètres, le serveur hébergeant le site détermine au moins l'une des valeurs suivantes :
- un horodatage,
- un numéro de visiteur unique. Dans des modes de réalisation, au cours de l'étape de détermination de valeurs de paramètres, le serveur hébergeant le site effectue un chiffrement des valeurs de paramètres.
Dans des modes de réalisation, le procédé objet de la présente invention comporte, en outre, une étape de détermination de valeurs de paramètres de terminal, l'étape de formation du logo mettant en œuvre lesdites valeurs de paramètre du terminal.
Dans des modes de réalisation, l'étape de détermination de valeurs de paramètres de terminal comporte la détermination d'une liste de serveurs traversés par les données entre le serveur et le terminal.
Dans des modes de réalisation, le procédé objet de la présente invention comporte une étape de prise de vue d'une image du logo et une étape de transmission de l'image du logo à un serveur de certification.
Dans des modes de réalisation, le procédé objet de la présente invention comporte une étape de déchiffrement, par le serveur de certification, des données que le logo représente et une étape de vérification de cohérence des dites données.
Dans des modes de réalisation, le procédé objet de la présente invention comporte une étape d'accès à une adresse du réseau internet par traitement d'une image du logo.
BREVE DESCRIPTION DES FIGURES
D'autres avantages, buts et caractéristiques particulières de la présente invention ressortiront de la description qui va suivre faite, dans un but explicatif et nullement limitatif, en regard de dessins annexés, dans lesquels :
- la figure 1 représente, schématiquement, une page d'un site de la toile, telle qu'elle apparaît sur un écran de terminal utilisateur,
- la figure 2 représente, schématiquement, des dispositifs mis en œuvre par le procédé objet de l'invention et
- la figure 3 représente, sous forme d'un logigramme, des étapes mises en œuvre dans un mode de réalisation particulier du procédé de l'invention.
DESCRIPTION D'EXEMPLES DE REALISATION DE L'INVENTION
On note, dès à présent, que les figures ne sont pas à l'échelle. On observe, en figure 1 , une page 120, par exemple une page d'accueil, d'un site de la toile, tel qu'il apparaît sur l'écran d'un terminal utilisateur d'un visiteur de ce site. Ce terminal utilisateur peut être un ordinateur, une tablette ou un smartphone, par exemple.
Comme on l'observe en figure 1 , cette page 120 comporte une marque, ou logo, 122. De manière caractéristique, ce logo 122 est généré de manière dynamique, c'est-à-dire au moment de l'accès à la page 120. Ce logo 122 intègre un code représentant un message représentatif de l'heure de sa génération. D'autres exemples sont donnés en regard de la figure 3.
On observe, en figure 2, un serveur 124 hébergeant la page 120 et générant le logo 122 lors de l'accès de l'utilisateur à cette page. Un capteur d'image 128, par exemple un appareil photo connecté ou un smartphone, prend une image du logo 122 et l'envoie à un serveur de certification 126.
Le serveur 124 est relié au serveur de certification 126.
Le serveur de certification 126 vérifie la correspondance entre le logo dont une image est captée par le capteur d'image 128 et au moins un logo généré par le serveur 124.
Dans d'autres modes de réalisation, le serveur 124 et le serveur 126 sont confondus. Dans d'autres modes de réalisation, le capteur d'image 128 réalise la mise en correspondance des logos, par exemple en affichant l'heure de génération du logo 122, l'utilisateur pouvant ainsi vérifier cette heure.
Grâce à la vérification de correspondance, l'utilisateur peut s'assurer que la page de site auquel il accède est la page du site légitime et non une page d'un site miroir sur lequel il risque d'être victime d'une fraude.
Comme on l'observe en figure 3, au cours d'une étape 132, un utilisateur accède à un site de la toile. Cet accès peut être obtenu en saisissant une adresse électronique (connue sous le nom d'URL pour uniform resource locator ou localisation de ressource uniforme) ou en cliquant sur un lien.
Au cours d'une étape 134, le serveur 124 détermine des valeurs de paramètres de son fonctionnement, variables entre deux accès audit site. Ces valeurs de paramètre comportent, par exemple son adresse IP sur le réseau internet, un horodatage, des éléments graphiques pour que le logo soit cohérent avec la charte graphique du site et, éventuellement, un numéro de visiteur unique. Au cours d'une étape 136, le serveur 124 forme un ensemble de données formant une source de constitution du logo 122, obtenu par chiffrement des paramètres de fonctionnement du serveur 124. Par exemple, ce chiffrement est à clé asymétrique, par exemple la clé privée d'un bi-clé de l'infrastructure à clé publique PKI. Dans des modes de réalisation, ce chiffrement est celui de la sécurité https.
Au cours d'une étape 138, l'ensemble de données de la source est adressé à l'utilisateur.
Au cours d'une étape 140, le terminal de l'utilisateur détermine des valeurs de paramètres de terminal ou de nœuds et éléments de réseau séparant le serveur et le terminal, par exemple :
- son adresse IP,
- une liste de serveurs traversés par l'ensemble de données, obtenue par exemple par une requête connue sous le nom de « traceroute »,
- une durée de réponse, obtenue, par exemple par une requête connue sous le nom de « ping »,
- des données de pays et/ou de contact de propriétaire du nom de domaine du serveur ou de l'adresse IP, par exemple obtenues par une requête connue sous le nom de « Whois »,
- des données de correspondance entre un nom de domaine et une adresse IP, par exemple obtenues avec une requête connue sous le nom de « DNS
Lookup » ou « Reverse DNS lookup »,
- des données permettant la détection d'un serveur proxy intermédiaire entre le serveur hébergeant le site et le terminal.
En ce qui concerne les données de correspondance entre un nom de domaine et une adresse IP, « DNS Lookup » permet de faire une étude d'un nom de domaine, d'une adresse IP, d'une adresse email ou d'un nom d'hôte. Suivant l'information saisie, automatiquement ici, une analyse des informations extraites est effectuée afin d'obtenir un retour d'analyse spécifique à la connexion. Des requêtes nslookup sur le domaine et/ou reverses-dns d'une adresse IP, puis une vérification de la cohérence des DNS (whois, serveurs racine et NS) est effectuée, puis un certain nombre de contrôles sont réalisés sur les DNS du domaine: vérification des SOA, des champs NS, des MX et des champs A sont analysés. Combiné à une extraction Whois et des tests sur les serveurs de messagerie et les serveurs web détectés. Dans le cas d'une adresse IP, d'autres types d'analyses sont effectués et retournés à l'utilisateur. Une vérification complète du reverse DNS est faite avec vérification des bijectivités. Le whois de ΙΊΡ est fourni pour permettre de retrouver son propriétaire ou les coordonnées de la personne de contact. Les blacklists et les whitelists les plus communément utilisées sont également analysées afin de faire apparaître un problème de blacklistage.
Par la mise en œuvre du logo et, la vérification d'un domaine, d'une IP ou d'un nom d'hôte fait apparaître si certains éléments sont incohérents ou mal configurés, sans fournir des informations en vrac.
En d'autres termes, par la mise en œuvre du logo, on fournit, dans des modes de réalisation, un service en ligne intégrant des fonctions de type NSLOOKUP, WHOIS, analyse des serveurs DNS, des serveurs de messagerie et des serveurs web, le tout de manière entièrement automatisée pour permettre un examen précis de l'analyse effectuée: domaine, host, IP ou adresse email. Il intègre donc tous les outils utiles à une vérification pointue de la configuration d'un nom de domaine ou d'une adresse IP sur Internet.
En ce qui concerne la détection de présence d'un serveur proxy d'interception (intercepting proxy server), elle peut être effectuée en comparant l'adresse externe du client (client's external IP address) à l'adresse vue par un serveur de la toile externe (external web server) ou, dans certains cas, en examinant les en-têtes HTTP reçues par un serveur. On peut aussi comparer le résultat d'une vérification d'adresse IP lors d'un accès en mode sécurisé (https) comparé à un accès en mode non sécurité (http), car le principal des serveurs proxy d'interception n'interceptent pas la sécurisation (« SSL »). En cas de suspicion d'interception de mode sécurisé SSL, on peut examiner le certificat associé au site de la toile sécurisé, le certificat de racine (« root certificate ») indiquant s'il a été émis dans un but d'interception.
On peut aussi comparer la séquence de noeuds de réseau reporté par un outil tel que traceroute pour un protocole à serveurs proxy, tel que http (port 80) avec celle reporté pour un protocole sans proxy tel que SMTP (port 25).
On peut aussi tenter de se connecter à une adresse IP à laquelle on sait qu'il n'y a pas de serveur. Le serveur proxy accepte la connexion, tente d'accéder à un serveur à l'adresse IP indiquée, avant de retourner un message d'erreur ou de clore la connexion avec le client. Cette différence de comportement avec la connexion directe est aisée à détecter. Par exemple, la majorité des navigateurs internet génèrent une page d'erreur dans le cas où ils ne peuvent se connecter à un serveur http mais génèrent un message d'erreur différent dans le cas où la connexion est acceptée puis close.
Enfin, cette détection de serveur proxy d'interception peut être effectuée en utilisant des applications dédiées qui rappellent leurs serveurs.
Pour plus d'information, l'homme du métier pourra se reporter à :
- "Subversion Dev: Transparent Proxy détection" . Tracetop.sourceforge.net et
- Wessels, Duane (2004). "Squid The Définitive Guide". O'Reilly. p. 130. ISBN 978-0-596-001 62-9.
Chacun de ces documents est incorporé ici par référence.
Dans des modes de réalisation, le logo déterminé au cours de l'étape suivante représente les résultats de tout ou partie de ces analyses car elles constituent des valeurs de paramètre du terminal, de nœuds ou d'autres éléments du réseau se situant entre le terminal et le serveur hébergeant le site auquel l'utilisateur accède.
Au cours d'une étape 142, le terminal utilisateur met en œuvre les données de source de logo pour déterminer le logo à afficher. Préférentiellement, au cours de l'étape 142, le terminal utilisateur met aussi en œuvre les valeurs de paramètres de terminal utilisateur, de nœud ou d'éléments de réseau entre le serveur hébergeant le site et le terminal utilisateur, pour déterminer le logo à afficher.
Au cours d'une étape 144, le terminal utilisateur affiche le logo ainsi déterminé.
Au cours d'une étape 146, l'utilisateur commande la prise de vue d'une image du logo. Par exemple, il met en œuvre un appareil photo connecté ou un smartphone. Dans d'autres modes de réalisation, on utilise une saisie d'écran, sur un ordinateur ou sur un smartphone.
Au cours d'une étape 148, l'image du logo est transmise au serveur de certification.
Au cours d'une étape 150, le serveur de certification reçoit l'image et déchiffre les données que le logo représente.
Au cours d'une étape 152, le serveur de certification vérifie les valeurs de paramètres utilisées pour vérifier qu'il n'y a pas d'incohérence, par exemple horaire ou dans le chemin suivi par les données entre le serveur 124 et le terminal utilisateur. Au cours d'une étape 154, le serveur de certification adresse un message de certification ou de non certification au terminal 1 28.
Au cours d'une étape 156, le terminal 128 affiche si la certification est positive ou négative.
Grâce à la mise en œuvre du procédé objet de la présente invention, on évite à l'utilisateur la visite de sites illégitimes, par exemple auxquels on accède par fishing.
A l'ouverture d'une page d'un site de la toile, on génère un logo de certification dynamique. En prenant une image de ce logo avec un smartphone, on la compare à un logo original, qui permet de certifier le site.
Dans des modes de réalisation, le logo donne accès à une adresse du réseau internet (« URL »). L'utilisateur peut ainsi vérifier le site auquel il accède et, éventuellement, pour la date courante, aux produits autorisés à la vente sur ce site. Eventuellement, le contenu du logo donne accès à une identification de l'ordinateur faisant la requête et/ou au chemin sur internet des données allant du serveur hébergeant le site au terminal utilisateur. On contre ainsi la fraude connue sous le nom de « man in the middle ».
Le logo peut dépendre du chemin, de la date, du produit à vendre et du terminal utilisateur faisant la requête, de telle manière qu'un tiers, en position de « man in the middle » ne puisse connaître le logo reçu par l'utilisateur légitime.

Claims

REVENDICATIONS
1 . Procédé de sécurisation d'accès à un site de la toile, caractérisé en ce qu'il comporte :
- une étape (132) d'accès audit site par un terminal utilisateur,
- une étape (134) de détermination de valeurs de paramètres du serveur hébergeant ledit site, variables entre deux accès audit site, réalisée par le serveur,
- une étape (140) de détermination, par le terminal de l'utilisateur, de valeurs de paramètres du terminal ou de nœuds ou éléments de réseau séparant le serveur et le terminal,
- une étape (142) de formation d'un logo en fonction desdites valeurs de paramètres et
- une étape (144) d'affichage dudit logo sur ledit terminal utilisateur.
2. Procédé selon la revendication 1 , dans lequel l'étape (140) de détermination de valeurs de paramètres de terminal de l'utilisateur, de valeurs de paramètres du terminal ou de nœuds ou éléments de réseau séparant le serveur et le terminal comporte la détermination d'une liste de serveurs traversés par les données entre le serveur et le terminal.
3. Procédé selon l'une des revendications 1 ou 2, dans lequel l'étape (140) de détermination de valeurs de paramètres de terminal de l'utilisateur, de valeurs de paramètres du terminal ou de nœuds ou éléments de réseau séparant le serveur et le terminal comporte la détermination de l'adresse internet protocole du terminal.
4. Procédé selon l'une des revendications 1 à 3, dans lequel l'étape (140) de détermination de valeurs de paramètres de terminal de l'utilisateur, de valeurs de paramètres du terminal ou de nœuds ou éléments de réseau séparant le serveur et le terminal comporte la détermination d'une durée de réponse entre le terminal et le serveur.
5. Procédé selon l'une des revendications 1 à 4, dans lequel l'étape (140) de détermination de valeurs de paramètres de terminal de l'utilisateur, de valeurs de paramètres du terminal ou de nœuds ou éléments de réseau séparant le serveur et le terminal comporte la détermination de données de pays et/ou de contact de propriétaire du nom de domaine du serveur ou de l'adresse internet protocole du serveur hébergeant le site.
6. Procédé selon l'une des revendications 1 à 5, dans lequel l'étape (140) de détermination de valeurs de paramètres de terminal de l'utilisateur, de valeurs de paramètres du terminal ou de nœuds ou éléments de réseau séparant le serveur et le terminal comporte la détermination de données de correspondance entre un nom de domaine et une adresse internet protocole.
7. Procédé selon l'une des revendications 1 à 6, dans lequel l'étape (140) de détermination de valeurs de paramètres de terminal de l'utilisateur, de valeurs de paramètres du terminal ou de nœuds ou éléments de réseau séparant le serveur et le terminal comporte la détermination de données permettant la détection d'un serveur proxy intermédiaire entre le serveur hébergeant le site et le terminal.
8. Procédé selon l'une des revendications 1 à 7, dans lequel, au cours de l'étape (134) de détermination de valeurs de paramètres de serveur, le serveur hébergeant le site détermine au moins l'une des valeurs suivantes :
- un horodatage,
- un numéro de visiteur unique.
9. Procédé selon l'une des revendications 1 à 8, dans lequel, au cours de l'étape (134) de détermination de valeurs de paramètres de serveur, le serveur hébergeant le site effectue un chiffrement des valeurs de paramètres.
10. Procédé selon l'une des revendications 1 à 9, qui comporte une étape (146) de prise de vue d'une image du logo et une étape de transmission de l'image du logo à un serveur de certification.
1 1 . Procédé selon la revendication 10, qui comporte une étape (150) de déchiffrement, par le serveur de certification, des données que le logo représente et une étape de vérification de cohérence des dites données.
12. Procédé selon l'une des revendications 1 à 1 1 , qui comporte une étape d'accès à une adresse du réseau internet par traitement d'une image du logo.
PCT/EP2015/054261 2014-03-03 2015-03-02 Procédé de sécurisation d'accés à un site de la toile WO2015132183A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1451702A FR3018127B1 (fr) 2014-03-03 2014-03-03 Procede de securisation d'acces a un site de la toile
FR1451702 2014-03-03

Publications (1)

Publication Number Publication Date
WO2015132183A1 true WO2015132183A1 (fr) 2015-09-11

Family

ID=50513343

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2015/054261 WO2015132183A1 (fr) 2014-03-03 2015-03-02 Procédé de sécurisation d'accés à un site de la toile

Country Status (2)

Country Link
FR (1) FR3018127B1 (fr)
WO (1) WO2015132183A1 (fr)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3041129B1 (fr) * 2015-09-14 2017-09-01 Advanced Track & Trace Procede d'authentification de site de la toile et de securisation d'acces a un site de la toile

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110219427A1 (en) * 2010-03-04 2011-09-08 RSSBus, Inc. Smart Device User Authentication
EP2421217A1 (fr) * 2010-08-16 2012-02-22 Research In Motion Limited Système de communication fournissant une authentification sans fil pour un accès privé aux données et procédés apparentés
WO2012069845A1 (fr) * 2010-11-25 2012-05-31 Richard H Harris Manipulation d'informations encodées
US20130173915A1 (en) * 2011-12-28 2013-07-04 Pitney Bowes Inc. System and method for secure nework login

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110219427A1 (en) * 2010-03-04 2011-09-08 RSSBus, Inc. Smart Device User Authentication
EP2421217A1 (fr) * 2010-08-16 2012-02-22 Research In Motion Limited Système de communication fournissant une authentification sans fil pour un accès privé aux données et procédés apparentés
WO2012069845A1 (fr) * 2010-11-25 2012-05-31 Richard H Harris Manipulation d'informations encodées
US20130173915A1 (en) * 2011-12-28 2013-07-04 Pitney Bowes Inc. System and method for secure nework login

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
ANONYMOUS: "traceroute - Wikipedia, the free encyclopedia", 26 February 2014 (2014-02-26), pages 1 - 6, XP055185688, Retrieved from the Internet <URL:https://web.archive.org/web/20140226112811/https://en.wikipedia.org/wiki/Traceroute> [retrieved on 20150424] *
SUBVERSION DEV: TRANSPARENT PROXY DETECTION'', Retrieved from the Internet <URL:Tracetop.sourceforge.net>
WESSELS; DUANE: "Squid The Définitive Guide", 2004, pages: 130

Also Published As

Publication number Publication date
FR3018127A1 (fr) 2015-09-04
FR3018127B1 (fr) 2019-03-29

Similar Documents

Publication Publication Date Title
VanderSloot et al. Towards a complete view of the certificate ecosystem
US9703845B2 (en) Representing identity data relationships using graphs
CN107733581B (zh) 基于全网环境下的快速互联网资产特征探测方法及装置
WO2016155373A1 (fr) Procédé et dispositif d&#39;interrogations de sécurité de dns
EP3174241A1 (fr) Méthode d&#39;établissement d&#39;une communication sécurisée de bout en bout entre le terminal d&#39;un utilisateur et un objet connecté
Megias Improved privacy-preserving P2P multimedia distribution based on recombined fingerprints
Hyslip et al. Assessing the capacity of DRDoS-for-hire services in cybercrime markets
CN113676348A (zh) 一种网络通道破解方法、装置、服务器及存储介质
EP2545488A1 (fr) Outil et procédé de collecte de données
US20150163238A1 (en) Systems and methods for testing and managing defensive network devices
WO2015132183A1 (fr) Procédé de sécurisation d&#39;accés à un site de la toile
EP2849404B1 (fr) Procédé de détection d&#39;intrusions non solliciteés dans un reseau d&#39;information, dispositif, produit programme d&#39;ordinateur et moyen de stockage correspondants
Alharbi et al. Domain name system (dns) tunnelling detection using structured occurrence nets (sons)
Jøsang Trust extortion on the internet
Hageman et al. Can a TLS certificate be phishy?
Mgembe et al. Progressive Standard Operating Procedures for Darkweb Forensics Investigation
Platenka et al. Attacks on devices using SSL/TLS
CN110365689B (zh) 端口检测方法、装置及系统
WO2016091898A1 (fr) Procédé de chiffrement dynamique de données, et procédé de contrôle de droits de déchiffrement associé
FR2887049A1 (fr) Procede de protection contre le piratage d&#39;un terminal client utilisant un connexion securisee avec un serveur sur un reseau public
Borgwart et al. Towards Automated Measurements of Internet's Naming Infrastructure
WO2009050407A2 (fr) Procede de communication sur un reseau au moyen d&#39;un serveur mettant en oeuvre un test
Farrell Clusters of Re-used Keys
FR2900523A1 (fr) Identification de noeuds dans un reseau
Ngobeni Tools Used to Develop the Prototype

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 15706838

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 15706838

Country of ref document: EP

Kind code of ref document: A1