WO2018109304A1 - Gestion d'un réseau de communication local par classification d'objets communicants en catégories de confiance, en fonction d'un score de malveillance - Google Patents

Gestion d'un réseau de communication local par classification d'objets communicants en catégories de confiance, en fonction d'un score de malveillance Download PDF

Info

Publication number
WO2018109304A1
WO2018109304A1 PCT/FR2017/053339 FR2017053339W WO2018109304A1 WO 2018109304 A1 WO2018109304 A1 WO 2018109304A1 FR 2017053339 W FR2017053339 W FR 2017053339W WO 2018109304 A1 WO2018109304 A1 WO 2018109304A1
Authority
WO
WIPO (PCT)
Prior art keywords
communicating
local
objects
category
network
Prior art date
Application number
PCT/FR2017/053339
Other languages
English (en)
Inventor
Eric Bouvet
Benoît MEUNIER
Original Assignee
Orange
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange filed Critical Orange
Publication of WO2018109304A1 publication Critical patent/WO2018109304A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Definitions

  • Management of a local communication network by classification of communicating objects into categories of confidence, according to a malicious score.
  • the field of the invention is that of local communication networks, including, but not limited to, home communication networks, comprising an access gateway and a plurality of communicating objects, such as computers, tablets, smartphones ( in English “smartphones”), but also cam-type cameras, weather stations, sensors, thermostats, etc.
  • local communication networks including, but not limited to, home communication networks, comprising an access gateway and a plurality of communicating objects, such as computers, tablets, smartphones ( in English “smartphones”), but also cam-type cameras, weather stations, sensors, thermostats, etc.
  • the invention relates to the management of a security policy within such a local communication network.
  • DHCP Dynamic Host Configuration Protocol
  • the communicating object diffuses on the network a DHCP DISCOVER datagram.
  • a DHCP server present for example in the network access gateway, sends in response to the communicating object a DHCP OFFER offer, if it is able to propose an address on the network to which the object belongs. communicating.
  • a DHCP offer includes the IP address of the server, as well as the IP address and the subnet mask it proposes to the communicating object.
  • the communicating object broadcasts on the network a DHCP request datagram (DHCP REQUEST), which includes the I P address of the server and that which has just been proposed to it. It has the effect, among other things, of asking the DHCP server to assign this address, and possibly sending the values of certain parameters.
  • DHCP REQUEST a DHCP request datagram
  • the DHCP server builds an acknowledgment datagram (DHCP Acknowledge) that assigns the communicating object the IP address and its subnet mask, the lease duration of this address, and possibly other parameters. , including the IP address of the default gateway, and the IP addresses of the DNS servers.
  • DHCP Acknowledge an acknowledgment datagram
  • the DHCP server which is most often integrated into the local network access gateway (the residential gateway in the case of a home network), thus allocates configuration parameters, of the same nature and scope, to all the communicating objects of the network that on request, allowing them to access local network resources and data, and access the global Internet network.
  • one of these communicating objects has one or more security vulnerabilities, likely to allow a malicious individual to enter the local network, for example by installing on the communicating object of a software malware, for the purpose of carrying out malicious activities, such as data theft, or a denial of service attack for example.
  • the invention responds to this need by proposing a method of managing a local communication network comprising a plurality of communicating objects able to be connected to said network and a configuration server for setting access parameters of said communicating objects to said network.
  • such a method comprises:
  • the invention is based on a new and inventive approach to the management of the security of local communication networks, including home networks, which are accessed by multiple communicating objects of various reliability.
  • the invention proposes to set up a surveillance of the data traffic transmitted by the communicating objects present on a local network, whether internally within the network, or to an external communication network of the Internet type to which the Local communication network is connected by an access gateway.
  • Such monitoring may be performed for example by a probe, which may be integrated in a network router, such as the residential gateway in the case of a home network.
  • Such monitoring makes it possible to detect possible doubtful behaviors of the communicating objects, and consequently to assign them a malicious score. Depending on the value of this score, it is then possible to classify the communicating objects in a suitable confidence category.
  • the result of this classification can be stored within the communication network, for example in a network access gateway, in order to be easily accessible to the equipment of the local network.
  • communicating object is meant here and throughout this document, both a physical object capable of communicating digitally on the local network, for data exchange, a software application based on a virtual machine or container, associated with a physical object.
  • the monitoring is capable of detecting at least one malicious activity of one of the communicating objects and / or at least one risk configuration of the communicating object, and the affected local malevolence score is calculated by summation of the amount of malicious intent associated with the malicious activity (s) and / or at-risk configuration (s) detected.
  • a malicious weight can be assigned to each potentially detectable malicious activity, or to each risky configuration. These weights can be set by default for the local network. They can also evolve over time, for example depending on the the frequency of the occurrence of the activity detected, according to a specific parameterization made by the network administrator, or based on information received from an internet access provider.
  • its malicious score is for example initialized to zero. With each new malicious activity or risk configuration detected, this malicious score is incremented by the weight of the activity or configuration detected. As the malicious score increases, it crosses certain thresholds of trust, which switch the communicating object from one trust category to another.
  • the category of trust belongs to a set of at least two categories of trust, comprising:
  • a communicating object can belong to a category of trusted objects, but switch to the category of unreliable objects, as soon as its malicious score reaches a certain level.
  • a communicating object by simple monitoring of the traffic exchanged by a communicating object, it is possible to highlight a malicious behavior, and thus to classify an object communicating a priori of confidence, and perceived as such by the administrator of the network, in a category of objects unreliable communicators. This increases the security of the communication network compared to prior techniques.
  • the set of at least two categories of trust also comprises at least one category of communicating objects which are not sufficiently reliable.
  • Such a category can be likened to a category of communicating objects "in quarantine", which require for example to undergo an update of their embedded software (in English "firmware") to fix a recently detected security flaw or a maintenance operation (eg an update of identification parameters, such as a password).
  • a maintenance operation eg an update of identification parameters, such as a password
  • Such a malicious score is associated with a communicating object and the version of the software that it embeds.
  • An update of this embedded software may result in a reset of the associated malicious score, or a decrement of this score of a predetermined weight, depending on the nature and importance of the update.
  • Such a category of unreliable objects may be associated with an intermediate level malicious score.
  • a communicating object of the class of trusted communicating objects can be classified in the category of insufficiently reliable communicating objects, when the score of associated malice crosses the intermediate threshold associated with the category of unreliable communicating objects.
  • This intermediate malicious score can be reached when it detects that a firmware update or maintenance operation is needed. As soon as the update or maintenance operation is performed, the malicious score can be reset to zero, and the communicating object can re-enter the class of trusted communicating objects.
  • such a method comprises an adaptation of an offer of access to resources of said network by said communicating objects, according to said confidence category in which they are classified.
  • devices belonging to the category of unreliable communicating objects may have restricted access rights over trusted communicating objects, and be partitioned in a subnet, without access to the rest of the communication network.
  • this reduces their nuisance power, and avoids their access to sensitive or protected data (no possibility for the potentially malicious object to "sniff" the local network).
  • equipment belonging to the category of insufficiently reliable communicating objects may for example be denied access to the local communication network until it has made a required update of its embedded software.
  • this update is to correct a security vulnerability detected on one of its communication ports, it is also possible to block this port until the update has been performed.
  • such a method comprises transmitting the local malicious score assigned to one of the communicating objects to a certification server of the communicating object.
  • the classification of the communicating objects into categories of confidence is very important at the level of the local network, in that it makes it possible to increase its security by adapting the access rights of the objects to the resources of the network, according to the trust they have been granted, it is also of significant interest at the global level, for example at the level of an Internet service provider.
  • an activity that is a priori slightly malicious, associated with a relatively low malevolence weight may seem innocuous, in isolation, on a scale of local communication.
  • a network operator, or an Internet access provider receives, at the level of a certification server of communicating objects, information in the form of malicious scores from a multitude of local communication networks, according to which this apparently dangerous malicious activity is in fact frequent and occurs in many local networks, it is able to better assess the risks involved, and to identify this activity as actually dangerous.
  • an embodiment of the present invention also relates to a method of certification of at least one communicating object, able to be connected to local communication networks, via access parameter configuration servers of said object communicating with said local networks.
  • a certification process includes:
  • a transmission to the access parameter configuration servers of a classification request of the communicating object in a trusted category based on a comparison of the global confidence level and a global confidence threshold associated with the category of trust.
  • a communicating object certification server receives, for the same type of communicating objects (for example a tablet of a certain brand, equipped with a certain version of embedded software), a multiplicity malicious scores, from a multiplicity of local networks, all of which reflect a malicious activity detected, it can deduce a level of global confidence to affect this type of communicating object and its firmware version.
  • This level of confidence can be for example simply obtained by summation of the local malicious scores received from the local networks. It can also be calculated by applying a multiplicative coefficient to the sum of the malicious scores, according to the frequency of detection of a malicious activity on this type of communicating object. Other modes of determination are of course also conceivable. In particular, this level of confidence may be inversely proportional to a weighted sum of malicious scores, for example.
  • the intent of this feature is to enable the communicating object certification server to alert access parameter configuration servers (for example, DHCP servers or residential gateways that integrate them) local communication networks that a communicating object must change to a trusted category, at the local network level.
  • access parameter configuration servers for example, DHCP servers or residential gateways that integrate them
  • a communicating object may be classified, at the level of a set of local networks, in the category of trusted communicating objects, because the associated malicious score is relatively low.
  • the global vision available to the operator or the access provider, in charge of this certification server enables him to identify, in view of the frequency of the malicious activities detected on a set of communicating objects of a same type and the same firmware version, that there is a security risk, on all these objects. It then sends information to the access parameter configuration servers of this set of local networks, to request the classification of this object in the category of unreliable objects.
  • An embodiment of the present invention also relates to a computer program product comprising program code instructions for implementing a method of managing a local communication network, or a method of certifying a program. communicating objects, as described above, when executed by a processor.
  • An embodiment of the present invention is also directed to a computer-readable recording medium on which a computer program including program code instructions for executing the steps of the method of managing a network of computers is recorded.
  • a computer program including program code instructions for executing the steps of the method of managing a network of computers is recorded.
  • Such a recording medium may be any entity or device capable of storing the program.
  • the medium may include storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or a magnetic recording means, for example a USB key or a hard disk.
  • such a recording medium may be a transmissible medium such as an electrical or optical signal, which may be conveyed via an electrical or optical cable, by radio or by other means, so that the program computer that it contains is executable remotely.
  • the program according to the invention can in particular be downloaded to a network, for example the Internet network.
  • the recording medium may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the aforementioned display control method.
  • the invention also relates to an access parameter configuration server of an object communicating with a local communication network, and a communication network access gateway having in combination all or some of the features exhibited in the set. of this document in relation to the method of managing a local communication network.
  • such a configuration server comprises a processor adapted to implement the method described above, and the access gateway, for example a residential gateway type Liveboxes ®, integrates an access parameter configuration server of a communicating object to a local communication network, for example a DHCP server.
  • the access gateway for example a residential gateway type Liveboxes ®, integrates an access parameter configuration server of a communicating object to a local communication network, for example a DHCP server.
  • the access parameter configuration server of an object communicating with a local communication network, the access gateway and the corresponding computer program mentioned above have at least the same advantages as those conferred by the management method of a local communication network according to the present invention.
  • the invention also relates to a certification server of at least one communicating object having in combination all or some of the features exhibited throughout this document in relation to the certification process of communicating objects described above.
  • a certification server includes a processor capable of implementing the method of certification of communicating objects described above.
  • FIG. 1 shows a schematic view of a local communication network and the various communicating objects connected to it, according to one embodiment of the invention
  • FIG. 2 presents in logic diagram form the various steps of the management method according to one embodiment of the invention
  • Figure 3 provides a block diagram of a DHCP server or an access gateway implementing the method of Figure 2;
  • FIG. 4 shows in logic diagram form the various steps of the method of certification of communicating objects according to one embodiment of the invention
  • FIG. 5 provides a block diagram of a communicating object certification server implementing the method of FIG. 4.
  • the general principle of the invention is based on the classification, into different categories of confidence, of the communicating objects that can be connected in a local communication network, according to a malicious score that is assigned to them, resulting from a monitoring the data they exchange on the network.
  • a residential gateway HGW referenced 10 makes it possible to connect a local communication network and a wide area network such as the Internet network (not shown).
  • a residential gateway HGW 10 integrates a DHCP server: it performs the routing of data packets on the network, and can also act as a firewall, proxy, relay DNS (for the English "Domain Name Server” ), the Internet Gateway Device (IGD) service provider, an Internet gateway device ...
  • DNS for the English "Domain Name Server”
  • IGD Internet Gateway Device
  • the DHCP server can of course also be dissociated from the residential gateway HGW 10, in another embodiment.
  • These communicating objects can be connected to the network by wire (Ethernet cable, USB (Universal Serial Bus) Certainly or wireless (Wi-Fi ® , Bluetooth ® , ZigBee). They include all types of physical objects, able to communicate digitally on the network local, with a view to exchanging data. They also include software applications associated with certain objects connected non-IP ( "Internet Protocol"), running on wireless technologies such as BLE (fo r "Bluetooth ® Low Energy”), Z-Wave ®, ® Thread, etc.
  • Such communicating objects most often requires the installation of a management application on an access gateway to the local communication network.
  • Such an application relies on a virtual machine, or container, to which the access parameter configuration server (DHCP server) provides an IP address.
  • DHCP server access parameter configuration server
  • Such communicating objects that are not naturally compatible with the IP protocol require the implementation of a loT gateway to IP and / or the "6LowPan" protocol.
  • communicating object refers to both the physical objects connected to the network and the “virtualized” software applications associated with some of these objects.
  • Such communicating objects may be designated by the acronym loT, for the English “Internet of Things”, in French “Internet of Things”.
  • the smartphone 11 and the tablet 14 were provided to the user by an Internet Service Provider (ISP), which also provided the user with the equipment. network termination that constitutes the residential gateway HGW 10.
  • ISP Internet Service Provider
  • the access provider knows the equipment 11, 14, and can guarantee its reliability.
  • other communicating objects such as the webcam 16 or the weather station 15 may come from other sources and from other sources: the access provider has a priori no control over the existence of potential security breaches on these communicating objects, nor on the possibility of updating the software they ship (“firmware"), in case of detection of a possible security breach.
  • one embodiment of the invention is based on the logic diagram of FIG.
  • a communicating object loT 21 (for example the laptop 12 of FIG. 1), present on the home network, does not have an IP address, but wishes to access the resources of the network, or the Internet network. According to the known mechanism associated with the DHCP dynamic host configuration protocol, it then sends a DHCP request 23 to the DHCP servers present on the local network. In the example of the network of FIG. 1, a single DHCP server is present on the local network, for example integrated in the residential gateway HGW 10.
  • DHCP pack 2 1 IP address assignment datagram which assigns the client 21 the IP address and its subnet mask, the lease duration of this address, and possibly other parameters, such as the IP address of the gateway 10, and the IP addresses of the DNS servers (for "Domain Name Server").
  • IP TRU sT IP TRU sT
  • IP TRU sT IP TRU sT
  • this classification in the category of trusted communicating objects results from an authentication of the communicating object 21 to the DHCP server, for example by means of the certificate C.
  • the DHCP request 23 and response 2 1 exchanges in fact comprise the following steps, not shown in FIG. 2, for the sake of simplification:
  • the communicating object loT 21 sends in broadcast mode a DHCP DISCOVER datagram which is addressed to the DHCP servers present on the local network.
  • This datagram notably includes the physical address (MAC for Media Access Control) of ⁇ 21;
  • the DHCP server integrated into the gateway HGW 10 then sends a DHCP offer
  • DHCP OFFER DHCP OFFER
  • This offer includes the IP address of the server 10, as well as the IP address and the subnet mask that it proposes to the IoT 21. It also includes a challenge, for example in the form of a single string random, that the communicating object 21 will have to sign by means of a private key certification K PR , if he has such a key.
  • a challenge is for example inserted by the server 10 into an option field of the DHCP protocol;
  • the communicating object loT 21 upon receipt, if the communicating object loT 21 has a private key K PR certification, it broadcasts on the network a DHCP request datagram ⁇ DHCP REQUEST), to which he added a flag (in English "flag") of acceptance of the challenge.
  • This datagram includes the IP address of the server 10 and that which has just been proposed to the communicating object loT 21. It has the effect of asking the server 10, the assignment of this address and the possible sending of the values of certain parameters;
  • the communicating object loT 21 then sends the server 10 the resolution of the challenge that has been addressed to it. This resolution corresponds to the received random string signed by ⁇ 21 by means of the private key K PR ;
  • the server 10 verifies this signature by means of the public key K PU , associated with the communicating object loT 21, and with the version of the software that it embeds.
  • This public key K PU is for example stored in the residential gateway HGW 10, in association with an identifier of the communicating object loT 21, and an identifier of a firmware version;
  • DHCP PACK IP TRUST
  • IP TRUST acknowledgment datagram 2 1
  • IP TRUST IP TRUST
  • IP TRUST IP TRUST
  • the IP address indicated in datagram 2 1 corresponds to an IP address of the subnet of trusted communicating objects, which offers them extensive rights and access to local network resources.
  • the authentication of the communicating object 21 fails, and the communicating object is not then classified in the category of communicating objects of but in another category, such as for example the category of unreliable or insufficiently reliable objects or ...
  • a probe S referenced 22 monitors the various traffic within the network of FIG. 1, both from the inside of the local network to the external network located beyond the residential gateway HGW 10, and internally within this network. local, for example between communicating objects.
  • Such a probe S 22 is for example integrated in a router of the network, for example example, within the HGW residential gateway 10. For effective monitoring, it is desirable that the probe S 22 be present on each physical interface of the residential gateway HGW 10 ( ⁇ 0, ETH1, Wi-Fi-AP0, etc.).
  • the probe can be disposed at any other point in the network, as long as it can intercept any traffic within the network, and exchange with the DHCP configuration server.
  • Such an S probe 22 thus monitors the data exchanged by the communicating object 21, and includes several mechanisms for detecting malicious activities, among which:
  • ARP Address Resolution Protocol
  • SYN flood computer attack to achieve a denial of service, which applies in the context of the TCP protocol and consists of sending a succession of SYN requests (for "Synchronize") to the target;
  • SYN / ACK port scanning by SYN / ACK (portsentry), which is about sending forged IP packets to find open ports on the scan target without opening a full TCP session;
  • WEB service attack detection consisting of sniffing http requests in order to detect an attack on the authentication ("bruteforce") or the injection of automated commands (CRLF for "Carriage Return Line Feed", carriage return jump line) ; SSH Login Attempt detection (for Secure Shell), in order to detect too fast connection attempts that could mean a bruteforce attack (trying to try all possible passwords one by one);
  • the probe S 22 increments 27 a malicious score SC
  • the malicious score is initialized to zero: SC
  • OT, c 0.
  • Each malicious activity, or each risk configuration of the communicating object 21 is assigned a malicious weight.
  • This weight can be proposed as the default configuration by the internet access provider, and stored in the S 22 probe or in the HGW 10 residential gateway. It can also be updated or adapted to the particularities of the local network and objects. who are connected to it by the administrator of that network. As will be seen later, these weights can also be modified by the ISP or the operator, based on global data for malicious activities collected in a plurality of local area networks.
  • the probe S 22 detects, for example, during the step referenced 25, the communicating object loT 21 has a risk configuration, because its user has maintained his configuration parameters (access identifier and password). pass) by default and failed to customize them, it assigns him a malicious score, eg SC
  • OT C 10.
  • this default configuration may constitute a security breach, in that a malicious individual can easily connect to the communicating object loT 21 to take control.
  • the communicating object loT 21 attempts to access URLs (for the English "Uniform Resource Locator", in French “uniform locator” of resource ”) internet classified as malicious, it assigns him a malicious score, eg SC
  • OT, c 50, if this activity is considered potentially more dangerous than the risk configuration mentioned above.
  • the probe S 22 can send the communicating object loT 21 an audit request AUDIT REQ. 26, to check the version of the on-board software on the communicating object loT 21, and if necessary to propose a firmware update or maintenance operation (modification of login / password in the example) above).
  • the probe S22 If the probe S22 first detects a risk configuration of the communicating object loT 21, which passes its malicious score to SC
  • OT C 10, then an attempt to access malicious URLs, associated with a malicious weight of 50, it increments the SC malicious score
  • the probe S 22 compares the local malicious score assigned to the communicating object loT 21 to one or more local confidence thresholds TH, during a step referenced 28.
  • This information can take the form of a request for revocation of the certificate C (REQ. (loT, C)) associated with the communicating object 21 and the version of its embedded software, which will for example be involved during the next lease renewal DHCP.
  • the home gateway HGW 10 Upon receipt, the home gateway HGW 10 updates the previously stored trusted class classification data for the communicating object loT 21 to record its failover into the category of unreliable communicating objects.
  • the DHCP server of the residential gateway HGW 10 assigns the client 21 a new IP address in a datagram 24 2 (DHCP PACK (IP) UNTRUS T.)), which this time corresponds to an IP address of the subnet of unreliable communicating objects, which offers the latter restricted access rights to the resources of the local network. For example, access is limited to the WAN, without the possibility of accessing the internal resources of the local network, and other communicating objects of the local network.
  • the revocation request 29 can force without delay the renewal of the DHCP lease of the communicating object 21, to switch it more quickly into the category of unreliable communicating objects, without waiting for the natural expiration of the renewal request.
  • DHCP lease can force without delay the renewal of the DHCP lease of the communicating object 21, to switch it more quickly into the category of unreliable communicating objects, without waiting for the natural expiration of the renewal request.
  • the security of the local network is increased, thanks to the detection, by the probe S 22, of potentially malicious activities of the communicating objects 21, to the classification that results from these communicating objects in categories of confidence, and to the control of consequent network access for these objects 21.
  • the DHCP server and the residential gateway HGW 10 operate the following access restrictions for the communicating objects of the category of unreliable objects:
  • UPnP-IGD for "Universal Plug and Play - Internet Gateway Device”
  • the malicious scores of communicating objects loT 21 can be reset to zero, for example after updating their embedded software, or after a successful authentication phase with the DHCP server (as described above at variant of steps 23 and 2 1 of Figure 2).
  • a residential gateway HGW 10 according to one embodiment of the invention is presented, in which the DHCP server and the probe S 22 are both integrated in the gateway.
  • probe may correspond to a software component as well as a hardware component or a set of hardware and software components, a software component corresponding to one or more computer programs or subprograms, or more generally any element of a program that is capable of implementing a function or set of functions.
  • such a residential gateway HGW comprises a random access memory 33 (for example a RAM memory), a processing unit 32 equipped for example with a processor, and controlled by a computer program, representative of the surveillance probe S 22, stored in a read-only memory 31 (for example a ROM or a hard disk).
  • a computer program representative of the surveillance probe S 22, stored in a read-only memory 31 (for example a ROM or a hard disk).
  • the code instructions of the computer program are for example loaded into the random access memory 33 before being executed by the processor of the processing unit 32.
  • the random access memory 33 notably contains a memory storage table malicious scores assigned to different communicating objects 21 of the local network, as well as the category of trust in which they are classified.
  • the processor of the processing unit 32 controls a malicious score calculator, a comparator of these scores at the local confidence thresholds associated with the different categories of trust, as well as the generation of certificate revocation requests to the DHCP server according to the flow chart of Figure 2.
  • FIG. 3 only illustrates one of several possible ways of realizing the residential gateway HGW, in order to carry out the steps of the method detailed above, in connection with FIG. 2 (in any one of the various modes of realization, or in a combination of these embodiments). Indeed, these steps can be carried out indifferently on a reprogrammable calculation machine (a PC computer, a DSP processor or a microcontroller) executing a program comprising a sequence of instructions, or on a dedicated computing machine (for example a set of logical gates such as an FPGA or an ASIC, or any other hardware module).
  • a reprogrammable calculation machine a PC computer, a DSP processor or a microcontroller
  • a program comprising a sequence of instructions
  • a dedicated computing machine for example a set of logical gates such as an FPGA or an ASIC, or any other hardware module.
  • the corresponding program (that is to say the sequence of instructions) can be stored in a removable storage medium (such as for example a floppy disk , a CD-ROM or a DVD-ROM) or not, this storage medium being readable partially or totally by a computer or a processor.
  • a removable storage medium such as for example a floppy disk , a CD-ROM or a DVD-ROM
  • FIGS. 4 and 5 An embodiment of the method and the communicating object certification server according to the present invention is now presented in relation with FIGS. 4 and 5.
  • the result of this local classification can be advantageously transmitted to a communicating object certification server, managed for example by the operator or the access provider to the WAN to which the local network is connected via the HGW gateway 10.
  • Each of these local networks 40 ⁇ to 40 3 implements the management method described above in relation with FIG. the flow chart of Figure 2, and calculates the malicious scores of communicating objects 21 connected to it, based on a monitoring of the data they exchange.
  • the certification server receives, from different local networks 0 1 to 40 3 , local malicious scores of a communicating object loT 21, associated with a certificate C [RX (SC lo C )).
  • the certification server can determine, for this communicating object 21 endowed with a certificate C (for example the webcam 16, equipped with the embedded software version 4.3), a level of confidence global N IV
  • This global confidence level IVI O TC 42 can for example be calculated as the inverse of the sum of the local malicious scores received from the different local networks 40 ⁇ to 40 3 , or the inverse of a weighted summation, or again by applying to this sum a multiplicative coefficient proportional to the number of local communication networks having raised a score of nonzero malignancy for this object.
  • an activity that is a priori slightly malicious, and therefore associated with a relatively low malicious weight, can be dangerous if it is repeated frequently in a plurality of local networks.
  • the certification server compares the global trust level NIV
  • the certification server does not undertake any action. It continues to process the malicious scores received from the different local networks, and to update the global confidence level NIVI O TC 42 of the communicating object 21.
  • the certification server transmits (step referenced 44) to the residential gateways HGW 10 of the different local networks 0 1 at 40 3 a request for classification of the communicating object loT 21 in the category of unreliable (or insufficiently reliable) communicating objects, according to the overall level of confidence of this object).
  • Such a request 44 may consist of a request for revocation of the certificate C associated with the communicating object 21, similar to the request EQ (loT, C) transmitted by the probe S 22 to the gateway during the step referenced 29 of Figure 2.
  • the residential gateway HGW 10 1 to 10 3 of each of the local networks 0 1 to 40 3 updates the classification data in confidence category previously stored for the communicating object loT 21, to record the changeover of the latter in the category of unreliable communicating objects.
  • the DHCP server of the residential gateway HGW 10 1 to 10 3 assigns the client 21 a new IP address (DHCP PACK (IP UNTRUS T.)), which corresponds an IP address of the subnet of unreliable communicating objects, which provides them with restricted access rights to the LAN resources.
  • DHCP PACK IP UNTRUS T.
  • Such a request 44 for switching a communicating object into the category of unreliable communicating objects is preferably sent by the certification server to all the local networks with which it is in communication, including those that would not have done so. go back to the certification server a score of non-zero malice for the communicating object considered.
  • the certification server if no suspicious malicious activity has yet been detected for a communicating object within a local network, but the global vision of the operator activities of this type of object, in its firmware version , allows it to determine that it is potentially dangerous, it also informs this local network, so that it can guard against a possible security breach, even before its actual occurrence.
  • the security of the local network is thus greatly increased, thanks to the pooling of surveillance information of the object in all the local networks.
  • FIG. 5 illustrates an example of a hardware structure of a communicating object certification server 50 according to one embodiment of the invention.
  • Such a certification server 50 comprises a random access memory 53 (for example a RAM memory), a processing unit 52 equipped for example with a processor, and driven by a computer program, stored in a read-only memory 51 (for example a ROM or a hard disk).
  • a random access memory 53 for example a RAM memory
  • a processing unit 52 equipped for example with a processor
  • a computer program stored in a read-only memory 51 (for example a ROM or a hard disk).
  • the code instructions of the computer program are for example loaded into the random access memory 53 before being executed by the processor of the processing unit 52.
  • the random access memory 53 notably contains a memory storage table global confidence levels assigned to the different communicating objects 21 according to local malicious scores received from the different local communication networks.
  • the processor of the processing unit 52 controls the global confidence level calculator, the comparator of these levels with the global confidence thresholds associated with the different categories of trust, as well as the generation of certificate revocation requests to the residential gateways of the different local area networks in accordance with the flowchart in Figure 4.
  • FIG. 5 illustrates only one particular way, among several possible, to realize the certification server 50, so that it performs the steps of the method detailed above, in connection with FIG. 4 (in any one of the various modes embodiment, or in a combination of these embodiments). Indeed, these steps can be performed indifferently on a reprogrammable calculation machine (a PC computer, a DSP processor or a microcontroller) executing a program comprising a sequence of instructions, or on a dedicated computing machine (for example a set of logical gates such as an FPGA or an ASIC, or any other hardware module).
  • a reprogrammable calculation machine a PC computer, a DSP processor or a microcontroller
  • a program comprising a sequence of instructions
  • a dedicated computing machine for example a set of logical gates such as an FPGA or an ASIC, or any other hardware module.
  • the corresponding program (that is to say the sequence of instructions) can be stored in a removable storage medium (such as for example a floppy disk, a CD-ROM or a DVD-ROM) or not, this storage medium being readable partially or completely by a computer or a processor.
  • a removable storage medium such as for example a floppy disk, a CD-ROM or a DVD-ROM

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

L'invention concerne un procédé de gestion d'un réseau de communication local (401-403) comprenant une pluralité d'objets communicants (11-17; 21) aptes à être connectés au réseau et un serveur de configuration de paramètres d'accès des objets communicants au réseau. Un tel procédé comprend : une surveillance (25) de données émises par les objets communicants; une affectation (27) d'un score de malveillance local aux objets communicants en fonction d'un résultat de la surveillance; une classification des objets communicants dans une catégorie de confiance, en fonction d'une comparaison (28) du score de malveillance local et d'un seuil de confiance local associé à la catégorie de confiance.

Description

Gestion d'un réseau de communication local par classification d'objets communicants en catégories de confiance, en fonction d'un score de malveillance.
1. Domaine de l'invention
Le domaine de l'invention est celui des réseaux de communication locaux, notamment, mais non exclusivement, des réseaux de communication domestiques, comprenant une passerelle d'accès et une pluralité d'objets communicants, tels que des ordinateurs, tablettes, téléphones intelligents (en anglais « smartphones »), mais également des caméras de type webcams, des stations météo, des capteurs, des thermostats, etc.
Plus précisément, l'invention concerne la gestion d'une politique de sécurité au sein d'un tel réseau de communication local.
2. Art antérieur et ses inconvénients
Actuellement, lorsqu'un objet communicant est connecté dans un réseau de communication, et souhaite échanger des données sur ce réseau, il lui est nécessaire d'obtenir certains paramètres de configuration, et notamment une adresse I P (pour l'anglais « Internet Protocol »). Le protocole de configuration automatique le plus couramment utilisé pour ce faire est le protocole DHCP (pour l'anglais « Dynamic Host Configuration Protocol », protocole de configuration dynamique des hôtes).
Classiquement, l'objet communicant diffuse sur le réseau un datagramme DHCP DISCOVER. A réception, un serveur DHCP, présent par exemple dans la passerelle d'accès au réseau, envoie en réponse à l'objet communicant une offre DHCP OFFER, s'il est en mesure de proposer une adresse sur le réseau auquel appartient l'objet communicant. Une telle offre DHCP comporte l'adresse IP du serveur, ainsi que l'adresse I P et le masque de sous-réseau qu'il propose à l'objet communicant.
S'il retient cette offre, l'objet communicant diffuse sur le réseau un datagramme de requête DHCP (DHCP REQUEST), qui comporte l'adresse I P du serveur et celle qui vient de lui être proposée. Elle a pour effet, notamment, de demander au serveur DHCP l'assignation de cette adresse, et l'envoi éventuel des valeurs de certains paramètres.
Le serveur DHCP élabore un datagramme d'accusé de réception (DHCP ACK pour acknowledgement) qui assigne à l'objet communicant l'adresse I P et son masque de sous-réseau, la durée du bail de cette adresse, et éventuellement d'autres paramètres, parmi lesquels l'adresse IP de la passerelle par défaut, et les adresses I P des serveurs DNS.
Le serveur DHCP, qui est le plus souvent intégré dans la passerelle d'accès au réseau local (la passerelle résidentielle dans le cas d'un réseau domestique), alloue ainsi des paramètres de configuration, de même nature et de même portée, à tous les objets communicants du réseau qui en font la demande, leur permettant, d'une part, d'accéder aux ressources et données du réseau local, et d'autre part, d'accéder au réseau mondial Internet.
Si ceci posait peu de problèmes à la genèse des réseaux locaux, lorsque seuls un ou deux ordinateurs personnels de type PC étaient présents sur le réseau, la multiplication du nombre d'objets communicants, de tous types, et de toutes provenances, pose à cette approche des problèmes de sécurité.
En effet, le risque est accru que l'un de ces objets communicants présente une ou plusieurs failles de sécurité, susceptibles de permettre à un individu malveillant de pénétrer sur le réseau local, par exemple par installation sur l'objet communicant d'un logiciel malveillant (en anglais « malware »), en vue d'y opérer des activités malveillantes, telles que du vol de données, ou une attaque de déni de service par exemple.
L'ajout par un utilisateur d'un objet communicant sur un réseau de communication local, qu'il soit connecté en mode filaire par un câble Ethernet®, ou sans fil sur un réseau de type Wi-Fi en mode WPA2 (pour « Wi-Fi Protected Access 2 »), garantit, en règle générale, que cet objet communicant a été volontairement connecté par l'administrateur du réseau.
Cependant, cet administrateur ou utilisateur peut ne pas avoir connaissance de l'existence de failles de sécurité sur cet objet communicant, et ce d'autant plus que ces failles de sécurité sont associées à une version donnée de logiciel embarqué sur l'objet communicant. Ainsi, un objet a priori fiable peut cesser de l'être, suite à une mise à jour de son firmware (pour l'anglais « logiciel embarqué »), sans que l'utilisateur ne s'en rende compte.
Il existe donc un besoin d'une technique de gestion des réseaux de communication locaux qui ne présente pas ces inconvénients de l'art antérieur, et permettre d'accroître leur sécurité vis- à-vis d'objets communicants susceptibles de présenter une faille de sécurité.
3. Exposé de l'invention
L'invention répond à ce besoin en proposant un procédé de gestion d'un réseau de communication local comprenant une pluralité d'objets communicants aptes à être connectés audit réseau et un serveur de configuration de paramètres d'accès desdits objets communicants audit réseau.
Selon l'invention, un tel procédé comprend :
une surveillance de données émises par lesdits objets communicants ;
une affectation d'un score de malveillance local auxdits objets communicants en fonction d'un résultat de ladite surveillance ;
une classification desdits objets communicants dans une catégorie de confiance, en fonction d'une comparaison dudit score de malveillance local et d'un seuil de confiance local associé à ladite catégorie de confiance. Ainsi, l'invention repose sur une approche nouvelle et inventive de la gestion de la sécurité des réseaux de communication locaux, et notamment des réseaux domestiques, auxquels accèdent de multiples objets communicants de fiabilités diverses.
En effet, l'invention propose de mettre en place une surveillance du trafic de données émis par les objets communicants présents sur un réseau local, que ce soit en interne au sein du réseau, ou vers un réseau de communication externe de type Internet auquel le réseau de communication local est relié par une passerelle d'accès. Une telle surveillance peut être effectuée par exemple par une sonde, qui peut être intégrée dans un routeur du réseau, tel que la passerelle résidentielle dans le cas d'un réseau domestique.
Une telle surveillance permet de détecter d'éventuels comportements douteux des objets communicants, et de leur affecter en conséquence un score de malveillance. En fonction de la valeur de ce score, il est alors possible de classer les objets communicants dans une catégorie de confiance adaptée. Le résultat de ce classement peut être mémorisé au sein du réseau de communication, par exemple dans une passerelle d'accès au réseau, afin d'être aisément accessible aux équipements du réseau local. Ainsi, par mise en place d'une simple surveillance des données échangées, il est possible de vérifier si l'objet communicant connecté au réseau est fiable, et ainsi d'accroître la sécurité du réseau.
Par objet communicant, on entend ici, et dans l'ensemble de ce document, aussi bien un objet physique apte à communiquer numériquement sur le réseau local, en vue d'un échange de données, qu'une application logicielle s'appuyant sur une machine virtuelle ou un container, associée à un objet physique.
Selon un mode de réalisation, la surveillance est apte à détecter au moins une activité malveillante d'un des objets communicants et/ou au moins une configuration à risque de l'objet communicant, et le score de malveillance local affecté est calculé par sommation de poids de malveillance associés à la ou les activité(s) malveillante(s) et/ou à la ou les configuration(s) à risque détectées.
Ainsi, pour accroître la sécurité du réseau local, on cherche à surveiller non seulement les activités malveillantes des objets communicants, mais aussi les potentielles failles de sécurité de ces objets, telles que des configurations de ces objets susceptibles de les rendre vulnérables à des attaques (par exemple, une absence de personnalisation de données d'identification telles que le login (identifiant d'ouverture de session) et le mot de passe, qui seraient maintenues dans leur configuration par défaut).
Un poids de malveillance peut être affecté à chaque activité malveillante potentiellement détectable, ou à chaque configuration à risque. Ces poids peuvent être paramétrés par défaut pour le réseau local. Ils peuvent aussi évoluer au cours du temps, par exemple en fonction de la fréquence de l'occurrence de l'activité détectée, en fonction d'un paramétrage spécifique réalisé par l'administrateur du réseau, ou encore en fonction d'informations reçues d'un fournisseur d'accès internet.
A la première connexion d'un objet communicant dans le réseau local, son score de malveillance est par exemple initialisé à zéro. A chaque nouvelle activité malveillante ou configuration à risque détectée, ce score de malveillance est incrémenté du poids de l'activité ou de la configuration détectée. Au fur et à mesure de l'augmentation de ce score de malveillance, il franchit certains seuils de confiance, qui font basculer l'objet communicant d'une catégorie de confiance à une autre.
En effet, selon un mode de réalisation, la catégorie de confiance appartient à un ensemble d'au moins deux catégories de confiance, comprenant :
une catégorie d'objets communicants de confiance ;
une catégorie d'objets communicants non fiables.
Par exemple, un objet communicant peut appartenir à une catégorie d'objets de confiance, mais basculer dans la catégorie des objets non fiables, dès que son score de malveillance atteint un certain niveau. Ainsi, par simple surveillance du trafic échangé par un objet communicant, on peut mettre en évidence un comportement malveillant, et ainsi classer un objet communicant a priori de confiance, et perçu comme tel par l'administrateur du réseau, dans une catégorie d'objets communicants non fiables. On accroît ainsi la sécurité du réseau de communication par rapport aux techniques antérieures.
Selon un mode de réalisation, l'ensemble d'au moins deux catégories de confiance comprend également au moins une catégorie d'objets communicants insuffisamment fiables.
Une telle catégorie peut être assimilée à une catégorie d'objets communicants « en quarantaine », qui nécessitent par exemple de subir une mise à jour de leur logiciel embarqué (en anglais « firmware ») pour y corriger une faille de sécurité récemment détectée ou une opération de maintenance (par exemple une mise à jour des paramètres d'identification, tels qu'un mot de passe).
En effet, un tel score de malveillance est associé à un objet communicant et à la version du logiciel qu'il embarque. Une mise à jour de ce logiciel embarqué peut entraîner une remise à zéro du score de malveillance associé, ou une décrémentation de ce score d'un poids prédéterminé, en fonction de la nature et de l'importance de la mise à jour.
Une telle catégorie d'objets insuffisamment fiables peut être associée à un score de malveillance de niveau intermédiaire.
Ainsi, un objet communicant de la catégorie des objets communicants de confiance peut être classé dans la catégorie des objets communicants insuffisamment fiables, lorsque le score de malveillance qui lui est associé franchit le seuil intermédiaire associé à la catégorie des objets communicants insuffisamment fiables. Ce score de malveillance intermédiaire peut être atteint lorsqu'on détecte qu'une mise à jour du firmware ou une opération de maintenance est nécessaire. Dès que la mise à jour ou l'opération de maintenance est effectuée, le score de malveillance peut être réinitialisé à zéro, et l'objet communicant peut réintégrer la catégorie des objets communicants de confiance.
Selon un mode de réalisation, un tel procédé comprend une adaptation d'une offre d'accès à des ressources dudit réseau par lesdits objets communicants, en fonction de ladite catégorie de confiance dans laquelle ils sont classés.
Il est ainsi possible d'allouer des droits d'accès différents aux objets communicants, en fonction de la catégorie de confiance à laquelle ils appartiennent. Notamment, il est possible de mettre en place plusieurs sous-réseaux, présentant des politiques de sécurité différentes, au sein du réseau de communication local.
Par exemple, les équipements appartenant à la catégorie des objets communicants non fiables peuvent avoir des droits d'accès restreints par rapport aux objets communicants de confiance, et être cloisonnés dans un sous-réseau, sans possibilité d'accéder au reste du réseau de communication local : on réduit ainsi leur pouvoir de nuisance, et on évite leur accès à des données sensibles ou protégées (pas de possibilité pour l'objet potentiellement malveillant de « sniffer » le réseau local).
De même, un équipement appartenant à la catégorie des objets communicants insuffisamment fiables peut par exemple se voir refuser tout droit d'accès au réseau de communication local tant qu'il n'a pas procédé à une mise à jour requise de son logiciel embarqué. En variante, si cette mise à jour doit viser à corriger une faille de sécurité détectée sur l'un de ses ports de communication, il est aussi possible de bloquer ce port jusqu'à ce que la mise à jour ait été effectuée.
Selon un mode de réalisation, un tel procédé comprend une transmission du score de malveillance local affecté à un des objets communicants à un serveur de certification de l'objet communicant.
En effet, si la classification des objets communicants en catégories de confiance est très importante au niveau du réseau local, en ce qu'elle permet d'en accroître la sécurité en adaptant les droits d'accès des objets aux ressources du réseau, en fonction de la confiance qui leur est accordée, elle présente également un intérêt important au niveau global, à l'échelle d'un fournisseur d'accès internet par exemple.
Ainsi, une activité a priori peu malveillante, associée à un poids de malveillance relativement faible, peu sembler anodine, de façon isolée, à l'échelle d'un réseau de communication local. En revanche, lorsqu'un opérateur de réseau, ou un fournisseur d'accès internet, reçoit, au niveau d'un serveur de certification d'objets communicants, une information, sous la forme de scores de malveillance en provenance d'une multitude de réseaux de communication locaux, selon laquelle cette activité malveillante a priori peu dangereuse est en fait fréquente et se produit dans de nombreux réseaux locaux, il est en mesure de mieux évaluer les risques encourus, et d'identifier cette activité comme effectivement dangereuse.
Ainsi, en corollaire de ce procédé de gestion d'un réseau de communication local, un mode de réalisation de la présente invention concerne également un procédé de certification d'au moins un objet communicant, apte à être connecté à des réseaux de communication locaux, par l'intermédiaire de serveurs de configuration de paramètres d'accès dudit objet communicant auxdits réseaux locaux. Un tel procédé de certification comprend :
une réception, en provenance d'au moins un des réseaux de communication locaux, d'au moins un score de malveillance local affecté à l'objet communicant au niveau du ou des réseau(s) local(aux) ;
une affectation d'un niveau de confiance global à l'objet communicant en fonction du ou des score(s) de malveillance local(aux) reçu(s) ;
une transmission aux serveurs de configuration de paramètres d'accès d'une requête de classification de l'objet communicant dans une catégorie de confiance, en fonction d'une comparaison du niveau de confiance global et d'un seuil de confiance global associé à la catégorie de confiance.
En d'autres termes, lorsqu'un serveur de certification d'objets communicants reçoit, pour un même type d'objets communicants (par exemple une tablette d'une certaine marque, équipée d'une certaine version de logiciel embarqué), une multiplicité de scores de malveillance, en provenance d'une multiplicité de réseaux locaux, qui reflètent tous une activité malveillante détectée, il peut en déduire un niveau de confiance global à affecter à ce type d'objet communicant et sa version de firmware. Ce niveau de confiance peut être par exemple simplement obtenu par sommation des scores de malveillance locaux reçus en provenance des réseaux locaux. Il peut également être calculé en appliquant un coefficient multiplicatif à la somme des scores de malveillance, en fonction de la fréquence de détection d'une activité malveillante sur ce type d'objet communicant. D'autres modes de détermination sont bien sûr également envisageables. Notamment ce niveau de confiance peut être inversement proportionnel à une somme pondérée des scores de malveillance par exemple.
Quelle que soit la méthode employée pour déterminer ce niveau de confiance global, l'esprit de cette caractéristique est de permettre au serveur de certification d'objets communicants d'alerter les serveurs de configuration de paramètres d'accès (par exemple, les serveurs DHCP ou les passerelles résidentielles qui les intègrent) des réseaux de communication locaux qu'un objet communicant doit changer de catégorie de confiance, au niveau du réseau local.
Par exemple, un objet communicant peut être classé, au niveau d'un ensemble de réseaux locaux, dans la catégorie des objets communicants de confiance, car le score de malveillance qui lui est associé est relativement faible. Cependant, la vision globale dont dispose l'opérateur ou le fournisseur d'accès, en charge de ce serveur de certification, lui permet d'identifier, au vu de la fréquence des activités malveillantes détectées sur un ensemble d'objets communicants d'un même type et d'une même version de firmware, qu'il existe un risque de sécurité, sur tous ces objets. Il envoie alors une information aux serveurs de configuration de paramètres d'accès de cet ensemble de réseaux locaux, pour requérir la classification de cet objet dans la catégorie des objets non fiables.
On accroît ainsi encore la sécurité de ces réseaux de communication locaux, par mutualisation de la connaissance des scores de malveillance locaux affectés aux objets dans chacun des réseaux locaux.
Un mode de réalisation de la présente invention concerne également un produit programme d'ordinateur comprenant des instructions de code de programme pour la mise en œuvre d'un procédé de gestion d'un réseau de communication local, ou d'un procédé de certification d'objets communicants, tels que décrits précédemment, lorsqu'il est exécuté par un processeur.
Un mode de réalisation de la présente invention vise également un support d'enregistrement lisible par un ordinateur sur lequel est enregistré un programme d'ordinateur comprenant des instructions de code de programme pour l'exécution des étapes du procédé de gestion d'un réseau de communication local selon l'invention tel que décrit ci-dessous, ou du procédé de certification d'objets communicants selon l'invention tel que décrit ci-dessus.
Un tel support d'enregistrement peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une clé USB ou un disque dur.
D'autre part, un tel support d'enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens, de sorte que le programme d'ordinateur qu'il contient est exécutable à distance. Le programme selon l'invention peut être en particulier téléchargé sur un réseau par exemple le réseau Internet.
Alternativement, le support d'enregistrement peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé de contrôle d'affichage précité.
L'invention concerne également un serveur de configuration de paramètres d'accès d'un objet communicant à un réseau de communication local, et une passerelle d'accès à un réseau de communication présentant en combinaison tout ou partie des caractéristiques exposées dans l'ensemble de ce document en relation avec le procédé de gestion d'un réseau de communication local.
Notamment, un tel serveur de configuration comprend un processeur apte à mettre en œuvre le procédé décrit précédemment, et la passerelle d'accès, par exemple une passerelle résidentielle de type Livebox®, intègre un serveur de configuration de paramètres d'accès d'un objet communicant à un réseau de communication local, par exemple un serveur DHCP.
Le serveur de configuration de paramètres d'accès d'un objet communicant à un réseau de communication local, la passerelle d'accès et le programme d'ordinateur correspondants précités présentent au moins les mêmes avantages que ceux conférés par le procédé de gestion d'un réseau de communication local selon la présente invention.
En outre, dans un mode de réalisation, l'invention concerne également un serveur de certification d'au moins un objet communicant présentant en combinaison tout ou partie des caractéristiques exposées dans l'ensemble de ce document en relation avec le procédé de certification d'objets communicants décrit ci-avant. Notamment, un tel serveur de certification comprend un processeur apte à mettre en œuvre le procédé de certification d'objets communicants décrit précédemment.
4. Liste des figures
D'autres buts, caractéristiques et avantages de l'invention apparaîtront plus clairement à la lecture de la description suivante, donnée à titre de simple exemple illustratif, et non limitatif, en relation avec les figures, parmi lesquelles :
la figure 1 présente une vue schématique d'un réseau local de communication et des différents objets communicants qui y sont connectés, selon un mode de réalisation de l'invention;
la figure 2 présente sous forme de logigramme les différentes étapes du procédé de gestion selon un mode de réalisation de l'invention;
la figure 3 propose un schéma synoptique d'un serveur DHCP ou d'une passerelle d'accès mettant en œuvre le procédé de la figure 2 ;
la figure 4 présente sous forme de logigramme les différentes étapes du procédé de certification d'objets communicants selon un mode de réalisation de l'invention; la figure 5 propose un schéma synoptique d'un serveur de certification d'objets communicants mettant en œuvre le procédé de la figure 4.
5. Description détaillée de modes de réalisation de l'invention
Le principe général de l'invention repose sur la classification, en différentes catégories de confiance, des objets communicants susceptibles d'être connectés dans un réseau de communication local, en fonction d'un score de malveillance qui leur est affecté, résultant d'une surveillance des données qu'ils échangent sur le réseau.
On s'attache plus en détail dans la suite de ce document à décrire la mise en œuvre d'un mode de réalisation de l'invention dans le cadre d'un réseau domestique, chez un utilisateur particulier. L'invention s'applique bien sûr également à tout autre type de réseau de communication local (LAN, pour « Local Area Network »), auquel une pluralité d'équipements de communication sont connectés.
Dans un tel réseau domestique, représenté schématiquement sur la figure 1, une passerelle résidentielle HGW référencée 10 permet de relier un réseau de communication local et un réseau étendu tel que le réseau Internet (non représenté). Une telle passerelle résidentielle HGW 10 intègre un serveur DHCP : elle effectue le routage des paquets de données sur le réseau, et peut également jouer le rôle de pare-feu, de proxy, de relais DNS (pour l'anglais « Domain Name Server »), de fournisseur de services IGD (pour l'anglais « Internet Gateway Device », dispositif de passerelle Internet)...
Le serveur DHCP peut bien sûr également être dissocié de la passerelle résidentielle HGW 10, dans un autre mode de réalisation.
Dans l'exemple de la figure 1, de nombreux équipements sont présents sur le réseau local, à savoir :
un téléphone intelligent (ou « smartphone ») 11 ;
un ordinateur portable 12 ;
un ordinateur de type PC 13 ;
une tablette 14 ;
une station météo 15 ;
une webcam 16 ;
un thermostat 17.
Cette liste n'est bien sûr pas exhaustive, et de nombreux autres objets communicants peuvent être présents sur le réseau local de l'utilisateur.
Ces objets communicants peuvent être reliés au réseau par voie filaire (câble Ethernet, port USB (pour l'anglais « Universal Sériai Bus »)...) ou sans fil (Wi-Fi®, Bluetooth®, ZigBee). Ils comprennent tous types d'objets physiques, aptes à communiquer numériquement sur le réseau local, en vue d'un échange de données. Ils comprennent également les applications logicielles associées à certains objets connectés non IP (« Internet Protocol »), fonctionnant sur des technologies sans fil tels que BLE (po ur « Bluetooth® Low Energy »), Z-wave®, Thread®, etc.
En effet, l'utilisation de tels objets communicants requiert le plus souvent l'installation d'une application de gestion sur une passerelle d'accès au réseau de communication local. Une telle application s'appuie sur une machine virtuelle, ou un conteneur, à qui le serveur de configuration de paramètres d'accès (serveur DHCP) fournit une adresse IP. De tels objets communicants qui ne sont pas naturellement compatibles avec le protocole IP nécessitent la mise en œuvre d'une passerelle loT vers IP et/ou du protocole « 6LowPan ».
Ainsi, dans la suite, on désigne par objet communicant, aussi bien les objets physiques connectés au réseau que les applications logicielles « virtualisées » associées à certains de ces objets.
De tels objets communicants peuvent être désignés par l'acronyme loT, pour l'anglais « Internet of Things », en français « Internet des objets ».
Parmi les objets communicants de la figure 1, on peut imaginer que le téléphone intelligent 11 et la tablette 14 aient été fournis à l'utilisateur par un Fournisseur d'Accès Internet (FAI), qui a également fourni à l'utilisateur l'équipement de terminaison de réseau que constitue la passerelle résidentielle HGW 10. De ce fait, le fournisseur d'accès connaît ces équipements 11, 14, et peut en garantir la fiabilité. A l'inverse, d'autres objets communicants comme la webcam 16 ou la station météo 15 peuvent provenir d'autres sources et d'autres provenances : le fournisseur d'accès ne dispose a priori d'aucun contrôle sur l'existence de potentielles failles de sécurité sur ces objets communicants, ni sur la possibilité de procéder à une mise à jour des logiciels qu'ils embarquent (« firmware »), en cas de détection d'une éventuelle faille de sécurité.
Il est donc important de pouvoir classer ces différents objets communicants référencés 11 à 17 dans des catégories de confiance appropriées, afin notamment d'adapter les droits alloués à ces différents objets par le serveur DHCP embarqué dans la passerelle résidentielle HGW 10, et ce, afin d'améliorer la sécurité du réseau local vis-à-vis d'éventuelles attaques malveillantes.
Pour ce faire, un mode de réalisation de l'invention repose sur le logigramme de la figure
2.
Un objet communicant loT 21 (par exemple l'ordinateur portable 12 de la figure 1), présent sur le réseau domestique, est dépourvu d'adresse IP, mais souhaite accéder aux ressources du réseau, ou au réseau Internet. Selon le mécanisme connu associé au protocole de configuration dynamique d'hôtes DHCP, il envoie alors une requête DHCP 23 aux serveurs DHCP présents sur le réseau local. Dans l'exemple du réseau de la figure 1, un unique serveur DHCP est présent sur le réseau local, par exemple intégré dans la passerelle résidentielle HGW 10. A l'issue d'un échange de datagrammes DHCP entre l'objet communicant 21 et le serveur DHCP intégré dans la passerelle résidentielle HGW 10, ce dernier envoie à l'objet communicant 21 un datagramme d'affectation d'adresse IP DHCPpack 2 1 qui assigne au client 21 l'adresse IP et son masque de sous-réseau, la durée du bail de cette adresse, et éventuellement d'autres paramètres, tels que l'adresse I P de la passerelle 10, et les adresses IP des serveurs DNS (pour « Domain Name Server »).
En l'espèce, l'adresse I P indiquée dans le datagramme 2 1 DHCPpack(IPTRUsT), correspond à une adresse IP d'un sous-réseau réservé aux objets communicants de confiance, qui offre à ces derniers des droits et un accès étendus aux ressources du réseau local.
En effet, selon un premier mode de réalisation, on considère que, par défaut, tous les objets communicants sont, lors de leur première connexion au réseau de communication local, classés dans la catégorie des objets communicants de confiance.
Selon une variante, qui fait l'objet d'une demande de brevet français déposée le même jour que la présente demande de brevet, par le même demandeur, cette classification dans la catégorie des objets communicants de confiance, résulte d'une authentification de l'objet communicant 21 auprès du serveur DHCP, par exemple au moyen du certificat C.
Ainsi, les échanges de requête DHCP 23 et de réponse 2 1 comprennent en fait les étapes suivantes, non représentées sur la figure 2, par souci de simplification :
- l'objet communicant loT 21 envoie en mode de diffusion (« broadcast ») un datagramme DHCP DISCOVER qui s'adresse aux serveurs DHCP présents sur le réseau local. Ce datagramme comporte notamment l'adresse physique (MAC pour Media Access Control) de ΓΙοΤ 21 ;
s'il est en mesure de proposer une adresse sur le réseau local, le serveur DHCP intégré dans la passerelle HGW 10 envoie alors une offre DHCP
(DHCP OFFER) à l'attention de l'objet communicant loT 21, identifié par son adresse physique. Cette offre comporte l'adresse I P du serveur 10, ainsi que l'adresse IP et le masque de sous-réseau qu'il propose à l' IoT 21. Elle comprend également un challenge, par exemple sous la forme d'une chaîne unique aléatoire, que l'objet communicant 21 va devoir signer au moyen d'une clé privée de certification KPR, s'il dispose d'une telle clé. Un tel challenge est par exemple inséré par le serveur 10 dans un champ d'option du protocole DHCP ;
à réception, si l'objet communicant loT 21 dispose d'une clé privée de certification KPR, il diffuse sur le réseau un datagramme de requête DHCP {DHCP REQUEST), auquel il a ajouté un drapeau (en anglais « flag ») d'acceptation du challenge. Ce datagramme comporte l'adresse I P du serveur 10 et celle qui vient d'être proposée à l'objet communicant loT 21. Elle a pour effet de demander au serveur 10, l'assignation de cette adresse et l'envoi éventuel des valeurs de certains paramètres ;
l'objet communicant loT 21 envoie ensuite au serveur 10 la résolution du challenge qui lui a été adressé. Cette résolution correspond à la chaîne aléatoire reçue signée par ΓΙοΤ 21 au moyen de la clé privée KPR ;
à réception, le serveur 10 vérifie cette signature au moyen de la clé publique KPU, associée à l'objet communicant loT 21, et à la version du logiciel qu'il embarque. Cette clé publique KPU est par exemple mémorisée dans la passerelle résidentielle HGW 10, en association avec un identifiant de l'objet communicant loT 21, et un identifiant d'une version de firmware ;
après vérification par le serveur DHCP 10 que la résolution du challenge est exacte, ce dernier élabore un datagramme d'accusé de réception 2 1 (DHCP PACK(IPTRUST)) qui assigne au client 21 l'adresse IP et son masque de sous-réseau, la durée du bail de cette adresse, et éventuellement d'autres paramètres, tels que l'adresse IP de la passerelle 10, et les adresses IP des serveurs DNS (pour « Domain Name Server »). En l'espèce, l'adresse IP indiquée dans le datagramme 2 1 (DHCP PACK(IPTRUST)), correspond à une adresse I P du sous-réseau des objets communicants de confiance, qui offre à ces derniers des droits et un accès étendus aux ressources du réseau local.
En cas d'absence de clé privée de certification, ou si cette clé de certification a été révoquée, l'authentification de l'objet communicant 21 échoue, et l'objet communicant n'est alors pas classé dans la catégorie des objets communicants de confiance, mais dans une autre catégorie, telle que par exemple la catégorie des objets non fiables ou insuffisamment fiables ou...
On se place dans la suite dans l'hypothèse d'un objet communicant loT 21 qui a été classé dans la catégorie des objets communicants de confiance, soit par défaut, soit à l'issue d'un mécanisme d'authentification, par exemple à base de certificat C, comme décrit ci-dessus.
Une sonde S référencée 22 surveille les différents trafics au sein du réseau de la figure 1, tant de l'intérieur du réseau local vers le réseau externe situé au-delà de la passerelle résidentielle HGW 10, qu'en interne au sein de ce réseau local, par exemple entre objets communicants. Une telle sonde S 22 est par exemple intégrée dans un routeur du réseau, par exemple au sein de la passerelle résidentielle HGW 10. Pour assurer une surveillance efficace, il est souhaitable que la sonde S 22 soit présente sur chaque interface physique de la passerelle résidentielle HGW 10 (ΕΤΗ0, ETH1, Wi-Fi-AP0, etc.)
Bien sûr, la sonde peut être disposée en tout autre point du réseau, dès lors qu'elle peut intercepter tout trafic au sein du réseau, et échanger avec le serveur de configuration DHCP.
Une telle sonde S 22 surveille ainsi les données échangées par l'objet communicant 21, et inclut plusieurs mécanismes de détection d'activités malveillantes, parmi lesquelles :
l'usurpation d'adresse IP par « A P spoofing » (pour l'anglais « parodie d'ARP », où le sigle ARP désigne le protocole « Address Resolution Protocol »), qui permet à un attaquant de détourner des flux de communication transitant entre un équipement cible et une passerelle, afin d'écouter, modifier, ou encore bloquer certains paquets réseaux ;
la saturation par SYN flood (attaque informatique visant à atteindre un déni de service, qui s'applique dans le cadre du protocole TCP et consiste à envoyer une succession de requêtes SYN (pour « Synchronize ») vers la cible ;
l'accès à des URL (pour l'anglais « Uniform Resource Locator », en français « localisateur uniforme de ressource ») internet classifiés comme malveillants ;
le scan des ports par SYN/ACK (portsentry), qui concsiste à envoyer des paquets IP forgés de manière à trouver des ports ouverts sur la cible du scan sans ouvrir une session TCP complète ;
la détection d'attaque sur service WEB, consistant à sniffer les requêtes http de manière à détecter une attaque sur l'authentification (« bruteforce ») ou l'injection de commandes automatisées (CRLF pour « Carriage Return Line Feed », retour chariot saut de ligne) ; la détection de tentative de login SSH (pour « Secure Shell »), de manière à détecter les tentatives de connexion trop rapides qui pourraient signifier une attaque de type « bruteforce » (consistant à essayer tous les mots de passe possibles un à un) ;
l'audit de l'objet communicant loT 21 pour vérifier l'exposition des ports d'écoute, c'est-à- dire scanner les services ouverts en analysant la réponse sur l'IoT de manière à identifier la version du service et vérifier si cette version ne contient pas une faille de sécurité. A détection d'une tentative d'attaque ATT. ou d'une activité malveillante 25, la sonde S 22 incrémente 27 un score de malveillance SC|0T,c associé à l'objet communicant 21, et, le cas échéant, au certificat C qu'il a utilisé pour s'authentifier, ou à la version de son firmware.
A l'initialisation du système, par exemple lors de la première affectation d'une adresse IP par le serveur DHCP à l'objet communicant loT 21 au sein du réseau local, le score de malveillance est initialisé à zéro : SC|OT,c=0. Chaque activité malveillante, ou chaque configuration à risque de l'objet communicant 21 se voit affecter un poids de malveillance. Ce poids peut être proposé comme configuration par défaut par le fournisseur d'accès internet, et être mémorisé dans la sonde S 22 ou dans la passerelle résidentielle HGW 10. Il peut également être mis à jour ou adapté aux particularités du réseau local et des objets communicants qui y sont connectés par l'administrateur de ce réseau. Comme on le verra par la suite, ces poids peuvent également être modifiés par le fournisseur d'accès internet ou l'opérateur, en fonction de données globales relatives aux activités malveillantes collectées dans une pluralité de réseaux locaux.
Ainsi, si la sonde S 22 détecte par exemple, lors de l'étape référencée 25, que l'objet communicant loT 21 présente une configuration à risque, parce que son utilisateur a maintenu ses paramètres de configuration (identifiant d'accès et mot de passe) par défaut et a omis de les personnaliser, il lui affecte un score de malveillance, par exemple SC|OT C=10.
En effet, cette configuration par défaut peut constituer une faille de sécurité, en ce sens qu'un individu malveillant peut aisément se connecter à l'objet communicant loT 21 pour en prendre le contrôle.
De même, si la sonde S 22 détecte par exemple, lors de l'étape référencée 25, que l'objet communicant loT 21 tente d'accéder à des URL (pour l'anglais « Uniform Resource Locator », en français « localisateur uniforme de ressource ») internet classifiés comme malveillants, il lui affecte un score de malveillance, par exemple SC|OT,c=50, si cette activité est considérée comme potentiellement plus dangereuse que la configuration à risque évoquée ci-dessus.
Sur détection d'une activité malveillante ou assimilée 25, la sonde S 22 peut adresser à l'objet communicant loT 21 une requête d'audit AUDIT REQ. 26, visant à vérifier la version du logiciel embarqué sur l'objet communicant loT 21, et le cas échéant à lui proposer une opération de mise à jour de son firmware, ou de maintenance (modification des login/mot de passe dans l'exemple ci-dessus).
Si la sonde S22 détecte d'abord une configuration à risque de l'objet communicant loT 21, qui fait passer son score de malveillance à SC|OT C=10, puis une tentative d'accès à des URL malveillantes, associées à un poids de malveillance de 50, il incrémente le score de malveillance à SC|OT C=10+50=60 (étape référencée 27).
Au fur et à mesure de ces incrémentations, la sonde S 22 compare le score de malveillance local affecté à l'objet communicant loT 21 à un ou plusieurs seuils de confiance locaux TH, au cours d'une étape référencé 28.
Par exemple, la catégorie des objets communicants de confiance est réservée aux objets communicants dont le score de malveillance est inférieur à TH=10 ; la catégorie des objets communicants non fiables regroupe tous les objets communicants présentant un score de malveillance supérieur à un seuil de confiance local TH=50 ; les objets communicants dont le score de malveillance est compris entre TH= 10 et TH= 50 sont classés dans la catégorie des objets communicants insuffisamment fiables, qui doivent par exemple être mis en quarantaine, dans l'attente d'une mise à jour de leur logiciel embarqué.
Lorsque, lors de l'étape de comparaison 28, la sonde S 22 détecte que le score de malveillance de l'objet communicant loT 21 a franchi le seuil de confiance local TH= 50 associé à la catégorie des objets communicants non fiables, elle en informe, au cours d'une étape référencée 29, le serveur DHCP intégré dans la passerelle résidentielle HGW 10. Cette information peut prendre la forme d'une requête de révocation du certificat C (REQ. (loT, C)) associé à l'objet communicant 21 et à la version de son logiciel embarqué, qui devra par exemple intervenir à l'occasion du prochain renouvellement de bail DHCP.
A réception, la passerelle résidentielle HGW 10 met à jour les données de classification en catégorie de confiance précédemment mémorisées pour l'objet communicant loT 21, pour enregistrer le basculement de ce dernier dans la catégorie des objets communicants non fiables.
Lorsque l'objet communicant loT 21 demande le renouvellement 30 de son bail DHCP (DHCPiease(C)), le serveur DHCP de la passerelle résidentielle HGW 10 assigne au client 21 une nouvelle adresse IP dans un datagramme 242 (DHCP PACK(IPUNTRUST.)), qui correspond cette fois à une adresse I P du sous-réseau des objets communicants non fiables, qui offre à ces derniers des droits d'accès restreints aux ressources du réseau local. Par exemple, l'accès est limité au réseau étendu internet, sans possibilité d'accéder aux ressources internes du réseau local, et aux autres objets communicants du réseau local.
En variante, la requête de révocation 29 peut forcer sans délai le renouvellement du bail DHCP de l'objet communicant 21, pour le basculer plus rapidement dans la catégorie des objets communicants non fiables, sans attendre l'échéance naturelle de la demande de renouvellement 30 du bail DHCP.
Ainsi, la sécurité du réseau local est accrue, grâce à la détection, par la sonde S 22, d'activités potentiellement malveillantes des objets communicants 21, à la classification qui en découle de ces objets communicants en catégories de confiance, et au contrôle de l'accès au réseau conséquent pour ces objets 21.
On peut en effet proposer que le serveur DHCP et la passerelle résidentielle HGW 10 opèrent les restrictions d'accès suivantes pour les objets communicants de la catégorie des objets non fiables :
limiter le routage vers les autres équipements du réseau local ;
limiter l'accès internet de ces objets communicants 21 avec un relais DNS limité à une liste blanche de noms de domaines ; limiter l'accès internet avec filtrage des ports TCP/UDP (pour « Transmission Control Protocol/ User Datagram Protocol ») ;
interdire l'accès aux services de configuration, tels que par exemple UPnP- IGD (pour « Universal Plug and Play - Internet Gateway Device »).
Les scores de malveillance des objets communicants loT 21 peuvent être réinitialisés à zéro, par exemple après mise à jour de leur logiciel embarqué, ou à l'issue d'une phase d'authentification réussie auprès du serveur DHCP (comme décrit ci-avant à titre de variante des étapes 23 et 2 1 de la figure 2).
On présente désormais, en relation avec la figure 3, la structure matérielle d'une passerelle résidentielle HGW 10 selon un mode de réalisation de l'invention, dans lequel le serveur DHCP et la sonde S 22 sont tous deux intégrés dans la passerelle.
Le terme sonde peut correspondre aussi bien à un composant logiciel qu'à un composant matériel ou un ensemble de composants matériels et logiciels, un composant logiciel correspondant lui-même à un ou plusieurs programmes ou sous-programmes d'ordinateur ou de manière plus générale à tout élément d'un programme apte à mettre en œuvre une fonction ou un ensemble de fonctions.
Plus généralement, une telle passerelle résidentielle HGW comprend une mémoire vive 33 (par exemple une mémoire RAM), une unité de traitement 32 équipée par exemple d'un processeur, et pilotée par un programme d'ordinateur, représentatif de la sonde de surveillance S 22, stocké dans une mémoire morte 31 (par exemple une mémoire ROM ou un disque dur). A l'initialisation, les instructions de code du programme d'ordinateur sont par exemple chargées dans la mémoire vive 33 avant d'être exécutées par le processeur de l'unité de traitement 32. La mémoire vive 33 contient notamment une table de mémorisation des scores de malveillance affectés aux différents objets communicants 21 du réseau local, ainsi que la catégorie de confiance dans laquelle ils sont classés. Le processeur de l'unité de traitement 32 pilote un calculateur de scores de malveillance, un comparateur de ces scores aux seuils de confiance locaux associés aux différentes catégories de confiance, ainsi que la génération de requêtes de révocation de certificats vers le serveur DHCP conformément au logigramme de la figure 2.
La figure 3 illustre seulement une manière particulière, parmi plusieurs possibles, de réaliser la passerelle résidentielle HGW, afin qu'elle effectue les étapes du procédé détaillé ci- dessus, en relation avec la figure 2 (dans l'un quelconque des différents modes de réalisation, ou dans une combinaison de ces modes de réalisation). En effet, ces étapes peuvent être réalisées indifféremment sur une machine de calcul reprogrammable (un ordinateur PC, un processeur DSP ou un microcontrôleur) exécutant un programme comprenant une séquence d'instructions, ou sur une machine de calcul dédiée (par exemple un ensemble de portes logiques comme un FPGA ou un ASIC, ou tout autre module matériel).
Dans le cas où la passerelle résidentielle HGW est réalisée avec une machine de calcul reprogrammable, le programme correspondant (c'est-à-dire la séquence d'instructions) pourra être stocké dans un médium de stockage amovible (tel que par exemple une disquette, un CD- ROM ou un DVD-ROM) ou non, ce médium de stockage étant lisible partiellement ou totalement par un ordinateur ou un processeur.
Les différents modes de réalisation ont été décrits ci-avant en relation avec une passerelle résidentielle de type Livebox®, mais peuvent plus généralement être mis en œuvre dans toutes les passerelles ou routeurs...
On présente désormais, en relation avec les figures 4 et 5, un mode de réalisation du procédé et du serveur de certification d'objets communicants selon la présente invention.
En effet, on s'est attaché ci-avant à décrire en détail le principe de la classification d'objets communicants en catégories de confiance au sein d'un unique réseau local. Cependant, le résultat de cette classification locale peut être avantageusement transmis à un serveur de certification d'objets communicants, géré par exemple par l'opérateur ou le fournisseur d'accès au réseau étendu internet auquel est relié le réseau local par l'intermédiaire de la passerelle HGW 10.
On considère ainsi plusieurs réseaux locaux référencés 40i, 402 et 403 similaires à celui décrit précédemment en relation avec la figure 1. Chacun de ces réseaux locaux 40χ à 403 met en œuvre le procédé de gestion décrit ci-avant en relation avec le logigramme de la figure 2, et calcule les scores de malveillance des objets communicants 21 qui lui sont connectés, sur la base d'une surveillance des données qu'ils échangent.
Ces scores sont transmis par la passerelle résidentielle HGW 10 à un serveur de certification d'objets communicants, par exemple à échéances régulières, ou à chaque modification d'un score de malveillance d'un objet communicant loT 21. Ainsi, au cours d'une étape référencée 41, le serveur de certification reçoit, en provenance des différents réseaux locaux 01 à 403, les scores de malveillance locaux d'un objet communicant loT 21, associé à un certificat C [RX(SClo C)).
Sur la base de ces différents scores de malveillance locaux, le serveur de certification peut déterminer, pour cet objet communicant 21 doté d'un certificat C (par exemple la webcam 16, équipé de la version de logiciel embarqué 4.3), un niveau de confiance global N IV|0T,c 42, inversement proportionnel aux scores de malveillance locaux. Ce niveau de confiance global IVIOT.C 42 peut être par exemple calculé comme l'inverse de la somme des scores de malveillance locaux reçus des différents réseaux locaux 40χ à 403, ou l'inverse d'une sommation pondérée, ou encore en appliquant à cette somme un coefficient multiplicatif proportionnel au nombre de réseaux de communication locaux ayant remonté un score de malveillance non nul pour cet objet.
En effet, une activité a priori peu malveillante, donc associée à un poids de malveillance relativement faible, peut s'avérer dangereuse si elle est répétée de manière fréquente dans une pluralité de réseaux locaux.
Au cours d'une étape référencée 43, le serveur de certification compare le niveau de confiance global NIV|0T,c 42 qu'il a déterminé pour l'objet communicant 21, sur la base des scores locaux remontés par les réseaux locaux 01 à 403 à un ou plusieurs seuils de confiance global(aux) THCONF, associés, au niveau global de l'opérateur ou du fournisseur d'accès internet, aux différentes catégories de confiance.
Si le niveau de confiance global NIV|0T C 42 pour l'objet communicant 21 reste supérieur ou égal au seuil de confiance global associé à la catégorie des objets communicants de confiance, le serveur de certification n'entreprend aucune démarche. Il continue à traiter les scores de malveillance reçus des différents réseaux locaux, et à mettre à jour le niveau de confiance global NIVIOT C 42 de l'objet communicant 21.
Si en revanche le niveau de confiance global NIV|0T C 42 pour l'objet communicant 21 devient inférieur au seuil de confiance global THNF associé à la catégorie des objets communicants de confiance, le serveur de certification transmet (étape référencée 44) aux passerelles résidentielles HGW 10 des différents réseaux locaux 01 à 403 une requête de classification de l'objet communicant loT 21 dans la catégorie des objets communicants non fiables (ou insuffisamment fiables, en fonction du niveau de confiance global de cet objet).
Une telle requête 44 peut consister en une requête de révocation du certificat C associé à l'objet communicant 21, similaire à la requête EQ (loT, C) transmise par la sonde S 22 à la passerelle au cours de l'étape référencée 29 de la figure 2.
Ainsi, à réception, la passerelle résidentielle HGW 101 à 103 de chacun des réseaux locaux 01 à 403 met à jour les données de classification en catégorie de confiance précédemment mémorisées pour l'objet communicant loT 21, pour enregistrer le basculement de ce dernier dans la catégorie des objets communicants non fiables. Au prochain renouvellement de bail DHCP (soit forcé, soit à échéance classique), le serveur DHCP de la passerelle résidentielle HGW 101 à 103 assigne au client 21 une nouvelle adresse IP (DHCP PACK(IPUNTRUST.)), qui correspond à une adresse IP du sous-réseau des objets communicants non fiables, qui offre à ces derniers des droits d'accès restreints aux ressources du réseau local.
Une telle requête 44 de basculement d'un objet communicant dans la catégorie des objets communicants non fiables est de préférence envoyée par le serveur de certification à tous les réseaux locaux avec lesquels il est en communication, y compris ceux qui n'auraient pas fait remonter au serveur de certification un score de malveillance non nul pour l'objet communicant considéré. Ainsi, si aucune activité malveillante suspecte n'a encore été détectée pour un objet communicant au sein d'un réseau local, mais que la vision globale qu'a l'opérateur des activités de ce type d'objet, dans sa version de firmware, lui permet de déterminer qu'il est potentiellement dangereux, il en informe également ce réseau local, afin qu'il puisse se prémunir d'une éventuelle faille de sécurité, avant même son occurrence effective. La sécurité du réseau local est ainsi fortement accrue, grâce à la mutualisation des informations de surveillance de l'objet dans l'ensemble des réseaux locaux.
La figure 5 illustre un exemple de structure matérielle d'un serveur de certification d'objets communicants 50 selon un mode de réalisation de l'invention.
Un tel serveur de certification 50 comprend une mémoire vive 53 (par exemple une mémoire RAM), une unité de traitement 52 équipée par exemple d'un processeur, et pilotée par un programme d'ordinateur, stocké dans une mémoire morte 51 (par exemple une mémoire ROM ou un disque dur). A l'initialisation, les instructions de code du programme d'ordinateur sont par exemple chargées dans la mémoire vive 53 avant d'être exécutées par le processeur de l'unité de traitement 52. La mémoire vive 53 contient notamment une table de mémorisation des niveaux de confiance globaux affectés aux différents objets communicants 21 en fonction des scores de malveillance locaux reçus en provenance des différents réseaux de communication locaux. Le processeur de l'unité de traitement 52 pilote le calculateur de niveaux de confiance globaux, le comparateur de ces niveaux aux seuils de confiance globaux associés aux différentes catégories de confiance, ainsi que la génération de requêtes de révocation de certificats vers les passerelles résidentielles des différents réseaux locaux conformément au logigramme de la figure 4.
La figure 5 illustre seulement une manière particulière, parmi plusieurs possibles, de réaliser le serveur de certification 50, afin qu'il effectue les étapes du procédé détaillé ci-dessus, en relation avec la figure 4 (dans l'un quelconque des différents modes de réalisation, ou dans une combinaison de ces modes de réalisation). En effet, ces étapes peuvent être réalisées indifféremment sur une machine de calcul reprogrammable (un ordinateur PC, un processeur DSP ou un microcontrôleur) exécutant un programme comprenant une séquence d'instructions, ou sur une machine de calcul dédiée (par exemple un ensemble de portes logiques comme un FPGA ou un ASIC, ou tout autre module matériel).
Dans le cas où le serveur de certification 50 est réalisé avec une machine de calcul reprogrammable, le programme correspondant (c'est-à-dire la séquence d'instructions) pourra être stocké dans un médium de stockage amovible (tel que par exemple une disquette, un CD- ROM ou un DVD-ROM) ou non, ce médium de stockage étant lisible partiellement ou totalement par un ordinateur ou un processeur.

Claims

REVENDICATIONS
1. Procédé de gestion d'un réseau de communication local (40 403) comprenant une pluralité d'objets communicants (11-17 ; 21) aptes à être connectés audit réseau et un serveur (10) de configuration de paramètres d'accès desdits objets communicants audit réseau,
caractérisé en ce qu'il comprend :
une surveillance (25) de données émises par lesdits objets communicants ;
une affectation d'un score de malveillance local (27) auxdits objets communicants en fonction d'un résultat de ladite surveillance ;
une classification desdits objets communicants dans une catégorie de confiance, en fonction d'une comparaison (28) dudit score de malveillance local et d'un seuil de confiance local associé à ladite catégorie de confiance.
2. Procédé selon la revendication 1, caractérisé en ce que ladite surveillance est apte à détecter au moins une activité malveillante d'un desdits objets communicants et/ou au moins une configuration à risque dudit objet communicant, et en ce que ledit score de malveillance local affecté est calculé par sommation de poids de malveillance associés à ladite au moins une activité malveillante et/ou à ladite au moins une configuration à risque détectées.
3. Procédé selon l'une quelconque des revendications 1 et 2, caractérisé en ce que ladite catégorie de confiance appartient à un ensemble d'au moins deux catégories de confiance, comprenant :
une catégorie d'objets communicants de confiance ;
une catégorie d'objets communicants non fiables.
4. Procédé de gestion d'un réseau de communication local selon la revendication 3, caractérisé en ce que ledit ensemble d'au moins deux catégories de confiance comprend également au moins une catégorie d'objets communicants insuffisamment fiables.
5. Procédé de gestion d'un réseau de communication local selon l'une quelconque des revendications 1 à 4, caractérisé en ce qu'il comprend une adaptation (242) d'une offre d'accès à des ressources dudit réseau par lesdits objets communicants, en fonction de ladite catégorie de confiance dans laquelle ils sont classés.
6. Procédé de gestion d'un réseau de communication local selon l'une quelconque des revendications 1 à 5, caractérisé en ce qu'il comprend une transmission dudit score de malveillance local affecté à un desdits objets communicants à un serveur de certification (50) dudit objet communicant.
7. Produit programme d'ordinateur comprenant des instructions de code de programme pour la mise en œuvre d'un procédé selon l'une quelconque des revendications 1 à 6, lorsqu'il est exécuté par un processeur.
8. Support d'enregistrement lisible par un ordinateur sur lequel est enregistré un programme d'ordinateur comprenant des instructions de code de programme pour l'exécution des étapes du procédé de gestion d'un réseau de communication local selon l'une quelconque des revendications 1 à 6.
9. Serveur de configuration de paramètres d'accès d'un objet communicant à un réseau de communication local, caractérisé en ce qu'il comprend un processeur apte à mettre en œuvre le procédé selon l'une quelconque des revendications 1 à 6.
10. Passerelle (10) d'accès à un réseau de communication, caractérisée en ce qu'elle comprend un serveur de configuration de paramètres d'accès d'un objet communicant à un réseau de communication local selon la revendication 9.
11. Procédé de certification d'au moins un objet communicant, apte à être connecté à des réseaux de communication locaux (40 403), par l'intermédiaire de serveurs de configuration de paramètres d'accès dudit objet communicant auxdits réseaux locaux,
caractérisé en ce qu'il comprend :
une réception (41), en provenance d'au moins un desdits réseaux de communication locaux (40i-403), d'au moins un score de malveillance local affecté audit objet communicant au niveau dudit au moins un réseau local ;
une affectation (42) d'un niveau de confiance global audit objet communicant en fonction dudit au moins un score de malveillance local reçu ;
une transmission (44) auxdits serveurs de configuration de paramètres d'accès d'une requête de classification dudit objet communicant dans une catégorie de confiance, en fonction d'une comparaison (43) dudit niveau de confiance global et d'un seuil de confiance global associé à ladite catégorie de confiance.
12. Produit programme d'ordinateur comprenant des instructions de code de programme pour la mise en œuvre d'un procédé de certification d'au moins un objet communicant selon la revendication 11, lorsqu'il est exécuté par un processeur.
13. Support d'enregistrement lisible par un ordinateur sur lequel est enregistré un programme d'ordinateur comprenant des instructions de code de programme pour l'exécution des étapes du procédé de certification d'au moins un objet communicant selon la revendication 11.
14. Serveur de certification (50) d'au moins un objet communicant, caractérisé en ce qu'il comprend un processeur apte à mettre en œuvre le procédé selon la revendication 11.
PCT/FR2017/053339 2016-12-12 2017-12-01 Gestion d'un réseau de communication local par classification d'objets communicants en catégories de confiance, en fonction d'un score de malveillance WO2018109304A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1662319 2016-12-12
FR1662319A FR3060164B1 (fr) 2016-12-12 2016-12-12 Gestion d'un reseau de communication local par classification d'objets communicants en categories de confiance, en fonction d'un score de malveillance.

Publications (1)

Publication Number Publication Date
WO2018109304A1 true WO2018109304A1 (fr) 2018-06-21

Family

ID=58401725

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2017/053339 WO2018109304A1 (fr) 2016-12-12 2017-12-01 Gestion d'un réseau de communication local par classification d'objets communicants en catégories de confiance, en fonction d'un score de malveillance

Country Status (2)

Country Link
FR (1) FR3060164B1 (fr)
WO (1) WO2018109304A1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112689167A (zh) * 2020-12-18 2021-04-20 杭州迪普科技股份有限公司 一种网络摄像机的变更检测方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8776168B1 (en) * 2009-10-29 2014-07-08 Symantec Corporation Applying security policy based on behaviorally-derived user risk profiles
US20140244834A1 (en) * 2013-02-25 2014-08-28 Qualcomm Incorporated Methods to discover, configure, and leverage relationships in internet of things (iot) networks
US20150074390A1 (en) * 2013-09-10 2015-03-12 Opera Software Asa Method and device for classifying risk level in user agent by combining multiple evaluations
US20150135277A1 (en) * 2013-11-13 2015-05-14 Futurewei Technologies, Inc. Methods for Generating and Using Trust Blueprints in Security Architectures
WO2016209589A1 (fr) * 2015-06-23 2016-12-29 Symantec Corporation Routeur basé sur une sécurisation d'internet des objets sur réseaux locaux

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8776168B1 (en) * 2009-10-29 2014-07-08 Symantec Corporation Applying security policy based on behaviorally-derived user risk profiles
US20140244834A1 (en) * 2013-02-25 2014-08-28 Qualcomm Incorporated Methods to discover, configure, and leverage relationships in internet of things (iot) networks
US20150074390A1 (en) * 2013-09-10 2015-03-12 Opera Software Asa Method and device for classifying risk level in user agent by combining multiple evaluations
US20150135277A1 (en) * 2013-11-13 2015-05-14 Futurewei Technologies, Inc. Methods for Generating and Using Trust Blueprints in Security Architectures
WO2016209589A1 (fr) * 2015-06-23 2016-12-29 Symantec Corporation Routeur basé sur une sécurisation d'internet des objets sur réseaux locaux

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112689167A (zh) * 2020-12-18 2021-04-20 杭州迪普科技股份有限公司 一种网络摄像机的变更检测方法及装置

Also Published As

Publication number Publication date
FR3060164A1 (fr) 2018-06-15
FR3060164B1 (fr) 2019-10-04

Similar Documents

Publication Publication Date Title
US9515888B2 (en) Wireless local area network gateway configuration
CA2563422C (fr) Systemes et procedes de gestion de reseau
US11165805B2 (en) Guard system for automatic network flow controls for internet of things (IoT) devices
JP2018525935A (ja) インターネットに接続可能なデバイスを用いた安全な通信
US20060101515A1 (en) System and method for monitoring network traffic
FR2887053A1 (fr) Systeme de defense unifiee de zone de securite d'informations de reseau
EP3777078A1 (fr) Gestion sécuritaire d'un réseau de communication local comprenant au moins un objet communicant
WO2018109419A1 (fr) Procédé de contrôle d'un signal radio émis par une passerelle, passerelle et programme d'ordinateur correspondants
FR3060164B1 (fr) Gestion d'un reseau de communication local par classification d'objets communicants en categories de confiance, en fonction d'un score de malveillance.
FR3079709A1 (fr) Procede de connexion sans fil d'un objet communicant a un reseau de communication local, programme d'ordinateur et equipement d'acces correspondant.
CA3058867C (fr) Dispositif et procede de securisation d'une connexion reseau
FR3060163B1 (fr) Gestion d'un reseau de communication local par classification d'objets communicants en categories de confiance.
FR3105486A1 (fr) Procédé de détection d’un comportement malveillant dans un réseau de communication, dispositif, équipement d’accès audit réseau, procédé de détection d’une attaque distribuée dans ledit réseau, dispositif, équipement nœud et programmes d’ordinateur correspondants
FR3110802A1 (fr) Procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un réseau de communication local, procédé de traitement d’une requête d’attribution d’une adresse IP à un équipement client dans un réseau de communication local, dispositifs, équipement d’accès, équipement serveur et programmes d’ordinateur correspondants.
US20190357052A1 (en) System and method for analyzing properties within a real time or recorded transmissions
EP4376455A1 (fr) Filtrage d'accès d'un objet connecté à un réseau de communication local
US20210075823A1 (en) SYSTEMS AND METHODS FOR PREVENTING, THROUGH MACHINE LEARNING AND ACCESS FILTERING, DISTRIBUTED DENIAL OF SERVICE ("DDoS") ATTACKS ORIGINATING FROM IOT DEVICES
Šarac Cyber Security and Domain Name Systems Deploy and Protect Network With DNS Sinkhole Blackhole
WO2021260288A1 (fr) Gestion de la sécurité d'un objet communicant
EP4256753A1 (fr) Procédé de détection d'un équipement malveillant dans un réseau de communication, équipement de communication et programme d'ordinateur correspondants
FR3112002A1 (fr) Procédé et dispositif de détection d'une faille de sécurité.
Arkin Bypassing network access control systems
FR2995427A1 (fr) Dispositif de surveillance de trames a l'interconnexion d'un reseau local domestique et de l'internet
FR2955727A1 (fr) Procede securise d'acces a un reseau et reseau ainsi protege
WO2006035137A1 (fr) Procede et dispositif de filtrage pour detecter une usurpation d’adresse dans un reseau informatique

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17822365

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17822365

Country of ref document: EP

Kind code of ref document: A1