WO2023083770A1 - Procédé de recherche de données sensibles dans au moins un paquet de données, dispositif et système associés - Google Patents

Procédé de recherche de données sensibles dans au moins un paquet de données, dispositif et système associés Download PDF

Info

Publication number
WO2023083770A1
WO2023083770A1 PCT/EP2022/081046 EP2022081046W WO2023083770A1 WO 2023083770 A1 WO2023083770 A1 WO 2023083770A1 EP 2022081046 W EP2022081046 W EP 2022081046W WO 2023083770 A1 WO2023083770 A1 WO 2023083770A1
Authority
WO
WIPO (PCT)
Prior art keywords
pap
terminal
data
sensitive data
search
Prior art date
Application number
PCT/EP2022/081046
Other languages
English (en)
Inventor
Mohamed Boucadair
Christian Jacquenet
Original Assignee
Orange
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange filed Critical Orange
Publication of WO2023083770A1 publication Critical patent/WO2023083770A1/fr

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/65Environment-dependent, e.g. using captured environmental data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent

Definitions

  • the present invention belongs to the general field of telecommunications. It relates more particularly to a method for searching for sensitive data in traffic transmitted by at least one terminal connected to a network. It also relates to a device configured to implement said search method, and a system comprising such a device as well as a communication terminal able to read sensitive data detected by said device.
  • the invention finds a particularly advantageous, although in no way limiting, application within the framework of a sensitive data search service offered to users by an access provider to a "global" network such as the Internet network or a network Intranet.
  • This data is conventionally based on the exchange of data packets transmitted by the terminals in the possession of the users. This may of course be data that a user knows will be transmitted, for example when a telephone call is made by means of a mobile telephone.
  • this may also concern data inserted into packets by software equipping a terminal in the possession of a user and transmitted, from the terminal to a remote device (server, software instance, etc.), without the knowledge of said user.
  • a remote device server, software instance, etc.
  • the operating system(s) equipping a user's terminal, as well as the software application(s) installed on this terminal can transmit data without the knowledge of said user to remote equipment, such as for example servers accessible via a network (eg the Internet), data managed by the manufacturer/designer of said operating system/said application(s).
  • data transmitted without the knowledge of a user by the operating system of a user's mobile telephone may correspond to any one of the elements among: - an IMEI number (acronym of the Anglo-Saxon expression "International Mobile Equipment Identity”), - a serial number of the mobile phone, - a serial number of the SIM card inserted in the mobile phone, - a phone number, - a local IP address, - a MAC hardware address (acronym of the Anglo-Saxon expression "Media Access Control”) of said mobile phone, or even possibly one or more MAC hardware addresses of terminals located in the vicinity of the mobile phone (for example, following the execution automatic by the mobile phone of a procedure for discovering hardware MAC addresses with a view to possible association (pairing)), etc.
  • IMEI number an IMEI number
  • - a phone number - a phone number
  • - a local IP address - a MAC hardware address (acronym of the Anglo-Saxon expression
  • Data thus transmitted without the knowledge of a user may be subject to systematized collection by the remote equipment in question (and thus be qualified as "telemetry data"), to finally be used in the implementation of different treatments.
  • Such processing may, for example, consist of the analysis of an activity of the source (operating system, software application) at the origin of the transmission of the data, thus legitimately making it possible to contribute to improving the functioning of the said source, for example via the development and the provision of updates or corrections (patches) that the user can install on his terminal.
  • This determination of identification information can typically be made by correlating or combining sensitive data transmitted by different sources (operating system, software application, etc.) and/or by correlating or combining sensitive data of different types transmitted by the same source and/or by correlating or combining sensitive data transmitted by one or more sources with data transmitted by other software means, such as for example location data of the GPS type (acronym of the Anglo-Saxon expression "Global Positioning System”), etc.
  • said identification information is not necessarily limited to the very identity of the user of the terminal at the origin of the transmission of sensitive data, but may also relate more generally to the environment of said user, such as for example other users whose respective terminals are located in the vicinity of the transmitting terminal.
  • neighboreighborhood refers here to terminals located near a given terminal and whose presence can be discovered, for example, using broadcasting mechanisms ("broadcast” in English) put implemented by said given terminal for a possible association (pairing), maintenance of an "ARP” ("Address Resolution Protocol” in English) or "ND” ("Neighbor Discovery” in English) table.
  • sensitive data transmitted by a first terminal discloses hardware MAC addresses (or any other persistent identifier) of other terminals located in the vicinity of said first terminal, it is possible to access (modulo the setting in appropriate correlations with other data) to identification information relating to the users of these other terminals, such as information relating to social acquaintances, centers of interest, places visited, etc. What is more, the determination of these identification information can be done even though these other terminals support an operating system distinct from that supported by the first terminal transmitting said sensitive data.
  • the present invention aims to remedy all or part of the drawbacks of the prior art, in particular those set out above, by proposing a solution which makes it possible to know whether sensitive data is transmitted by at least one terminal (typically to its blind), so as to offer the possibility to an entity to which said at least one terminal belongs to become aware of the exposure of identification information concerning it or else concerning its environment.
  • an entity can designate a user or an administrator of said at least one terminal.
  • the notion of administrator typically refers to a person (natural or legal) in charge of managing said at least one terminal.
  • it may be a parent responsible for the management of a plurality of mobile telephones respectively used by his children, or even a company responsible for the management of a plurality of terminals deployed in the premises it occupies and used by employees.
  • the invention relates, according to a first aspect, to a method for searching for so-called sensitive data in at least one data packet transmitted by at least one terminal connected to a network, said at least one data packet having as its destination a so-called "destination" equipment accessible via said network, identification information relating to the identity and/or the environment of an entity to which said at least one terminal belongs can be determined from sensitive data having been inserted into said at least one packet before it reaches said destination equipment.
  • Said method comprises steps implemented by a search device separate from said destination equipment, including: - reception of said at least one data packet, - search for sensitive data in said at least one data packet, - And, if sensitive data is detected in said at least one packet, providing said entity with information on said detected sensitive data.
  • the search method according to the invention proposes that sensitive data be sought, and possibly detected, in at least one data packet transmitted by at least one terminal, and more particularly that this search and this detection be carried out by a device which differs from the remote equipment to which said at least one data packet is initially intended.
  • the identification of sensitive data can for example be carried out even before said at least packet reaches the destination equipment associated with it (the term “identification” here refers to the result of the step of search of the method according to the invention, and therefore refers more particularly to the detection, as such, of sensitive data in said at least one data packet; “identification” is therefore distinct from “search” within the meaning of the present invention).
  • the invention makes it possible to determine whether sensitive data has been inserted, during the routing of said at least one data packet, by one or more sources (for example the operating system of a terminal, software application installed on a terminal, access network or possibly local network) in said at least one data packet, in particular without the knowledge of the user of said at least one terminal.
  • sources for example the operating system of a terminal, software application installed on a terminal, access network or possibly local network
  • insertion of sensitive data in a data packet covers, within the meaning of the present invention, two cases, namely: - A first case in which sensitive data is contained in a data packet as soon as it is sent by said at least one terminal.
  • a packet can be sent by an operating system or a software application installed on said at least one terminal; - a second case in which a data packet originally transmitted by said at least one terminal is modified, during its routing to said destination equipment, by an entity (source) other than said at least one terminal, so as to integrate sensitive data.
  • the provision step advantageously makes it possible to give the entity access to information relating to the sensitive data thus detected.
  • This information can, for example, correspond to the sensitive data detected themselves, but also consist of an inventory of the destination equipment(s) reached by the transmitted packets, or even the results of processing carried out from the data. detected (e.g.: dependency analysis between several destinations, so as to detect a risk of correlation between sensitive data transmitted under separate connections of said at least one terminal).
  • This information made available to the entity therefore reflects, in a way, a trace left over time (i.e. as data packets are received and analyzed by a search device according to the invention) by said at least a terminal on the network(s) via which the transmitted packets are routed.
  • the information made available to the entity constitutes a kind of dashboard representing a digital identity of said at least one terminal.
  • the notion of digital identity is not only defined for a terminal, but can also be derived from the sensitive data associated, if necessary, with the various terminals belonging to an entity. . It is then possible to refer to "the digital identity of an entity” (eg: digital identity of a network or an administrator of a plurality of terminals).
  • the search method according to the invention therefore advantageously offers the entity the possibility of establishing, monitoring and controlling the activity of said at least one terminal belonging to it.
  • the benefits are thus double for the entity in question given that it is offered the possibility of having access to its digital identity, but also of implementing corrective actions aimed at avoiding the disclosure, without its knowledge, of credentials relating to its identity and/or environment (e.g. other endpoints hosted in the same local network).
  • search method according to the invention can be part of a service offered by a service provider in charge of managing the search device, such as for example the access provider responsible for the management and maintenance of the network via which said destination equipment is accessible.
  • search device implementing said method is suitably located to receive (and not intercept) said at least one data packet, and thus decipher the content.
  • the search device is located so that said at least one data packet that it receives is actually intended for it, without having to carry out an interception without the knowledge of the user of said at least one terminal. It therefore also emerges from these elements that the procedure proposed by the invention is initiated at the request of the entity to which said at least one terminal belongs.
  • the search device can for example be located on a route for routing data packets.
  • a route for routing data packets is for example configured by default at the level of said at least one terminal, or even may correspond to a route established dynamically to allow the routing of said at least one data packet.
  • the search device can be connected to the terminal using at least one communication capable of forcing the routing of data packets from said at least one terminal to the search device.
  • said at least one tunnel is configured to implement a secure connection.
  • the search method may also include one or more of the following characteristics, taken in isolation or in all technically possible combinations.
  • the search device is located on a routing route of said at least one data packet to said destination equipment, said method further comprising a transmission step implemented by said search and consisting, once the search for sensitive data has been carried out, in relaying said at least one data packet to the destination equipment.
  • Such provisions allow the search device to act as a proxy between said at least one terminal and the destination equipment for which a data packet is intended.
  • the search device here has the routing information needed to retransmit the packet (in other words to relay said packet) to said destination equipment.
  • said search device is linked to the terminal by means of at least one tunnel, said at least one data packet received by the search device corresponding to a copy of a packet of original data transmitted to the destination equipment, said copy being transmitted via said at least one tunnel and not being relayed by said search device to the destination equipment.
  • said copy is transmitted via said at least one tunnel by means of a secure connection, thus making it possible to detect any modification of the data as transmitted by the source at the origin of said at least one data packet.
  • the search step comprises: - a comparison of the data contained in said at least one packet with a filtering list associated with said at least one terminal, and/or - a comparison of the data contained in said at least one packet with a dictionary associated with said search device, and/or - an execution of a machine learning algorithm to detect recurring data patterns contained in said at least one data packet.
  • dictionary refers to the set of sensitive data that the search device is able to identify. This dictionary therefore depends on a configuration of the search device.
  • a filtering list characterizes, for example, the sensitive data that the entity to which said at least one terminal belongs wants to be identified.
  • the granularity of such a filtering list can be adjusted, for example by specifying only one or more potential sources of sensitive data (operating system, application, local network, access network, etc.), or even by specifying , for one or more given sources, which sensitive data must imperatively be identified (specific header(s) in data packets, etc.).
  • a filtering list can also characterize the only data that the entity authorizes to be transmitted to one or more destination devices.
  • the search device can identify (according to its dictionary), as sensitive data, any data which does not belong to said filtering list.
  • the dictionary associated with the search device can be included in a filtering list associated with a terminal, or encompass said filtering list, or even be of empty intersection with said filtering list.
  • the step of making available comprises, if an alert criterion is satisfied, an emission of an alert message configured to allow access by the entity to said information on the sensitive data detected.
  • the recipient of the alert message can be, for example, the user of said at least one terminal or even said entity in the case where a plurality of terminals belong to it (eg: network or administrator of a plurality of terminals).
  • sensitive data is inserted into said at least one packet by at least any one of the elements among: - an operating system equipping said at least one terminal, - a software application installed on said at least one terminal, - an access network to which said at least one terminal is connected and connected to the network via which said destination equipment is accessible, - A local network to which said at least one terminal is connected and connected to said access network.
  • the invention is not limited to this type of source, but also covers the case of sensitive data transmitted (typically without the knowledge of the user of said at least one terminal) by the local network and/or via the access network.
  • These networks are indeed likely to inject sensitive data into packets transmitted by said at least one terminal to the network via which said destination equipment is accessible.
  • the injection of this data is for example carried out at the application level (e.g.: in the headers of the communication protocol used for data transmission such as, for example, the HTTP protocol, in the TCP options, in IPv4 options, in IPv6 extension headers, in UDP options, etc.).
  • the fact of considering as sensitive data certain data injected by the local network and/or by the access network advantageously makes it possible to broaden the notion of sensitive data, and therefore ultimately to improve the risk assessment according to which identification information relating to the entity to which said at least one terminal belongs and/or to its environment would be accessible without its knowledge.
  • the digital identity established by the search device is global.
  • the search step is implemented if a search authorization criterion for sensitive data for said at least one terminal is satisfied.
  • Said authorization criterion is for example representative of a subscription by the user of a mobile terminal (or "User Equipment (EU)" in English) of a contract with the access provider responsible for the management of an access network.
  • This contract relates more particularly to a paid service, offered by said access provider to allow the analysis of data packets, with the aim of detecting sensitive data therein and thus offering the possibility of becoming aware of the exposure of credentials.
  • the service provided by the access provider is free, said authorization criterion then designating the agreement given by the entity for sensitive data to be identified in packets transmitted by said at least one terminal.
  • the invention relates to a computer program comprising instructions for implementing a search method according to the invention when said computer program is executed by a computer.
  • This program may use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in partially compiled form, or in any other desirable form.
  • the invention relates to a computer-readable information or recording medium on which a computer program according to the invention is recorded.
  • the information or recording medium can be any entity or device capable of storing the program.
  • the medium may comprise a storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or even a magnetic recording means, for example a hard disk.
  • the information or recording medium can be a transmissible medium such as an electrical or optical signal, which can be conveyed via an electrical or optical cable, by radio or by other means.
  • the program according to the invention can in particular be downloaded onto a network such as an IP network, typically the Internet network.
  • the information or recording medium may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method in question.
  • the invention relates to a device for searching for so-called sensitive data in at least one data packet transmitted by at least one terminal connected to a network, said at least one data packet having as its destination a so-called destination" accessible via said network, identification information relating to the identity and/or the environment of an entity to which said at least one terminal belongs can be determined from sensitive data having been inserted into said at least least one packet before it reaches said destination device.
  • Said search device is distinct from said destination equipment and comprises: - a reception module configured to receive said at least one data packet, - a search module configured to detect sensitive data inserted into said at least one data packet, - A provisioning module configured to make available to said entity, if sensitive data is detected in said at least one packet, information on said detected sensitive data.
  • the search device may also include one or more of the following characteristics, taken individually or in all technically possible combinations.
  • said search device is deployed in: - the network via which said destination equipment is accessible, - an access network connected to the network via which said destination equipment is accessible, - When said at least one terminal is connected to a local network connected to an access network itself connected to the network via which said destination equipment is accessible, said local network.
  • said search device is located on a routing route of said at least one data packet to said destination equipment or is connected to the terminal by a tunnel.
  • the invention relates to an aggregation device comprising: - a reception module configured to receive, from a plurality of search devices according to the invention, sensitive data detected by said search devices in at least one data packet transmitted by at least one terminal connected to a network , said at least one data packet having as its destination a so-called "destination" equipment accessible via said network, identification information relating to the identity and/or the environment of an entity to which said at least a terminal that can be determined from sensitive data having been inserted into said at least one packet before it reaches said destination equipment, - a provisioning module configured to make available to said entity information on the sensitive data received from said search devices.
  • the invention relates to a communication terminal comprising: - a transmission module configured to transmit at least one data packet in a network, said at least one data packet having as its destination a so-called "destination" equipment accessible via said network, identification information relating to the identity and/or environment of an entity to which said terminal belongs can be determined from sensitive data having been inserted into said at least one packet before it reaches said destination equipment, - an access module configured to access information on sensitive data detected in said at least one data packet.
  • the information to which the communication terminal can access, by means of its access module, is information made available by a search device according to the invention.
  • said information to which the communication terminal is able to access thanks to its access module is information made available to the entity by a search device according to the invention.
  • said communication terminal further comprises a copy module configured to duplicate at least one data packet intended to be transmitted to a destination equipment, the communication terminal being configured to transmit said copy to at least a search device according to the invention.
  • the transmission of a copy of a data packet can for example be carried out via at least one tunnel connecting the communication terminal and said at least one search device. Furthermore, such a copy is not intended to be relayed by said at least one search device to the destination equipment.
  • the invention relates to a so-called sensitive data management system comprising at least one search device according to the invention as well as at least one communication terminal according to the invention.
  • the sensitive data management system SYS comprises a plurality of entities, including in particular a communication terminal UE.
  • the system SYS comprises in this embodiment a single terminal UE.
  • Said terminal UE is held by a user (not shown in the figures and also considered to be unique) and corresponds in this embodiment to an intelligent mobile telephone or “smartphone”.
  • a user not shown in the figures and also considered to be unique
  • an intelligent mobile telephone or “smartphone” This being the case, no limitation is attached to the nature of the terminal UE which can therefore indiscriminately take the form of a digital tablet, a laptop computer, a personal digital assistant, etc.
  • the sensitive data management system SYS comprises several terminals, nothing prevents a user from being in possession of all or part of these terminals, in which case he can be seen as an administrator of the terminals he has in his possession.
  • the UE terminal is connected to an access network NET_ACC whose management is ensured by a network operator (or even an access provider) with which the user of the UE terminal has taken out an access subscription.
  • the terminal UE is first of all connected to a local network NET_LOC, for example by means of an access point (not shown in the figures), said local network NET_LOC being itself connected to the access network NET_ACC using dedicated equipment.
  • dedicated equipment is of the CPE type (acronym of the Anglo-Saxon expression “Customer Premises Equipment”), and corresponds for example to a domestic gateway (or residential gateway).
  • the access network NET_ACC is itself connected to a so-called “global” network NET_GLOB via which the terminal UE can transmit data (transmitted in the form of data packets).
  • the terminal UE is the property of a person who is connected to the local network NET_LOC provided by a WLAN access point (acronym of the English expression "Wireless Local Access Network”) for cover one or more rooms of said person's dwelling (the local network NET_LOC therefore corresponds here to a home network).
  • the global network NET_GLOB corresponds to the public Internet network
  • the access network NET_ACC corresponds to the network of an Internet service provider with which said user has taken out a subscription.
  • said global network NET_GLOB may correspond to a network which is the property of a company and deployed between the premises of said company by means of dedicated infrastructures, or even to a VPN network (acronym of the Anglo-Saxon expression "Virtual Private Network") there also deployed by the said company.
  • the access network NET_ACC can correspond to an intranet network of a company site.
  • the NET_LOC local network meanwhile, can correspond to a network deployed in a targeted part of the company's premises.
  • a local area network NET_LOC is deployed in a manner similar to the configuration of the , and where the terminal UE is equipped with a first interface allowing it to connect to said local network NET_LOC (for example a WLAN interface to connect to a local network NET_LOC), as well as a second interface allowing it to connect directly to the NET_ACC access network (for example a 5G interface to connect to a cellular type NET_ACC access network deployed by a mobile telephone operator).
  • a single access network NET_ACC is considered in the present embodiment, so that the CPE equipment is connected to this single access network NET_ACC.
  • provisions are adopted here solely for the purpose of simplifying the description, and it remains of course possible to envisage CPE equipment connected to a plurality of distinct access networks (concept of "multi-homing” in the literature Anglo-Saxon).
  • the terminal UE is configured to transmit data packets through the access network NET_ACC, these packets then being intended to pass through the Internet network NET_GLOB.
  • the terminal UE comprises software and/or hardware means configured to transmit said data packets.
  • the terminal UE is equipped with an operating system OS (acronym for the English expression "Operating System") as well as a plurality of software applications APP_1, . .., APP_N (N being an integer index greater than or equal to 1).
  • Said operating system OS (respectively an application APP_i, i being any index between 1 and N) is capable of transmitting data packets, each of these packets having as its destination a so-called "destination" device accessible via the network Internet NET_GLOB, and it being understood that a plurality of destination equipment items can be accessed, simultaneously or else sequentially over time, by said operating system OS (respectively said application APP_i).
  • the operating system OS transmits data packets to a single destination device EQUIP_OS (respectively EQUIP_APP_i).
  • Said destination equipment EQUIP_OS typically comprises one or more servers whose management is ensured by the manufacturer/designer of said operating system OS (respectively of said application APP_i).
  • a piece of equipment comprises a plurality of servers
  • the latter can, for example, be located within a single and same structure (for example in a so-called “cloud” infrastructure, or “cloud” in the Anglo-Saxon literature ), or even be distributed within a plurality of suitable structures.
  • the data packets transmitted by the operating system OS (respectively the application APP_i) to the destination equipment EQUIP_OS (respectively EQUIP_APP_i) can contain data from which it is possible to determine identification relating to the identity and/or to the environment of the user who owns the terminal UE.
  • one or more applications embedded in the terminal UE can for example be provided by the developer of the operating system OS itself.
  • the risk that particularly accurate credentials could be derived from a correlation between the data emitted by these applications and the operating system OS is even higher.
  • user environment refers to any entity to which it is possible to associate an identity of its own (i.e. which makes it possible to distinguish it from another entity).
  • These may be, for example, terminals (and therefore ultimately the users to whom they belong) located in the vicinity of the UE terminal, networks via which the UE terminal transmits data, equipment operated by one or more companies and whose operation involves the transmission of data on networks also used by the UE terminal, etc.
  • identification information is carried out from the collection of sensitive data transmitted by the OS operating system (respectively by the APP_i application), as well as by the implementation of specific processing for the data sensitive thus collected.
  • processing consists, for example, in extracting or inferring identification information from the sensitive data collected. They may also consist of correlating the sensitive data collected with other data, such as GPS type location data.
  • processing operations in question can be executed by the equipment items EQUIP_OS, EQUIP_APP_i themselves, or else be delegated by these equipment items to dedicated processing means.
  • the person skilled in the art knows the processing that can be carried out using sensitive data (eg: syntactic verification, integrity verification, correlation, aggregation, de-anonymization), so as to be able to determining identification information relating to the identity and/or the environment of the user who uses the terminal UE.
  • sensitive data eg: syntactic verification, integrity verification, correlation, aggregation, de-anonymization
  • the point of view adopted so far as to the origin of the sensitive data is intended to be conventional insofar as it has been described that these could be transmitted by the operating system OS and/or by the APP_1 applications, ..., APP_N.
  • the invention is nevertheless not limited to this type of sensitive data, but also covers the case of sensitive data transmitted (typically without the knowledge of the user of the terminal UE) by the local network NET_LOC and/or by the network of access NET_ACC.
  • These networks are in fact likely to inject sensitive data into packets sent by the terminal UE to the Internet network NET_GLOB.
  • the injection of this data is, for example, carried out at the application level (e.g. in the headers of the communication protocol used for data transmission such as the HTTP protocol, in the TCP options, in the options IPv4, in IPv6 extension headers, in UDP options, etc.).
  • sensitive data is any of the elements of a list comprising: - location data of the UE terminal (e.g. GPS type data), - an IMSI or MSISDN or IMEI number associated with said UE terminal, - a SIM card number fitted to said UE terminal, - an access network identifier NET_ACC (e.g.
  • an IPv6 prefix of the access network NET_ACC an IPv6 prefix of the access network NET_ACC
  • - an identifier of said local network examples: an IPv6 prefix of the local network NET_LOC, a MAC hardware address of the CPE equipment
  • - an IP address or a MAC hardware address of the UE terminal - an IP address or a MAC hardware address of at least one other terminal positioned in the vicinity of said UE terminal, - a persistent identifier associated with said at least one terminal (eg: a hardware serial number, also called "hardware serial number" in English).
  • the invention consists in being able to identify sensitive data inserted in at least one data packet transmitted by the terminal UE, before the transmission of said at least one data packet to the Internet network NET_GLOB, and taking into account the fact that the insertion in question is performed by at least one source (operating system OS, application APP_i, local network NET_LOC, access network NET_ACC, etc.).
  • the invention is also based on the fact that such identification of sensitive data is carried out by one or more entities of the sensitive data management system SYS which are distinct from the destination equipment EQUIP_OS, EQUIP_APP_i.
  • the sensitive data management system SYS also comprises, in this embodiment, four so-called “research” devices PAP (acronym of the English expression “Provider Assisted Privacy enforcement point ”): PAP_1, PAP_2, PAP_3, PAP_4.
  • Each search device PAP_j (j being an integer index between 1 and 4) is configured to carry out processing operations making it possible, in particular, to search for sensitive data in data packets transmitted by the terminal UE, by implementing a method of search for sensitive data (said more simply “search method” hereafter) according to the invention.
  • search devices PAP_j share common elements of hardware and software architecture for implementing said search method, they can also present certain characteristics which are specific to them (and which therefore have an influence on different modes of implementation possible for the research process). Aspects related to the hardware and software architecture of said PAP_j search devices are dealt with in detail later, the present description initially focusing on the possible locations for each of said PAP_j search devices.
  • the search device PAP_1 is deployed in the access network NET_ACC. Furthermore, said search device PAP_1 is directly linked to the terminal UE by a communication tunnel TUN_1 making it possible to force the routing of data packets from the terminal UE to said search device PAP_1 (ie the search device PAP_1 is not located on any routing route of a data packet to the destination equipment associated with this packet), as well as to establish, in the embodiment described here, a secure connection between the latter.
  • the transmission of data via said communication tunnel TUN_1 is carried out, in a manner known per se, by implementing encapsulation, or even encryption, of the data transmitted.
  • encapsulation protocol that can be considered (IPsec, TLS, QUIC, GRE, DTLS, etc.).
  • the search device PAP_2 for its part, is deployed in the Internet network NET_GLOB and is, in the present embodiment, directly connected to the terminal UE by a single communication tunnel TUN_2 also making it possible to force the routing of data packets from the terminal UE to said search device PAP_2 as well as to establish, in the embodiment described here, a secure connection between the latter.
  • the tunnel TUN_1 (respectively TUN_2) can be deployed between the CPE and the search device PAP_1 (respectively PAP_2) in the case where said CPE itself incorporates a search device PAP.
  • At least one of said tunnels TUN_1, TUN_2 is not a secure tunnel.
  • the search device PAP_3, for its part, is integrated into the CPE equipment, so that it is located, ultimately, on a route configured by default for the routing of data packets to the destination equipment EQUIP_OS, EQUIP_APP_i.
  • the default configuration of said route is more specifically performed at the level of the terminal UE.
  • no communication tunnel is established between the terminal UE and the equipment CPE.
  • the search device PAP_3 is deployed in the local network NET_LOC without being integrated into the CPE.
  • the research device PAP_4 is also deployed in the access network NET_ACC. Nevertheless, unlike the search device PAP_1, said search device PAP_4 is located on a route configured by default at the level of the terminal UE (or at the level of the equipment CPE) in the present embodiment.
  • a communication tunnel makes it possible to force the routing of data packets from the terminal UE to a search device, and is therefore necessary in the case of the search devices PAP_1 and PAP_2 which are not on a route for routing data packets to the destination equipment EQUIP_OS, EQUIP_APP_i.
  • the fact remains that the use of a communication tunnel is not limited to such provisions, and can in particular be envisaged for a research device already placed on such a route, in particular to secure the transmission of data routed via said tunnel (e.g.: a local root is installed on the terminal UE in order to be able to involve at least one of said search devices PAP_3, PAP_4 in a secure connection established for a route followed by data packets towards a destination equipment).
  • search devices in the event that several search devices are deployed, there is also nothing to exclude all or part of said search devices from being deployed only in a subset of the list formed by the access network NET_ACC, the NET_GLOB Internet network and CPE equipment. Furthermore, even when several search devices are deployed, the latter are not necessarily all activated.
  • the search devices PAP_j search for sensitive data in data packets transmitted by the terminal UE, and that any sensitive data detected are made available to the user of said terminal UE (as described later), offers the possibility advantageous to said user to be informed that sensitive data is transmitted (typically without his knowledge) by the operating system OS and/or one or more applications APP_i and/or the local network NET_LOC and/or the access network NET_ACC . In this way, the user of the UE terminal can become aware of the exposure of identification information concerning him or his environment.
  • the said user may, in relation to the general conditions of sale of the service(s) subscribed to with his access provider, request a termination of his contract, challenge an administrative authority responsible for ensuring data protection personal data in computer processing (e.g.: the Commission Nationale de l'Informatique et des Libertés, known as "CNIL", as far as France is concerned), request the deletion of certain sensitive data after a specified period (e.g.: deleting an identifier from the UE terminal), deleting such sensitive data itself, etc.
  • an administrative authority responsible for ensuring data protection personal data in computer processing e.g.: the Commission Nationale de l'Informatique et des Libertés, known as "CNIL", as far as France is concerned
  • CNIL Commission Nationale de l'Informatique et des Libertés
  • the various actions aimed at limiting the exposure of the digital identity can be implemented by an entity other than the user of the UE terminal itself. Indeed, it is not excluded to consider embodiments of the invention in which several terminals are active. In this case, the entity in question can for example be an entity in charge of managing said plurality of terminals. These aspects are described in more detail later.
  • a mode in which a search device PAP_j stores the sensitive data that it detects in a software file to which the user can have access this mode is described in more detail later.
  • a software file can be seen as a representation of the digital identity of the user of the terminal UE which is deduced from the sensitive data identified by the search device PAP_j.
  • This software file can, for example, be made directly available to the user by being transmitted to a reachability address of the UE terminal.
  • a notification can be sent by the device PAP_j to a contact address of the user (e.g.: an email address) who, upon receipt of said notification, is informed that he can consult the file software in question, the latter having been transmitted to a dedicated storage space (e.g. database).
  • a contact address of the user e.g.: an email address
  • a dedicated storage space e.g. database
  • each identified sensitive data is immediately notified to the user, for example via said contact address or else via said reachability address.
  • Figures 2 and 3 represent respectively examples of hardware architecture of the search device PAP_3 of the search device PAP_4 belonging to the sensitive data management system SYS of the .
  • an index k equal to 3 or 4 is used to designate the search device PAP_3 or the search device PAP_4 without distinction.
  • the PAP_k research device has the hardware architecture of a computer.
  • the search device PAP_k comprises, in particular, a processor 1_k, a random access memory 2_k, a read only memory 3_k and a non-volatile memory 4_k. It further includes a 5_k communication module.
  • the read only memory 3_k of the search device PAP_k constitutes a recording medium in accordance with the invention, readable by the processor 1_k and on which is recorded a computer program PROG_k in accordance with the invention, comprising instructions for the execution steps of a particular mode of implementation of the search method according to the invention.
  • the program PROG_k defines functional modules of the search device PAP_k, which are based on or control the hardware elements 1_k to 5_k of the search device PAP_k mentioned above, and which include in particular in the embodiment described here: - a reception module MOD_RX_k configured to receive at least one data packet transmitted by the terminal UE and having as destination a destination equipment EQUIP_OS, EQUIP_APP_i, - a verification module MOD_VERIF_k configured to verify whether a CRIT_AUTH criterion for authorization of identification of sensitive data for the terminal UE is satisfied, - a search module MOD_ID_k configured to search for sensitive data inserted in said at least one data packet, - a provision module MOD_DISP_k configured to make available to the user of the terminal UE, if necessary (ie if sensitive data is detected in said at least one data packet), information on the sensitive data detected, - a MOD_TX_k transmission module configured to relay said at least one data packet to the destination equipment EQUIP
  • the provision module MOD_DISP_k comprises more particularly: - A storage sub-module SS_MOD_MEM_k configured to store, if sensitive data associated with the terminal UE are identified in said at least one packet, information representative of said sensitive data in a software file MEMO_UE_k associated with said terminal UE.
  • Said software file MEMO_UE_k corresponds, as mentioned above, to a digital identity of the user of the terminal UE which derives from the sensitive data identified by the search module MOD_ID_k equipping the search device PAP_k.
  • the storage performed by the storage module MOD_MEM_k consists, when it is repeated over time due to searches for sensitive data in a plurality of data packets, of an update of said software file MEMO_UE_k, - a verification sub-module SS_MOD_VERIF_k configured to check if an alert criterion CRIT_AL_k is satisfied, - a transmission sub-module SS_MOD_EMI_k configured to transmit, if the alert criterion CRIT_AL_k is satisfied, an alert message MESS_AL_k to the terminal UE, said alert message MESS_AL_k being configured to allow access to said terminal UE audit software file MEMO_UE_k.
  • the communication module 5_k for its part, is in particular configured to allow the search device PAP_k to receive data from the terminal UE, as well as to transmit data to the destination equipment EQUIP_OS, EQUIP_APP_i. To this end, the communication module 5_k integrates the reception module MOD_RX_k as well as the transmission module MOD_TX_k.
  • the transmission module MOD_TX_k which equips the search device PAP_k enables the latter to act as a proxy between the terminal UE and the destination equipment EQUIP_OS, EQUIP_APP_i for which a data packet is intended. If this transmission module MOD_TX_k was not present, then a data packet transmitted by the terminal UE to a destination equipment EQUIP_OS, EQUIP_APP_i and which would be received by the search device PAP_k could not be routed beyond said search for PAP_k insofar as the latter is placed in a flow break between the terminal UE and the appropriate destination equipment EQUIP_OS, EQUIP_APP_i.
  • said authorization criterion CRIT_AUTH is representative of a subscription by the user of the terminal UE to a service contract with the access provider responsible for managing the network of NET_ACC access.
  • This contract may relate more particularly to a paid service offered by said access provider to allow the analysis of data packets, with the aim of detecting sensitive data therein and thus offering the possibility of becoming aware of the exposure of credentials. Consequently, in this exemplary embodiment, the authorization criterion CRIT_AUTH may not be satisfied if, for example, the user has not subscribed to said paying service, or if the user is late in paying a monthly subscription to said paid service, etc.
  • said authorization criterion CRIT_AUTH is representative of the agreement of the user of the terminal UE with the access provider responsible for managing the access network NET_ACC for data packets to be analyzed , this user agreement being given independently of any subscription to a contract for a service such as that which is the subject of the previous example.
  • the service provided by the access provider is a free service offered to the user of the UE terminal, the latter simply having to give his consent for this service to be active. Consequently, in this exemplary embodiment, the authorization criterion CRIT_AUTH may not be satisfied if, for example, the user of the terminal UE has not given his consent to the access provider.
  • an authorization criterion CRIT_AUTH (and therefore ultimately taking into account a verification module MOD_VERIF_1) is, within the meaning of the invention, optional. Indeed, nothing excludes considering, for example, that the access provider offers de facto and free of charge a service consisting in detecting sensitive data in data packets, so that by choosing precisely this provider of access, the user of the terminal UE knows that his data packets will be analyzed.
  • each search device PAP_1, PAP_2, PAP_3, PAP_4 is configured to verify a single and same representative authorization criterion CRIT_AUTH a subscription by the user of the terminal UE to a contract with the access provider responsible for managing the access network NET_ACC.
  • the alert criterion CRIT_AL_k for its part, is linked to (is defined according to) a threshold beyond which the alert message MESS_AL_k is emitted.
  • This threshold called “exposure threshold S_EXP_k” aims to quantify the level of exposure of the user of the UE terminal, i.e. the risk that the identity of an entity such as the user of the terminal UE is compromised from the sensitive data detected by the search module MOD_ID_k equipping the search device PAP_k.
  • the exposure threshold S_EXP_k can for example be defined from a bit encoding. More precisely, this encoding may consist in associating a certain number of bits with the sensitive data so as to characterize their contribution to the identification of the user of the terminal UE. Such an approach makes it possible to measure in a unified and global way the exposure of an entity through the sensitive data detected.
  • PII data acronym for the English expression "Personally Identifiable Information”
  • other information conveyed in data packets transmitted by the terminal UE can make it possible to establish unique profiles, and therefore ultimately to trace the user of the terminal UE (for example, by correlation with data of the GPS type) .
  • the greater the number of bits necessary to characterize the exposure threshold S_EXP_k the lower the probability of tracing a user.
  • an exposure threshold S_EXP_k coded on 32 bits is better than an exposure threshold S_EXP_k coded on 16 bits.
  • the alert criterion CRIT_AL_k is also linked to (defined as a function of) a setting (hardware and/or software) of the search module MOD_ID_k, this setting defining the sensitive data that the search device PAP_k is intended to search for.
  • search devices PAP_1, PAP_2, PAP_3 and PAP_4 are not necessarily all configured to detect identical sensitive data. Also, within the meaning of the present invention, all of the sensitive data that a search device PAP_j (j ranging from 1 to 4) is able to detect (and therefore ultimately the configuration itself of said search device search PAP_j) is referred to as "dictionary”.
  • said search device PAP_k identifies sensitive data according to a profile associated with the terminal UE and defined (chosen, parameterized ) by the user of said terminal UE. More particularly, the user can define, for example by means of an interface (screen, keyboard, etc.) of his UE terminal or directly from the access provider, a filtering list characterizing the sensitive data that said user wants see identified.
  • the granularity of such a filtering list can be adjusted, for example by specifying only one or more sources (operating system OS, application APP_i, local network NET_LOC, access network NET_ACC), or even by specifying, for a or more given sources, which sensitive data must imperatively be identified (specific header(s) in message packets, etc.).
  • the search device PAP_k can identify (according to its dictionary), as sensitive data, any data which does not belong to said filtering list and which can therefore contribute to satisfying the alert criterion CRIT_AL_k (e.g.: detection of a new destination device and/or new message header not appearing among a list of destination devices and/or headers associated with the UE terminal).
  • the configuration of the search device PAP_k to define the sensitive data that the latter is intended to identify, is not limited to the examples detailed above. Thus, nothing excludes, for example, considering a configuration making it possible to identify only a subset of the sensitive data associated with a profile associated with the terminal UE.
  • the search device PAP_k is configured so as to identify, possibly in addition to sensitive data specified by a profile associated with the terminal UE, sensitive data which is not specified by said profile.
  • sensitive data which do not appear in the profile associated with the terminal UE can, for example, be defined in a profile associated with the search device PAP_k and configured by the access provider to the access network NET_ACC.
  • alert criterion CRIT_AL_k is defined, in particular as regards, where applicable, the value of the exposure threshold S_EXP_k and/or the setting of the search module MOD_ID_k.
  • the alert message MESS_AL_k includes a contact address @UE_k associated with the entity to which the terminal UE belongs (i.e. said user in the example considered here).
  • Said contact address @UE_k points to a memory space (eg: cloud) in which the software file MEMO_UE_k is transferred by the search device PAP_k to be stored there.
  • the user can decide to download the software file MEMO_UE_k from said contact address @UE_k when he receives the alert message MESS_AL_k, so as to be able to consult said MEMO_UE_k file using an appropriate interface (p .ex: phone screen).
  • the alert message MESS_AL_k includes the software file MEMO_UE_k, which is therefore transmitted directly to the terminal UE (i.e. by using a reachability address said terminal UE) without the latter needing to connect to a contact address.
  • no alert message MESS_AL_k is transmitted, the user of the terminal UE being able to consult said software file MEMO_UE_k when it sees fit, for example by sending a request to the search device PAP_k so that the latter directly transmits said software file MEMO_UE_k to it (it is understood that in this case the presence of the transmission module MOD_EMI_k is useless).
  • an index p equal to 1 or 2 is used to designate the search device PAP_1 or the search device PAP_2 without distinction.
  • the PAP_p research device has the hardware architecture of a computer.
  • the search device PAP_p comprises, in particular, a processor 1_p, a random access memory 2_p, a read only memory 3_p and a non-volatile memory 4_p. It further comprises a 5_p communication module.
  • the read only memory 3_p of the search device PAP_p constitutes a recording medium in accordance with the invention, readable by the processor 1_p and on which is recorded a computer program PROG_p in accordance with the invention, comprising instructions for the execution steps of a particular mode of implementation of the search method according to the invention.
  • the PROG_p program defines functional modules of the search device PAP_p, which are based on or control the hardware elements 1_p to 5_p of the search device PAP_p mentioned above, and which include in particular in the embodiment described here: - a reception module MOD_RX_p configured to receive at least one data packet corresponding to a copy of an original data packet transmitted to a destination equipment EQUIP_OS, EQUIP_APP_i, said copy being transmitted by means of a secure connection between said terminal UE and said search device PAP_p (said secure transmission taking place more particularly via the tunnel TUN_p).
  • said copy is not relayed by said search device PAP_p to the destination equipment EQUIP_OS, EQUIP_APP_i, - a verification module MOD_VERIF_p configured to verify whether the CRIT_AUTH criterion for authorization of identification of sensitive data for the terminal UE is satisfied, - a search module MOD_ID_p configured to detect sensitive data inserted in the copy of said at least one original packet, a provision module MOD_DISP_p configured to make available to the user of the terminal UE, if necessary (ie if sensitive data is detected in said copy), information on the sensitive data detected.
  • the provision module MOD_DISP_p comprises more particularly, in the embodiment described here: - a storage sub-module SS_MOD_MEM_p configured to store, if sensitive data associated with the terminal UE is identified in said copy, information representative of said sensitive data in a software file MEMO_UE_p associated with said terminal UE, - a verification sub-module SS_MOD_VERIF_p configured to check if an alert criterion CRIT_AL_k is satisfied, - a transmission sub-module SS_MOD_EMI_p configured to transmit, if the alert criterion CRIT_AL_p is satisfied, an alert message MESS_AL_p to the terminal UE, said alert message MESS_AL_p being configured to allow access to said terminal UE said software file MEMO_UE_p (the alert message MESS_AL_p comprises a contact address @UE_p associated with the entity to which the terminal UE belongs).
  • the communication module 5_p for its part, is in particular configured to allow the search device PAP_p to receive data from the terminal UE.
  • the communication module 5_p integrates the reception module MOD_RX_p.
  • the architecture of the search device PAP_p differs from that of the search device PAP_k in that the search device PAP_p is intended to receive, via the terminal UE, copies of original data packets. Said search device PAP_p is thus placed on the margins of the search device PAP_k which is in particular configured to relay a data packet (proxy mode thanks to the transmission module MOD_TX_p). Conversely, the search device PAP_p is not equipped with a transmission module, so that it is not configured to relay a copy of a packet to a destination device EQUIP_OS, EQUIP_APP_i for which the associated original data packet.
  • the terminal UE is configured, in the present embodiment, to interact with each of the search devices PAP_1, PAP_2, PAP_3 and PAP_4, by implementing a communication method according to the invention.
  • the terminal UE has the hardware architecture of a computer.
  • the terminal UE comprises, in particular, a processor 1_UE, a random access memory 2_UE, a read only memory 3_UE and a non-volatile memory 4_UE. It further comprises a 5_UE communication module.
  • the read only memory 3_UE of the terminal UE constitutes a recording medium in accordance with the invention, readable by the processor 1_UE and on which is recorded a computer program PROG_UE in accordance with the invention, comprising instructions for the execution of steps of a particular mode of implementation of the communication method according to the invention.
  • the PROG_UE program defines functional modules of the UE terminal, which are based on or control the hardware elements 1_UE to 5_UE of the UE terminal mentioned above, and which include in particular in the embodiment described here: - a MOD_CREA_UE processing module configured to establish the tunnels TUN_1 and TUN_2 with the search devices PAP_1 and PAP_2 respectively, - a copy module MOD_REP_UE configured to duplicate at least one data packet intended to be transmitted to a destination device EQUIP_OS, EQUIP_APP_i, - a MOD_TX_UE transmission module configured to transmit at least one original data packet or else a copy of said at least one original data packet, - an access module MOD_ACC configured to access information on sensitive data detected in said at least one data packet (the information in question corresponds to that made available by a search device PAP_j).
  • a MOD_CREA_UE processing module configured to establish the tunnels TUN_1 and TUN_2 with the search devices PAP_1 and PAP_
  • the access module MOD_ACC comprises more particularly: - a first reception sub-module SS_MOD1_RX_UE configured to receive an alert message MESS_AL_j (j ranging from 1 to 4) from a search device PAP_j, - a transmission sub-module SS_MOD_TX_UE configured to transmit, to the contact address @UE, a request for downloading the software file MEMO_UE_j stored by said search device PAP_j and transferred to said contact address @UE, - a second reception sub-module SS_MOD2_RX_UE configured to receive (in response to said download request) said software file MEMO_UE_j.
  • the communication module 5_UE integrates the transmission module MOD_TX_UE as well as the access module MOD_ACC.
  • the knowledge of the existence of the search devices PAP_1 and PAP_2 may result, for example, from a discovery procedure implemented by the terminal UE (sending of requests, reception of responses to said requests, etc.), in which case the terminal UE comprises hardware and/or software means configured to implement such a discovery procedure.
  • the knowledge of the existence of the search devices PAP_j results from a transmission of information from the access provider. In general, no limitation is attached to the way in which the terminal UE acquires knowledge of the existence of the search devices PAP_j.
  • duplicating data packets comes under technical procedures known to those skilled in the art, the terminal UE (respectively the equipment CPE) being configured in an appropriate manner (in particular by means of the copy module MOD_REP_UE) to put in implementation of such procedures (activation of the duplication of data packets, for example).
  • the terminal UE (respectively the equipment CPE) being configured in an appropriate manner (in particular by means of the copy module MOD_REP_UE) to put in implementation of such procedures (activation of the duplication of data packets, for example).
  • the sensitive data management system SYS here comprises the search devices PAP_3 and PAP_4 configured to play the role of proxy
  • a local root (“local root certificate” in English) is installed on the terminal UE in order to be able to involve at least one of said search devices PAP_3, PAP_4 in a secure connection established for a route followed by data packets towards destination equipment.
  • Said mode of the general process includes: - a particular mode of the communication method according to the invention and implemented by the terminal UE, - particular modes of the identification method according to the invention and respectively implemented by the search devices PAP_1, PAP_2, PAP_3 and PAP_4.
  • the terminal UE sends a data packet P1_OS. More particularly, said data packet is transmitted by the operating system OS of the terminal UE. It is also considered that the data packet P1_OS is copied by the terminal UE, this aspect being described in more detail below.
  • the user of the UE terminal has defined a filtering list L_FILT listing the sensitive data that he wishes to see identified.
  • said filtering list L_FILT aims to ensure that all the sensitive data originating from the operating system OS as well as from the single application APP_1 are identified.
  • the search module MOD_ID_1 of the search device PAP_1 is configured so as to allow the identification of sensitive data originating from said operating system OS
  • the search module MOD_ID_2 of the search device PAP_2 is configured so as to allow the identification of sensitive data originating from said operating system OS, as well as from the local network NET_LOC and from the access network NET_ACC
  • the search module MOD_ID_3 of the search device PAP_3 is configured so as to allow the identification of sensitive data originating from the application APP_1
  • the search module MOD_ID_4 of the search device PAP_4 is configured so as to allow the identification of sensitive data originating from the operating system OS as well as from the applications APP_1 and APP_2.
  • the search devices PAP_2 and PAP_4 are able to identify sensitive data originating from sources which are not included in the filtering list L_FILT configured by the user of the terminal UE.
  • the dictionary associated with the search device PAP_2 has a non-empty intersection with the filtering list L_FILT (this intersection corresponding only to the data coming from the operating system OS).
  • the filtering list L_FILT is moreover strictly included in the dictionary associated with the search device PAP_4.
  • the search device PAP_2 merely identifies sensitive data coming from the operating system OS, but not from the local network NET_LOC nor from the access network NET_ACC.
  • the search device PAP_4 for its part, is content to identify sensitive data coming from the operating system OS as well as from the application APP_1, but not from the application APP_2, - A second case in which at least one of said search devices PAP_2, PAP_4 does not take account of the filtering list L_FILT, for example because the access provider has not communicated it to it.
  • said at least search device PAP_2, PAP_4 identifies all the sensitive data for which its identification module MOD_ID_2, MOD_ID_4 is configured, independently of the content of the filtering list L_FILT.
  • Such an implementation allows for example the access provider to develop a gradual commercial offer.
  • the access provider can initially simply warn the user that the application APP_2 transmits sensitive data, without revealing the nature of said sensitive data (p eg the nature of the sensitive data is masked in the software file MEMO_UE_4).
  • Full access to said sensitive data transmitted by the APP_2 application may therefore be subject to an additional payment by the user (eg: amendment to the contract subscribed by the user of the UE terminal).
  • each of said search devices PAP_2, PAP_4 implements a particular mode of the identification process according to provisions in accordance with the second case mentioned above (i.e. the filtering list L_FILT is not taken into account).
  • the general method comprises a step E10_UE of sending said data packet P1_OS by the operating system OS of the terminal UE. More particularly, the P1_OS packet is transmitted to the CPE equipment along a route configured by default at the level of the terminal UE. In other words, the P1_OS packet is intended to be received by the search devices PAP_3 and PAP_4.
  • Said step E10_UE is implemented by the transmission module MOD_TX_UE equipping the terminal UE and is an integral part, in said mode, of the communication method executed by said terminal UE.
  • the general method also comprises a step E20_UE of duplicating said data packet P1_OS, so as to obtain a copy P1_OS_BIS.
  • Said copy P1_OS_BIS is also sent by the terminal UE during a step E30_UE, more particularly to the search devices PAP_1 and PAP_2 via the tunnels TUN_1 and TUN_2 respectively.
  • Said steps E20_UE and E30_UE are respectively implemented by the copy module MOD_REP_UE and the send module MOD_TX_UE equipping said terminal UE and form an integral part, in said mode, of said communication method.
  • each search device PAP_j Upon receipt of said data packet P1_OS (steps E40_3, E40_4) as well as of said copy P1_OS_BIS (steps E40_1 E40_2), each search device PAP_j implements a step E50_j for verifying the authorization criterion CRIT_AUTH. Said steps E40_j and E50_j are respectively implemented by the reception module MOD_RX_j and the verification module MOD_VERIF_j equipping the search device PAP_j, and form an integral part, in said mode, of the search method executed by said search device PAP_j.
  • the authorization criterion CRIT_AUTH is satisfied. Furthermore, given the assumptions made on the dictionaries associated respectively with the search devices PAP_1, PAP_2, PAP_3 and PAP_4, only the devices PAP_1, PAP_2 and PAP_4 are able to identify sensitive data in the packet P1_OS (or P1_OS_BIS on where applicable), by comparison with said dictionaries.
  • the general method then comprises, for the search devices PAP_1, PAP_2, PAP_4, steps E60_1, E60_2, E60_4 of searching for sensitive data in the packet P1_OS (or P1_OS_BIS if applicable).
  • Said steps E60_1, E60_2, E60_4 are implemented by the search modules MOD_ID_1, MOD_ID_2, MOD_ID_4 equipping the search devices PAP_1, PAP_2, PAP_4 and form an integral part, in said mode, of the search methods executed respectively by said search devices.
  • the search devices PAP_1, PAP_2, PAP_4 then implement steps E70_1, E70_2, E70_4 for storing (updating) information representative of the sensitive data detected in the software files MEMO_UE_1, MEMO_UE_2, MEMO_UE_4.
  • Said steps E70_1, E70_2, E70_4 are implemented by the storage sub-modules SS_MOD_MEM_1, SS_MOD_MEM_2, SS_MOD_MEM_4 equipping the search devices PAP_1, PAP_2, PAP_4 and form an integral part, in said mode, of the search methods respectively executed by said search devices PAP_1, PAP_2, PAP_4.
  • the search devices PAP_3, PAP_4 implement steps E80_3, E80_4 for transmitting the data packet P1_OS to the destination equipment EQUIP_OS.
  • Said steps E80_3, E80_4 are implemented by the transmission modules MOD_TX_3, MOD_TX_4 equipping the search devices PAP_3, PAP_4 and form an integral part, in said mode, of the search methods respectively executed by said search devices PAP_3, PAP_4.
  • copy P1_OS_BIS is not transmitted by the search devices PAP_1, PAP_2 to the destination equipment EQUIP_OS. Indeed, and as detailed above, only the search devices PAP_3, PAP_4 are configured to play a proxy role.
  • the search devices PAP_1, PAP_2, PAP_4 also implement steps E90_1, E90_2, E90_4 for checking the alert criteria CRIT_AL_1, CRIT_AL_2, CRIT_AL_4.
  • Said steps E90_1, E90_2, E90_4 are implemented by the verification sub-modules SS_MOD_VERIF_1, SS_MOD_VERIF_2, SS_MOD_VERIF_4 equipping the search devices PAP_1, PAP_2, PAP_4 and form an integral part, in said mode, of the identification methods respectively executed by said search devices PAP_1, PAP_2, PAP_4.
  • the general method comprises a step E110_1 of transmission, by the search device PAP_1 and to the terminal UE, of an alert message MESS_AL_1 configured to allow said terminal UE to access the software file MEMO_UE_1.
  • the alert message MESS_AL_1 includes the contact address @UE to which the software file MEMO_UE_1 is transferred by the search device PAP_1 (said transfer being carried out during a step E100_1 implemented by the means of communications 5_1 equipping the search device PAP_1).
  • Said step E110_1 is implemented by the transmission sub-module SS_MOD_EMI_1 equipping the search device PAP_1 and is an integral part, in said mode, of the identification process executed by said search device PAP_1.
  • the general method also comprises a step E120_UE of reception, by the terminal UE, of the alert message MESS_AL_1 emitted by the search device PAP_1.
  • Said step E120_UE is implemented by the first reception sub-module SS_MOD1_RX_UE equipping the terminal UE and is an integral part, in said mode, of the communication method executed by said terminal UE.
  • the terminal UE On receipt of the alert message MESS_AL_1, the terminal UE implements a step E130_UE of transmission, to the contact address @UE, of a request REQ_UE_1 for downloading the software file MEMO_UE_1.
  • Said step E130_UE is implemented by the transmission sub-module SS_MOD_TX_UE equipping the terminal UE and is an integral part, in said mode, of the communication method executed by said terminal UE.
  • the general method also includes, in said mode of implementation, a step E140_UE of reception, by the terminal UE and in response to said request REQ_UE_1, of the software file MEMO_UE_1.
  • Said step E140_UE is implemented by the second reception sub-module SS_MOD2_RX_UE equipping the terminal UE and is an integral part, in said mode, of the communication method executed by said terminal UE.
  • the user of the terminal UE can consult it, for example using display means (e.g.: screen) fitted to the terminal UE, so as to be aware of the content of said software file MEMO_UE_1.
  • display means e.g.: screen
  • each search device PAP_j is configured to store sensitive data in a software file MEMO_UE_j that it is the only one to hold ( before any sharing with the UE terminal).
  • the invention is not however limited to these modes, and it is also possible to envisage other modes in which, once sensitive data has been detected by one or more search devices PAP_j, these sensitive data are transmitted to a data processing device, called the “aggregation device” PAP_AG (not shown in the ), belonging to the sensitive data management system SYS and configured to store them in a globalized software file.
  • Such a globalized software file can be viewed as the compilation of all software files that would otherwise be generated if the invention were implemented in accordance with the modes described thus far.
  • the fact of using such an aggregation device PAP_AG as well as such a globalized software file proves to be particularly advantageous in the case where the terminal UE is connected to a plurality of networks via a plurality of interfaces. Indeed, in this way, the user of said UE terminal can have access, via a single software file (i.e. said globalized software file), to his global digital identity, that is to say his digital identity as constructed in through the different networks to which the terminal UE can connect. It is understood in particular that in cases where sensitive data transmitted via separate interfaces does not allow, when considered in isolation, to have access to identification information, there is nevertheless a risk that the latter may be obtained from a correlation of the data thus collected on several interfaces.
  • the aggregation device PAP_AG can be located in any network used by the sensitive data management system SYS (local network NET_LOC, access network NET_ACC, global network NET_GLOB), or even in another network.
  • the aggregation device PAP_AG has the hardware architecture of a computer.
  • the aggregation device PAP_AG comprises, in particular, a processor 1_AG, a random access memory 2_ AG, a read only memory 3_ AG and a non-volatile memory 4_ AG. It further comprises a communication module 5_ AG.
  • the read only memory 3_ AG of the aggregation device PAP_ AG constitutes a recording medium in accordance with the invention, readable by the processor 1_ AG and on which is recorded a computer program PROG_ AG in accordance with the invention, comprising instructions for the execution of steps of a particular mode of implementation of the identification method according to the invention.
  • the program PROG_ AG defines functional modules of the aggregation device PAP_ AG, which are based on or control the hardware elements 1_ AG to 5_ AG of the aggregation device PAP_ AG mentioned above, and which include in particular in the embodiment described here : - a reception module MOD_RX_AG configured to receive, from the search devices PAP_j (j ranging from 1 to 4), sensitive data detected by said search devices PAP_j (it should be noted that in this case, each of said search devices is equipped with a transmission module configured to transmit the identified sensitive data to the aggregation device PAP_AG), - a provision module MOD_DISP_AG configured to provide the user of the terminal UE with information on the sensitive data detected.
  • Said MOD_DISP_AG provision module comprises more particularly, in the embodiment described here: - a storage sub-module SS_MOD_MEM_AG configured to store, in a software file MEMO_UE_AG associated with said terminal UE, information representative of the sensitive data transmitted by said search devices PAP_j, - a verification sub-module SS_MOD_VERIF_AG configured to check if an alert criterion CRIT_AL_AG is satisfied, - a transmission sub-module SS_MOD_EMI_AG configured to transmit, if the alert criterion CRIT_AL_AG is satisfied, an alert message MESS_AL_AG to the terminal UE, said alert message MESS_AL_AG being configured to allow access to said terminal UE audit software file MEMO_UE_AG.
  • search for sensitive data carried out by a search device PAP_j is based on a pre-established dictionary associated with said search device PAP_j and which is not intended to be enriched progressively. as data packets are received by said search device PAP_j. Such a search for data can therefore be seen as a static process.
  • the invention is not however limited to such a static process, and it is in particular possible to envisage modes in which the data packets received by a search device PAP_j are used to enrich (complete) its dictionary. Such modes therefore make it possible, unlike the static process mentioned above, to implement an identification of data representative of a dynamic process.
  • the search module MOD_ID_j equipping a search device PAP_j can be configured to run an automatic learning algorithm, so that this algorithm can detect recurring data patterns (identifier(s), number(s), address (s), etc.) contained in the data packets received by said search device PAP_j.
  • This learning algorithm corresponds for example to an algorithm from the field of artificial intelligence based in particular on machine learning techniques ("Machine Learning" in the Anglo-Saxon literature) and configured to carry out a semantic analysis of packets of data received. In general, any machine learning algorithm known to those skilled in the art can be implemented.
  • the learning algorithm can further be configured to maintain the persistence duration of detected recurring identifiers (1 day, 1 week, permanent), associate a type with such identifiers, etc.
  • a search device PAP_j recognizes recurring data patterns without knowing the structure of the data packets that it receives.
  • a search device PAP_j detects a recurring data pattern corresponding to an address (for example an IP address and/or SNI for "Server Name Identification” in English), and this address is not yet listed in its dictionary, it can then initiate a procedure aimed at resolving the identity of the entity associated with this address.
  • a procedure is known per se, and consists for example of issuing one or more requests to a suitable database (e.g.: WHOIS database).
  • the entity whose identification information is determined, via detected sensitive data is not limited to the single user of a terminal. Indeed, and as already mentioned before, it is not excluded to consider embodiments of the invention in which several terminals are active (i.e. the search device(s) can therefore identify sensitive data in transmitted packets by this plurality of terminals). In this case, the entity in question can for example be an entity in charge of managing said plurality of terminals.
  • the user of a smartphone corresponds to one of the children to whom said smartphone is assigned, said parent constituting the entity in charge of managing all of said smartphones (the digital identities determined, where applicable, for each of the children that can then be aggregated to form a representative digital identity associated with said parent).
  • the terminal UE “belongs” (directly) to the local network NET_LOC, or even “belongs” (indirectly) to the access network NET_ACC. Consequently, it is possible to consider, within the meaning of the present invention, an alternative according to which the entity whose identification information is determined, via detected sensitive data, is the local network NET_LOC or even the network of NET_ACC access.
  • the digital identity of the local network NET_LOC (respectively of the access network NET_ACC) as an aggregation of the identities respective digital terminals belonging to said local network NET_LOC (respectively to said access network NET_ACC).

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

L'invention concerne un procédé d'identification de données dites sensibles dans au moins un paquet de données (P1_OS, P1_OS_BIS) émis par au moins un terminal (UE) connecté à un réseau (NET_GLOB), des informations d'identification relatives à l'identité et/ou à l'environnement d'une entité à laquelle appartient ledit au moins un terminal pouvant être déterminées à partir de données sensibles ayant été insérées dans ledit au moins un paquet avant qu'il n'atteigne un équipement de destination. Ledit procédé comporte des étapes mises en œuvre par un dispositif de recherche (PAP_1, PAP_2, PAP_3, PAP_4), dont : - réception (E40_1_1, E40_1_2, E40_1_3, E40_1_4) dudit au moins un paquet de données, - recherche (E60_1_1, E60_1_2, E60_1_4) de données sensibles dans ledit au moins un paquet de données, - et, le cas échéant, mise à disposition de ladite entité d'informations sur les données sensibles détectées.

Description

Procédé de recherche de données sensibles dans au moins un paquet de données, dispositif et système associés.
La présente invention appartient au domaine général des télécommunications. Elle concerne plus particulièrement un procédé de recherche de données sensibles dans du trafic émis par au moins un terminal connecté à un réseau. Elle concerne également un dispositif configuré pour mettre en œuvre ledit procédé de recherche, et un système comportant un tel dispositif ainsi qu’un terminal de communication apte à prendre connaissance de données sensibles détectées par ledit dispositif. L’invention trouve une application particulièrement avantageuse, bien que nullement limitative, dans le cadre d’un service de recherche de données sensibles proposé à des utilisateurs par un fournisseur d’accès à un réseau « global » tel que le réseau Internet ou un réseau Intranet.
Le développement continu des technologies de l’information, ainsi que leur adoption et leur utilisation toujours plus importantes par les utilisateurs, contribuent à la transmission d’une quantité considérable de données sur les réseaux de communication exploitant ces technologies.
La transmission de ces données repose de manière conventionnelle sur l’échange de paquets de données émis par les terminaux en possession des utilisateurs. Il peut s’agir bien entendu de données dont un utilisateur sait qu’elles seront transmises, par exemple lorsqu’un appel téléphonique est passé au moyen d’un téléphone mobile.
Cela peut néanmoins aussi concerner des données insérées dans des paquets par un logiciel équipant un terminal en possession d’un utilisateur et transmises, depuis le terminal vers un équipement distant (serveur, instance logicielle, etc.), à l’insu dudit utilisateur. En particulier, il est connu que le ou les systèmes d’exploitation équipant le terminal d’un utilisateur, ainsi que la ou les applications logicielles installées sur ce terminal, peuvent transmettre des données à l’insu dudit utilisateur vers des équipements distants, comme par exemple des serveurs accessibles via un réseau (p. ex. le réseau Internet), données dont la gestion est assurée par le fabricant/concepteur dudit système d’exploitation/de ladite ou desdites applications.
A titre d’exemple nullement limitatif, des données transmises à l’insu d’un utilisateur par le système d’exploitation d’un téléphone mobile d’un utilisateur peuvent correspondre à l’un quelconque des éléments parmi :
- un numéro IMEI (acronyme de l’expression anglo-saxonne « International Mobile Equipment Identity »),
- un numéro de série du téléphone mobile,
- un numéro de série de la carte SIM insérée dans le téléphone mobile,
- un numéro de téléphone,
- une adresse IP locale,
- une adresse matérielle MAC (acronyme de l’expression anglo-saxonne « Media Access Control ») dudit téléphone mobile, voire éventuellement une ou plusieurs adresses matérielles MAC de terminaux situés dans le voisinage du téléphone mobile (par exemple, suite à l’exécution automatique par le téléphone mobile d’une procédure de découverte d’adresses matérielles MAC en vue d’une éventuelle association (appairage)), etc.
Il peut d’ailleurs être noté que de telles données sont susceptibles d’être transmises à l’insu de l’utilisateur alors même qu’aucune carte SIM n’est activée par le terminal mobile.
Des données ainsi transmises à l’insu d’un utilisateur peuvent faire l’objet d’une collecte systématisée par les équipements distants en question (et être ainsi qualifiées de « données de télémétrie »), pour finalement être utilisées dans la mise la œuvre de différents traitements.
De tels traitements peuvent par exemple consister en l’analyse d’une activité de la source (système d’exploitation, application logicielle) à l’origine de la transmission des données, permettant ainsi légitimement de contribuer à améliorer le fonctionnement de ladite source, par exemple via le développement et la mise à disposition de mises à jour ou correctifs (patchs) que l’utilisateur peut installer sur son terminal.
Cela étant, même en prenant en compte l’hypothèse d’une intention initialement louable de la part d’un fabricant/concepteur d’un système d’exploitation/d’une application logicielle (p. ex. amélioration logicielle comme évoqué ci-avant), la transmission de données à l’insu d’un utilisateur n’en reste pas moins problématique dans la mesure où elle contribue au risque que des informations relatives à l’identité dudit utilisateur puissent être déterminées à l’aide des données transmises. De telles informations sont des « informations d’identification » telles que définies par l’IETF (« Internet Engineering Task Force » en anglais) dans le document RFC 6973 de Juillet 2013.
On note que le fait de pouvoir obtenir de telles informations d’identification à partir des données transmises permet de qualifier ces dernières de « données sensibles ».
Cette détermination d’informations d’identification peut typiquement s’effectuer en corrélant ou en combinant entre elles des données sensibles transmises par différentes sources (système d’exploitation, application logicielle, etc.) et/ou en corrélant ou en combinant des données sensibles de différents types transmises par une même source et/ou encore en corrélant ou en combinant des données sensibles transmises par une ou plusieurs sources avec des données transmises par d’autres moyens logiciels, comme par exemple des données de localisation de type GPS (acronyme de l’expression anglo-saxonne « Global Positioning System »), etc.
En outre, lesdites informations d’identification ne se limitent pas nécessairement à l’identité même de l’utilisateur du terminal à l’origine de la transmission de données sensibles, mais peuvent aussi concerner plus généralement l’environnement dudit utilisateur, comme par exemple d’autres utilisateurs dont les terminaux respectifs sont situés dans le voisinage du terminal émetteur.
On note que la notion de « voisinage » fait ici référence à des terminaux situés à proximité d’un terminal donné et dont la présence peut être découverte, par exemple, à l’aide de mécanismes de diffusion (« broadcast » en anglais) mis en œuvre par ledit terminal donné en vue d’une éventuelle association (appairage), de maintien d’une table « ARP » (« Address Resolution Protocol » en anglais) ou « ND » (« Neighbor Discovery » en anglais).
A titre d’exemple, si des données sensibles transmises par un premier terminal divulguent des adresses matérielles MAC (ou tout autre identifiant persistant) d’autres terminaux situés dans le voisinage dudit premier terminal, il est possible d’accéder (modulo la mise en œuvre de corrélations idoines avec d’autres données) à des informations d’identification relatives aux utilisateurs de ces autres terminaux, comme par exemple des informations relatives aux fréquentations sociales, aux centres d’intérêt, aux lieux visités, etc. Qui plus est, la détermination de ces informations d’identification peut se faire alors même que ces autres terminaux supportent un système d’exploitation distinct de celui supporté par le premier terminal transmettant lesdites données sensibles.
En définitive, la transmission de données sensibles à l’insu des utilisateurs de terminaux représente une menace pour la préservation de leurs vies privées, et ce d’autant plus que l’évolution de la complexité des systèmes d’exploitation, ainsi que la multiplication des applications logicielles, tendent à accroitre toujours plus le volume de ces données sensibles transmises dans les réseaux de communication.
La présente invention a pour objectif de remédier à tout ou partie des inconvénients de l’art antérieur, notamment ceux exposés ci-avant, en proposant une solution qui permet de savoir si des données sensibles sont transmises par au moins un terminal (typiquement à son insu), de sorte à offrir la possibilité à une entité à laquelle appartient ledit au moins terminal de prendre connaissance de l’exposition d’informations d’identification la concernant ou bien concernant son environnement.
Au sens de la présente invention, une entité peut désigner un utilisateur ou un administrateur dudit au moins un terminal. La notion d’administrateur fait typiquement référence à une personne (physique ou morale) en charge de la gestion dudit au moins un terminal. A titre d’exemple nullement limitatif, il peut s’agir d’un parent responsable de la gestion d’une pluralité de téléphones mobiles respectivement utilisés par ses enfants, ou bien encore d’une entreprise responsable de la gestion d’une pluralité de terminaux déployés dans les locaux qu’elle occupe et utilisés par des employés.
La notion d’ « entité » ne se limite néanmoins pas aux cas précédents, et concerne également, dans le cadre de la présente invention, les cas où l’entité en question désigne :
- un réseau d’accès auquel est connecté ledit au moins un terminal et relié au réseau via lequel ledit équipement de destination est accessible, ou
- un réseau local auquel est connecté ledit au moins un terminal et relié audit réseau d’accès.
La prise en compte de ces autres cas d’application résulte notamment du fait qu’un réseau (i.e. un ou plusieurs équipements appartenant audit réseau) est susceptible d’insérer des données dans des paquets émis par au moins un terminal.
Pour permettre à une entité à laquelle appartient ledit au moins un terminal de prendre connaissance de l’exposition la concernant ou bien concernant son environnement, l’invention concerne, selon un premier aspect, un procédé de recherche de données dites sensibles dans au moins un paquet de données émis par au moins un terminal connecté à un réseau, ledit au moins un paquet de données ayant pour destination un équipement dit « de destination » accessible via ledit réseau, des informations d’identification relatives à l’identité et/ou à l’environnement d’une entité à laquelle appartient ledit au moins un terminal pouvant être déterminées à partir de données sensibles ayant été insérées dans ledit au moins un paquet avant qu’il n’atteigne ledit équipement de destination. Ledit procédé comporte des étapes mises en œuvre par un dispositif de recherche distinct dudit équipement de destination, dont :
- réception dudit au moins un paquet de données,
- recherche de données sensibles dans ledit au moins un paquet de données,
- et, si des données sensibles sont détectées dans ledit au moins un paquet, mise à disposition de ladite entité d’informations sur lesdites données sensibles détectées.
Ainsi, le procédé de recherche selon l’invention propose que des données sensibles soient recherchées, et éventuellement détectées, dans au moins un paquet de données émis par au moins un terminal, et plus particulièrement que cette recherche et cette détection soient réalisées par un dispositif qui diffère de l’équipement distant auquel ledit au moins un paquet de données est initialement destiné. De cette manière, l’identification de données sensibles peut par exemple être réalisée avant même que ledit au moins paquet n’atteigne l’équipement de destination qui lui est associé (le terme « identification » fait ici référence au résultat de l’étape de recherche du procédé selon l’invention, et renvoie donc plus particulièrement à la détection, en tant que telle, de données sensibles dans ledit au moins un paquet de données ; l’ « identification » est donc distincte de la « recherche » au sens de la présente invention).
En procédant de cette manière, l’invention permet de déterminer si des données sensibles ont été insérées, au cours de l’acheminement dudit au moins un paquet de données, par une ou plusieurs sources (p. ex. système d’exploitation d’un terminal, application logicielle installée sur un terminal, réseau d’accès ou éventuellement réseau local) dans ledit au moins un paquet de données, notamment à l’insu de l’utilisateur dudit au moins un terminal.
On note que la notion d’ « insertion » de données sensibles dans un paquet de données couvre, au sens de la présente invention, deux cas, à savoir :
- un premier cas selon lequel des données sensibles sont contenues dans un paquet de données dès son émission par ledit au moins un terminal. A titre d’exemple, un tel paquet peut être émis par un système d’exploitation ou une application logicielle installés sur ledit au moins un terminal ;
- un deuxième cas selon lequel un paquet de données originellement transmis par ledit au moins un terminal est modifié, au cours de son acheminement vers ledit équipement de destination, par une entité (source) autre que ledit au moins un terminal, de sorte à y intégrer des données sensibles.
En outre, l’étape de mise à disposition permet avantageusement de donner accès à l’entité à des informations relatives aux données sensibles ainsi détectées. Ces informations peuvent par exemple correspondre aux données sensibles détectées elles-mêmes, mais également consister en un inventaire du ou des équipement(s) de destination atteint(s) par les paquets transmis, voire aussi à des résultats de traitements réalisés à partir des données détectées (p. ex. : analyse de dépendance entre plusieurs destinations, de sorte à détecter un risque de corrélation entre des données sensibles transmises au titre de connexions distinctes dudit au moins un terminal).
Ces informations mises à disposition de l’entité reflètent donc, en quelque sorte, une trace laissée au cours du temps (i.e. à mesure que des paquets de données sont reçus et analysés par un dispositif de recherche selon l’invention) par ledit au moins un terminal sur le ou les réseaux via le(s)quel(s) chemine(nt) les paquets émis. Dit encore autrement, les informations mises à disposition de l’entité constitue une sorte de tableau de bord représentatif d’une identité numérique dudit au moins un terminal.
Qui plus est, au sens de la présente invention, la notion d’identité numérique n’est pas uniquement définie pour un terminal, mais peut également être dérivée à partir des données sensibles associées, le cas échéant, aux différents terminaux appartenant à une entité. Il est alors possible de faire référence à « l’identité numérique d’une entité » (p. ex. : identité numérique d’un réseau ou d’un administrateur d’une pluralité de terminaux).
Le procédé de recherche selon l’invention offre donc avantageusement la possibilité à l’entité d’établir, surveiller et contrôler l’activité dudit au moins un terminal lui appartenant. Les bénéfices sont ainsi doubles pour l’entité en question étant donné qu’elle se voit offrir la possibilité d’avoir accès à son identité numérique, mais également de mettre en place des actions correctives visant à éviter la divulgation, à son insu, d’informations d’identification relatives à son identité et/ou à son environnement (p. ex. : autres terminaux hébergés dans le même réseau local).
Il est à noter que le procédé de recherche selon l’invention peut s’inscrire dans le cadre d’un service proposé par un fournisseur de services en charge de la gestion du dispositif de recherche, comme par exemple le fournisseur d’accès responsable de la gestion et de la maintenance du réseau via lequel ledit équipement de destination est accessible.
Un autre aspect particulièrement important du procédé de recherche selon l’invention réside dans le fait que le dispositif de recherche mettant en œuvre ledit procédé est localisé de manière appropriée pour recevoir (et non intercepter) ledit au moins un paquet de données, et ainsi en déchiffrer le contenu. Dit autrement, le dispositif de recherche est localisé de sorte que ledit au moins un paquet de données qu’il reçoit lui est effectivement destiné, sans avoir à réaliser une interception à l’insu de l’utilisateur dudit au moins un terminal. Il ressort donc aussi de ces éléments que la procédure proposée par l’invention est initiée à la demande de l’entité à laquelle appartient ledit au moins un terminal.
Ainsi, et comme décrit plus en détail ci-après, le dispositif de recherche peut par exemple être localisé sur une route d’acheminement de paquets de données. Une telle route est par exemple configurée par défaut au niveau dudit au moins un terminal, ou bien encore peut correspondre à une route établie de manière dynamique pour permettre l’acheminement dudit au moins un paquet de données.
En alternative (si le dispositif de recherche n’est placé sur aucune route d’acheminement de paquets de données) ou en complément de ces dispositions, le dispositif de recherche peut être relié au terminal à l’aide d’au moins un tunnel de communication apte à forcer l’acheminement de paquets de données dudit au moins un terminal vers le dispositif de recherche. Avantageusement, ledit au moins un tunnel est configuré pour mettre en œuvre une connexion sécurisée.
Dans des modes particuliers de mise en œuvre, le procédé de recherche peut comporter en outre l’une ou plusieurs des caractéristiques suivantes, prises isolément ou selon toutes les combinaisons techniquement possibles.
Dans des modes particuliers de mise en œuvre, le dispositif de recherche est localisé sur une route d’acheminement dudit au moins un paquet de données vers ledit équipement de destination, ledit procédé comportant en outre une étape de transmission mise en œuvre par ledit dispositif de recherche et consistant, une fois la recherche de données sensibles réalisée, à relayer ledit au moins un paquet de données vers l’équipement de destination.
De telles dispositions permettent au dispositif de recherche de jouer un rôle de proxy entre ledit au moins un terminal et l’équipement de destination auquel est destiné un paquet de données. Dit autrement, le dispositif de recherche dispose ici des informations de routage nécessaires à la retransmission du paquet (autrement dit pour relayer ledit paquet) vers ledit équipement de destination.
Dans des modes particuliers de mise en œuvre, ledit dispositif de recherche est relié au terminal à l’aide d’au moins un tunnel, ledit au moins un paquet de données reçu par le dispositif de recherche correspondant à une copie d’un paquet de données originel transmis vers l’équipement de destination, ladite copie étant transmise via ledit au moins un tunnel et n’étant pas relayée par ledit dispositif de recherche vers l’équipement de destination.
Avantageusement, ladite copie est transmise via ledit au moins un tunnel au moyen d’une connexion sécurisée, permettant ainsi de détecter toute modification des données telles que transmises par la source à l’origine dudit au moins un paquet de données.
Dans des modes particuliers de mise en œuvre, l’étape de recherche comporte :
- une comparaison des données contenues dans ledit au moins un paquet avec une liste filtrante associée audit au moins un terminal, et/ou
- une comparaison des données contenues dans ledit au moins un paquet avec un dictionnaire associé audit dispositif de recherche, et/ou
- une exécution d’un algorithme d’apprentissage automatique pour détecter des motifs de données récurrents contenus dans ledit au moins un paquet de données.
Au sens de la présente invention, le terme « dictionnaire » fait référence à l’ensemble des données sensibles que le dispositif de recherche est en mesure d’identifier. Ce dictionnaire dépend donc d’un paramétrage du dispositif de recherche.
Une liste filtrante caractérise quant à elle, par exemple, les données sensibles que l’entité à laquelle appartient ledit au moins terminal veut voir identifiées. La granularité d’une telle liste filtrante peut être ajustée, par exemple en spécifiant uniquement une ou plusieurs sources potentielles de données sensibles (système d’exploitation, application, réseau local, réseau d’accès, etc.), ou bien encore en spécifiant, pour une ou plusieurs sources données, quelles données sensibles doivent être impérativement identifiées (en-tête(s) spécifique(s) dans des paquets de données, etc.).
Selon une variante de réalisation, une liste filtrante peut aussi caractériser les seules données que l’entité autorise à être transmises vers un ou plusieurs équipements de destination. Autrement dit, selon cette variante, le dispositif de recherche peut identifier (selon son dictionnaire), en tant que donnée sensible, toute donnée qui n’appartient pas à ladite liste filtrante.
On note que le dictionnaire associé au dispositif de recherche peut être inclus dans une liste filtrante associée à un terminal, ou bien englober ladite liste filtrante, ou bien encore être d’intersection vide avec ladite liste filtrante.
Dans des modes particuliers de mise en œuvre, l’étape de mise à disposition comporte, si un critère d’alerte est satisfait, une émission d’un message d’alerte configuré pour permettre l’accès de l’entité auxdites informations sur les données sensibles détectées.
Le destinataire du message d’alerte peut être, par exemple, l’utilisateur dudit au moins un terminal ou bien encore ladite entité dans le cas où une pluralité de terminaux appartiennent à celle-ci (p. ex. : réseau ou administrateur d’une pluralité de terminaux).
Dans des modes particuliers de mise en œuvre, des données sensibles sont insérées dans ledit au moins un paquet par au moins l’un quelconque des éléments parmi :
- un système d’exploitation équipant ledit au moins un terminal,
- une application logicielle installée sur ledit au moins un terminal,
- un réseau d’accès auquel est connecté ledit au moins un terminal et relié au réseau via lequel ledit équipement de destination est accessible,
- un réseau local auquel est connecté ledit au moins un terminal et relié audit réseau d’accès.
On note qu’il est conventionnel de considérer un système d’exploitation ou une application logicielle comme source de données sensibles. Néanmoins, et comme déjà évoqué ci-avant, l’invention ne se limite pas à ce type de source, mais couvre également le cas de données sensibles transmises (typiquement à l’insu de l’utilisateur dudit au moins un terminal) par le réseau local et/ou par le réseau d’accès. Ces réseaux sont en effet susceptibles d’injecter des données sensibles dans des paquets émis par ledit au moins un terminal vers le réseau via lequel ledit équipement de destination est accessible. L’injection de ces données est par exemple réalisée au niveau applicatif (p. ex. : dans les en-têtes du protocole de communication utilisé pour la transmission de données tel que, par exemple, le protocole HTTP, dans les options TCP, dans les options IPv4, dans les en-têtes d’extension IPv6, dans les options UDP, etc.).
Autrement dit, le fait de considérer comme données sensibles certaines données injectées par le réseau local et/ou par le réseau d’accès permet avantageusement d’élargir la notion de données sensibles, et donc en définitive d’améliorer l’évaluation du risque selon lequel des informations d’identification relatives à l’entité à laquelle appartient ledit au moins un terminal et/ou à son environnement seraient accessibles à son insu. De ce fait, l’identité numérique établie par le dispositif de recherche est globale.
Dans des modes particuliers de mise en œuvre, une donnée sensible est l’un quelconque des éléments d’une liste comprenant :
- une donnée de localisation dudit au moins un terminal,
- un numéro IMSI ou MSISDN ou IMEI associé audit au moins un terminal (acronymes respectifs des expressions anglo-saxonnes « International Mobile Subscriber Identity », « Mobile Station International Subscriber Directory Number », « International Mobile Equipment Identity »),
- un numéro de carte SIM équipant ledit au moins un terminal,
- un identifiant d’un réseau d’accès relié au réseau via lequel ledit équipement de destination est accessible et/ou un identifiant d’un opérateur en charge de la gestion dudit réseau d’accès,
- lorsque ledit au moins un terminal est connecté à un réseau local relié à un réseau d’accès lui-même relié au réseau via lequel ledit équipement de destination est accessible, un identifiant dudit réseau local et/ou un identifiant persistant d’un équipement dédié (CPE) réalisant la connexion entre le réseau local et le réseau d’accès,
- une adresse IP ou une adresse matérielle dudit au moins un terminal,
- une adresse IP ou une adresse matérielle d’au moins un autre terminal positionné dans un voisinage dudit au moins un terminal ayant émis ledit au moins un paquet,
- un identifiant persistant associé audit au moins un terminal (p. ex. : un numéro de série matériel, encore dit « hardware serial number » en anglais).
Dans des modes particuliers de mise en œuvre, l’étape de recherche est mise en œuvre si un critère d’autorisation de recherche de données sensibles pour ledit au moins un terminal est satisfait.
Ledit critère d’autorisation est par exemple représentatif d’une souscription de la part de l’utilisateur d’un terminal mobile (ou « User Equipment (UE) » en anglais) d’un contrat auprès du fournisseur d’accès responsable de la gestion d’un réseau d’accès. Ce contrat concerne plus particulièrement un service payant, proposé par ledit fournisseur d’accès pour permettre l’analyse de paquets de données, dans le but d’y détecter des données sensibles et ainsi offrir la possibilité de prendre connaissance de l’exposition d’informations d’identification.
A l’inverse, il peut aussi être envisagé, par exemple, que le service fourni par le fournisseur d’accès est gratuit, ledit critère d’autorisation désignant alors l’accord donné par l’entité pour que des données sensibles soient identifiées dans des paquets émis par ledit au moins un terminal.
Selon un deuxième aspect, l’invention concerne un programme d’ordinateur comportant des instructions pour la mise en œuvre d’un procédé de recherche selon l’invention lorsque ledit programme d’ordinateur est exécuté par un ordinateur.
Ce programme peut utiliser n’importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n’importe quelle autre forme souhaitable.
Selon un troisième aspect, l’invention concerne un support d’informations ou d’enregistrement lisible par un ordinateur sur lequel est enregistré un programme d’ordinateur selon l’invention.
Le support d'informations ou d’enregistrement peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple un disque dur.
D'autre part, le support d'informations ou d’enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau tel qu’un réseau IP, comme typiquement le réseau Internet.
Alternativement, le support d'informations ou d’enregistrement peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.
Selon un quatrième aspect, l’invention concerne un dispositif de recherche de données dites sensibles dans au moins un paquet de données émis par au moins un terminal connecté à un réseau, ledit au moins un paquet de données ayant pour destination un équipement dit « de destination » accessible via ledit réseau, des informations d’identification relatives à l’identité et/ou à l’environnement d’une entité à laquelle appartient ledit au moins un terminal pouvant être déterminées à partir de données sensibles ayant été insérées dans ledit au moins un paquet avant qu’il n’atteigne ledit équipement de destination. Ledit dispositif de recherche est distinct dudit équipement de destination et comporte :
- un module de réception configuré pour recevoir ledit au moins un paquet de données,
- un module de recherche configuré pour détecter des données sensibles insérées dans ledit au moins un paquet de données,
- un module de mise à disposition configuré pour mettre à disposition de ladite entité, si des données sensibles sont détectées dans ledit au moins un paquet, des informations sur lesdites données sensibles détectées.
Dans des modes particuliers de réalisation, le dispositif de recherche peut comporter en outre l’une ou plusieurs des caractéristiques suivantes, prises isolément ou selon toutes les combinaisons techniquement possibles.
Dans des modes particuliers de réalisation, ledit dispositif de recherche est déployé dans :
- le réseau via lequel ledit équipement de destination est accessible,
- un réseau d’accès relié au réseau via lequel ledit équipement de destination est accessible,
- lorsque ledit au moins un terminal est connecté à un réseau local relié à un réseau d’accès lui-même relié au réseau via lequel ledit équipement de destination est accessible, ledit réseau local.
Dans des modes particuliers de réalisation, ledit dispositif de recherche est localisé sur une route d’acheminement dudit au moins un paquet de données vers ledit équipement de destination ou est relié au terminal par un tunnel.
Selon un cinquième aspect, l’invention concerne un dispositif d’agrégation comportant :
- un module de réception configuré pour recevoir, en provenance d’une pluralité de dispositifs de recherche selon l’invention, des données sensibles détectées par lesdits dispositifs de recherche dans au moins un paquet de données émis par au moins un terminal connecté à un réseau, ledit au moins un paquet de données ayant pour destination un équipement dit « de destination » accessible via ledit réseau, des informations d’identification relatives à l’identité et/ou à l’environnement d’une entité à laquelle appartient ledit au moins un terminal pouvant être déterminées à partir de données sensibles ayant été insérées dans ledit au moins un paquet avant qu’il n’atteigne ledit équipement de destination,
- un module de mise à disposition configuré pour mettre à disposition de ladite entité des informations sur les données sensibles reçues en provenance desdits dispositifs de recherche.
Selon un sixième aspect, l’invention concerne un terminal de communication comportant :
- un module d’émission configuré pour émettre au moins un paquet de données dans un réseau, ledit au moins un paquet de données ayant pour destination un équipement dit « de destination » accessible via ledit réseau, des informations d’identification relatives à l’identité et/ou à l’environnement d’une entité à laquelle appartient ledit terminal pouvant être déterminées à partir de données sensibles ayant été insérées dans ledit au moins un paquet avant qu’il n’atteigne ledit équipement de destination,
- un module d’accès configuré pour accéder à des informations sur des données sensibles détectées dans ledit au moins un paquet de données.
Les informations auxquelles le terminal de communication peut accéder, au moyen de son module d’accès, sont des informations mises à disposition par un dispositif de recherche selon l’invention.
A titre d’exemple, lesdites informations auxquelles le terminal de communication est en mesure d’accéder grâce à son module d’accès sont des informations mises à disposition de l’entité par un dispositif de recherche selon l’invention.
Dans des modes particuliers de réalisation, ledit terminal de communication comporte en outre un module de copie configuré pour dupliquer au moins un paquet de données destiné à être transmis vers un équipement de destination, le terminal de communication étant configuré pour transmettre ladite copie vers au moins un dispositif de recherche selon l’invention.
Comme déjà évoqué auparavant, la transmission d’une copie d’un paquet de données peut par exemple être effectuée via au moins un tunnel reliant le terminal de communication et ledit au moins un dispositif de recherche. En outre, une telle copie n’est pas destinée à être relayée par ledit au moins un dispositif de recherche vers l’équipement de destination.
Selon un sixième aspect, l’invention concerne un système de gestion de données dites sensibles comportant au moins un dispositif de recherche selon l’invention ainsi qu’au moins un terminal de communication selon l’invention.
D’autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures :
la représente schématiquement, dans son environnement, un mode particulier de réalisation d’un système de gestion de données sensibles selon l’invention ;
la représente schématiquement un exemple d’architecture matérielle d’un dispositif de recherche appartenant au système de gestion de données sensibles de la ;
la représente schématiquement un exemple d’architecture matérielle d’un autre dispositif de recherche appartenant au système de gestion de données sensibles de la ;
la représente schématiquement un exemple d’architecture matérielle d’encore un autre dispositif de recherche appartenant au système de gestion de données sensibles de la  ;
la représente schématiquement un exemple d’architecture matérielle d’encore un autre dispositif de recherche appartenant au système de gestion de données sensibles de la ;
la représente schématiquement un exemple d’architecture matérielle d’un terminal de communication appartenant au système de gestion de données sensibles de la  ;
la représente, sous forme d’ordinogramme, un mode particulier d’un procédé de traitement de données, dit « procédé général », mis en œuvre par le système de gestion de données sensibles de la , ledit mode englobant un mode particulier d’un procédé de communication selon l’invention et mis en œuvre par le terminal de la , ainsi que des modes particuliers d’un procédé de recherche selon l’invention et respectivement mis en œuvre par les dispositifs de recherche des figures 2, 3, 4 et 5,
la représente schématiquement un exemple d’architecture matérielle d’un dispositif d’agrégation appartenant au système de gestion de données sensibles selon un mode de réalisation de l’invention.
La représente schématiquement, dans son environnement, un mode particulier de réalisation d’un système de gestion de données sensibles SYS selon l’invention.
Dans le mode de réalisation de la , le système de gestion de données sensibles SYS comporte une pluralité d’entités, dont notamment un terminal de communication UE.
Tel qu’illustré par la , le système SYS comporte dans le présent mode de réalisation un unique terminal UE. Ledit terminal UE est détenu par un utilisateur (non représenté sur les figures et également considéré comme unique) et correspond dans ce mode de réalisation à un téléphone mobile intelligent ou « smartphone ». Cela étant, aucune limitation n’est attachée à la nature du terminal UE qui peut donc indistinctement prendre la forme d’une tablette numérique, d’un ordinateur portable, d’un assistant personnel numérique, etc.
Le fait de ne considérer qu’un seul terminal UE au sein du système de gestion de données sensibles SYS correspond ici uniquement à un choix de simplification de la description. Aussi, il convient de noter que, de manière générale, aucune limitation n’est attachée au nombre de terminaux pouvant être considéré dans le cadre de la présente invention. D’ailleurs, si le système de gestion de données sensibles SYS comporte plusieurs terminaux, rien n’exclut qu’un utilisateur soit en possession de tout ou partie de ces terminaux, auquel cas il peut être vu comme un administrateur des terminaux qu’il a en sa possession.
Le terminal UE est connecté à un réseau d’accès NET_ACC dont la gestion est assurée par un opérateur réseau (ou encore un fournisseur d’accès) auprès duquel l’utilisateur du terminal UE a souscrit un abonnement d’accès.
De manière plus particulière, dans le mode de réalisation de la , le terminal UE est tout d’abord connecté à un réseau local NET_LOC, par exemple au moyen d’un point d’accès (non représenté sur les figures), ledit réseau local NET_LOC étant lui-même relié au réseau d’accès NET_ACC au moyen d’un équipement dédié. De manière connue en soi, un tel équipement dédié est de type CPE (acronyme de l’expression anglo-saxonne « Customer Premises Equipment »), et correspond par exemple à une passerelle domestique (ou passerelle résidentielle).
Conformément à l’invention, le réseau d’accès NET_ACC est lui-même connecté à un réseau dit « global » NET_GLOB via lequel le terminal UE peut transmettre des données (émises sous la forme de paquets de données).
A titre d’exemple nullement limitatif, le terminal UE est la propriété d’une personne qui est connectée au réseau local NET_LOC fourni par un point d’accès WLAN (acronyme de l’expression anglo-saxonne « Wireless Local Access Network ») pour couvrir une ou plusieurs pièces de l’habitation de ladite personne (le réseau local NET_LOC correspond donc ici à un réseau domestique). Dans cet exemple, le réseau global NET_GLOB correspond au réseau public Internet, et le réseau d’accès NET_ACC correspond au réseau d’un fournisseur d’accès à Internet auprès duquel ledit utilisateur a souscrit un abonnement.
Bien entendu, d’autres exemples de configuration peuvent être envisagés. En particulier, rien n’exclut de considérer un réseau global NET_GLOB qui diffère du réseau Internet.
Ainsi, selon un autre exemple, ledit réseau global NET_GLOB peut correspondre à un réseau qui est la propriété d’une entreprise et déployé entre les locaux de ladite entreprise au moyen d’infrastructures dédiées, ou bien encore à un réseau VPN (acronyme de l’expression anglo-saxonne « Virtual Private Network ») là aussi déployé par ladite entreprise. En outre, dans cet exemple, le réseau d’accès NET_ACC peut correspondre à un réseau intranet d’un site de l’entreprise. Le réseau local NET_LOC, quant à lui, peut correspondre à un réseau déployé dans une partie ciblée des locaux de l’entreprise.
D’une manière générale, aucune limitation n’est attachée au contexte dans lequel sont déployés lesdits réseaux local NET_LOC, d’accès NET_ACC et global NET_GLOB, de sorte que la nature de ces réseaux ne constitue pas un facteur limitant de l’invention. Toutefois, afin de fixer un cadre de description, on considère désormais de manière nullement limitative que le réseau global NET_GLOB correspond au réseau Internet.
Il importe par ailleurs de noter que le fait d’envisager que le terminal UE soit connecté au réseau d’accès NET_ACC via le réseau local NET_LOC ne constitue qu’une variante d’implémentation de l’invention. Ainsi, rien n’exclut par exemple d’envisager une autre variante dans laquelle le terminal UE est directement connecté au réseau d’accès NET_ACC, aucun réseau local n’étant déployé (et donc aucun équipement CPE local n’étant utilisé pour l’acheminement de paquets de données émis par le terminal UE).
Rien n’exclut non plus d’envisager encore une autre variante d’implémentation de l’invention dans laquelle un réseau local NET_LOC est déployé de manière similaire à la configuration de la , et où le terminal UE est équipé d’une première interface lui permettant de se connecter audit réseau local NET_LOC (par exemple une interface WLAN pour se connecter à un réseau local NET_LOC), ainsi que d’une seconde interface lui permettant de se connecter directement au réseau d’accès NET_ACC (par exemple une interface 5G pour se connecter à réseau d’accès NET_ACC de type cellulaire déployé par un opérateur de téléphonie mobile).
Tel qu’illustré par la , un seul réseau d’accès NET_ACC est considéré dans le présent mode de réalisation, de sorte que l’équipement CPE est connecté à ce seul réseau d’accès NET_ACC. Toutefois, de telles dispositions sont ici adoptées uniquement à titre de simplification de la description, et il reste bien entendu possible d’envisager un équipement CPE connecté à une pluralité de réseaux d’accès distincts (notion de « multi-homing » dans la littérature anglo-saxonne).
De manière conventionnelle, le terminal UE est configuré pour émettre des paquets de données au travers du réseau d’accès NET_ACC, ces paquets étant ensuite destinés à transiter par le réseau Internet NET_GLOB.
A cet effet, le terminal UE comporte des moyens logiciels et/ou matériels configurés pour émettre lesdits paquets de données. En particulier, dans le présent mode de réalisation, le terminal UE est équipé d’un système d’exploitation OS (acronyme de l’expression anglo-saxonne « Operating System ») ainsi que d’une pluralité d’applications logicielles APP_1, ..., APP_N (N étant un indice entier supérieur ou égal à 1).
Rien n’exclut cependant d’envisager que ledit terminal UE ne soit équipé d’aucune application.
Ledit système d’exploitation OS (respectivement une application APP_i, i étant un indice quelconque compris entre 1 et N) est susceptible de transmettre des paquets de données, chacun de ces paquets ayant pour destination un équipement dit « de destination » accessible via le réseau Internet NET_GLOB, et étant entendu qu’une pluralité d’équipements de destination peuvent être sollicités, simultanément ou bien séquentiellement dans le temps, par ledit système d’exploitation OS (respectivement ladite application APP_i).
Pour la suite de la description, on considère de manière non limitative, et à des fins de simplification de la description uniquement, que le système d’exploitation OS (respectivement l’application APP_i) transmet des paquets de données vers un seul équipement de destination EQUIP_OS (respectivement EQUIP_APP_i). Ledit équipement de destination EQUIP_OS (respectivement EQUIP_APP_i) comporte typiquement à un ou plusieurs serveurs dont la gestion est assurée par le fabricant/concepteur dudit système d’exploitation OS (respectivement de ladite application APP_i). Lorsqu’un équipement comporte une pluralité de serveurs, ces derniers peuvent, par exemple, être localisés au sein d’une seule et même structure (par exemple dans une infrastructure dite « en nuage », ou « cloud » dans la littérature anglo-saxonne), ou bien encore être distribués au sein d’une pluralité de structures adaptées.
De manière connue, les paquets de données transmis par le système d’exploitation OS (respectivement l’application APP_i) vers l’équipement de destination EQUIP_OS (respectivement EQUIP_APP_i) peuvent contenir des données à partir desquelles il est possible de déterminer des informations d’identification relatives à l’identité et/ou à l’environnement de l’utilisateur qui possède le terminal UE.
On note que le fait de pouvoir obtenir de telles informations d’identification à partir de telles données insérées dans les paquets transmis (typiquement à l’insu de l’utilisateur du terminal UE) permet de qualifier ces dernières de « données sensibles ».
On peut également noter qu’une ou plusieurs applications embarquées dans le terminal UE peuvent par exemple être fournies par le développeur du système d’exploitation OS lui-même. Dans ce cas, le risque que des informations d’identification particulièrement précises puissent être dérivées d’une corrélation entre les données émises par ces applications et le système d’exploitation OS est encore plus élevé.
La notion d’« environnement de l’utilisateur » fait référence à toute entité à laquelle il est possible d’associer une identité qui lui est propre (i.e. qui permet de la distinguer d’une autre entité). Il peut s’agir, par exemple, de terminaux (et donc in fine des utilisateurs à qui ils appartiennent) situés dans le voisinage du terminal UE, des réseaux via lesquels le terminal UE transmet des données, d’équipements exploités par une ou plusieurs sociétés et dont le fonctionnement impliquent la transmission de données sur des réseaux également utilisés par le terminal UE, etc.
L’obtention de telles informations d’identification s’effectue à partir de la collecte de données sensibles transmises par le système d’exploitation OS (respectivement par l’application APP_i), ainsi que par la mise en œuvre de traitements spécifiques pour les données sensibles ainsi collectées. Lesdits traitements consistent, par exemple, à extraire ou induire des informations d’identification à partir des données sensibles collectées. Ils peuvent également consister à corréler les données sensibles collectées avec d’autres données, comme par exemple des données de localisation de type GPS. On note par ailleurs que les traitements en question peuvent être exécutés par les équipements EQUIP_OS, EQUIP_APP_i eux-mêmes, ou bien être délégués par ces équipements à des moyens de traitement dédiés.
D’une manière générale, l’homme du métier connait les traitements qui peuvent être effectués à partir de données sensibles (p. ex. : vérification syntaxique, vérification d’intégrité, corrélation, agrégation, dé-anonymisation), de sorte à pouvoir déterminer des informations d’identification relatives à l’identité et/ou à l’environnement de l’utilisateur qui utilise le terminal UE.
Le point de vue adopté jusqu’à présent quant à l’origine des données sensibles se veut conventionnel dans la mesure où il a été décrit que celles-ci pouvaient être transmises par le système d’exploitation OS et/ou par les applications APP_1,…, APP_N. L’invention ne se limite néanmoins pas à ce type de données sensibles, mais couvre également le cas de données sensibles transmises (typiquement à l’insu de l’utilisateur du terminal UE) par le réseau local NET_LOC et/ou par le réseau d’accès NET_ACC. Ces réseaux sont en effet susceptibles d’injecter des données sensibles dans des paquets émis par le terminal UE vers le réseau Internet NET_GLOB. L’injection de ces données est, par exemple, réalisée au niveau applicatif (p. ex. : dans les en-têtes du protocole de communication utilisé pour la transmission de données tel que le protocole HTTP, dans les options TCP, dans les options IPv4, dans les en-têtes d’extension IPv6, dans des options UDP, etc.).
Le fait de considérer comme données sensibles certaines données injectées par le réseau local NET_LOC et/ou par le réseau d’accès NET_ACC permet donc avantageusement d’élargir la notion de données sensibles, et donc en définitive d’améliorer l’évaluation du risque global selon lequel des informations d’identification relatives à l’utilisateur du terminal UE et/ou à son environnement seraient accessibles (typiquement à son insu).
D’une manière générale, au sens de l’invention, une donnée sensible est l’un quelconque des éléments d’une liste comprenant :
- une donnée de localisation du terminal UE (p. ex. une donnée de type GPS),
- un numéro IMSI ou MSISDN ou IMEI associé audit terminal UE,
- un numéro de carte SIM équipant ledit terminal UE,
- un identifiant du réseau d’accès NET_ACC (p. ex. un préfixe IPv6 du réseau d’accès NET_ACC),
- un identifiant dudit réseau local (exemples : un préfixe IPv6 du réseau local NET_LOC, une adresse matérielle MAC de l’équipement CPE),
- une adresse IP ou une adresse matérielle MAC du terminal UE,
- une adresse IP ou une adresse matérielle MAC d’au moins un autre terminal positionné dans un voisinage dudit terminal UE,
- un identifiant persistant associé audit au moins un terminal (p. ex. : un numéro de série matériel, encore dit « hardware serial number » en anglais).
Dans son principe général, l’invention consiste à pouvoir identifier des données sensibles insérées dans au moins un paquet de données émis par le terminal UE, avant la transmission dudit au moins un paquet de données vers le réseau Internet NET_GLOB, et en tenant compte du fait que l’insertion en question est effectuée par au moins une source (système d’exploitation OS, application APP_i, réseau local NET_LOC, réseau d’accès NET_ACC, etc.). Qui plus est, l’invention repose aussi sur le fait qu’une telle identification de données sensibles est réalisée par une ou plusieurs entités du système de gestion de données sensibles SYS qui sont distinctes des équipements de destination EQUIP_OS, EQUIP_APP_i.
A cet effet, outre le terminal UE, le système de gestion de données sensibles SYS comporte également, dans le présent mode de réalisation, quatre dispositifs dits « de recherche » PAP (acronyme de l’expression anglo-saxonne « Provider Assisted Privacy enforcement point ») : PAP_1, PAP_2, PAP_3, PAP_4. Chaque dispositif de recherche PAP_j (j étant un indice entier compris entre 1 et 4) est configuré pour effectuer des traitements permettant, notamment, de rechercher des données sensibles dans des paquets de données émis par le terminal UE, en mettant en œuvre un procédé de recherche de données sensibles (dit plus simplement « procédé de recherche » par la suite) selon l’invention.
Bien que lesdits dispositifs de recherche PAP_j partagent des éléments communs d’architecture matérielle et logicielle pour mettre en œuvre ledit procédé de recherche, ils peuvent également présenter certaines caractéristiques qui leur sont propres (et qui ont donc une influence sur différents modes de mise en œuvre envisageables pour le procédé de recherche). Les aspects liés à l’architecture matérielle et logicielle desdits dispositifs de recherche PAP_j sont traités en détail ultérieurement, la présente description s’attardant dans un premier temps sur les localisations envisageables pour chacun desdits dispositifs de recherche PAP_j.
Tel qu’illustré par la , le dispositif de recherche PAP_1 est déployé dans le réseau d’accès NET_ACC. En outre, ledit dispositif de recherche PAP_1 est directement relié au terminal UE par un tunnel de communication TUN_1 permettant de forcer l’acheminement de paquets de données du terminal UE vers ledit dispositif de recherche PAP_1 (i.e. le dispositif de recherche PAP_1 n’est localisé sur aucune route d’acheminement d’un paquet de données vers l’équipements de destination associé à ce paquet), ainsi que d’établir, dans le mode de réalisation décrit ici, une connexion sécurisée entre ces derniers.
Il est à noter que la transmission de données via ledit tunnel de communication TUN_1 s’effectue, de manière connue en soi, en mettant en œuvre une encapsulation, voire un chiffrement, des données transmises. Aucune limitation n’est attachée au protocole d’encapsulation pouvant être envisagé (IPsec, TLS, QUIC, GRE, DTLS, etc.).
Le dispositif de recherche PAP_2, quant à lui, est déployé dans le réseau Internet NET_GLOB et est, dans le présent mode de réalisation, directement relié au terminal UE par un unique tunnel de communication TUN_2 permettant également de forcer l’acheminement de paquets de données du terminal UE vers ledit dispositif de recherche PAP_2 ainsi que d’établir, dans le mode de réalisation décrit ici, une connexion sécurisée entre ces derniers.
Il est à noter que le fait de considérer, dans le présent mode de réalisation, un unique tunnel TUN_1 (respectivement TUN_2) entre le terminal UE et le dispositif de recherche PAP_1 (respectivement PAP_2) ne constitue qu’une variante d’implémentation de l’invention. Ainsi, rien n’exclut d’envisager d’autres variantes dans lesquelles une pluralité de tunnels sont déployés entre le terminal UE et le dispositif de recherche PAP_1 (respectivement PAP_2), ces tunnels permettant, par exemple, que des données soient échangées entre le terminal UE et le dispositif de recherche PAP_1 (respectivement PAP_2) suivant des interfaces respectives distinctes (p. ex : WLAN, 3G, 4G, 5G, etc.).
Rien n’exclut non plus d’envisager d’autres modes de réalisation dans lesquels un tunnel ne relie pas directement le terminal UE et un dispositif PAP_1 (respectivement PAP_2). Par exemple, le tunnel TUN_1 (respectivement TUN_2) peut être déployé entre le CPE et le dispositif de recherche PAP_1 (respectivement PAP_2) dans le cas où ledit CPE intègre lui-même un dispositif de recherche PAP.
Il est en outre aussi envisageable qu’au moins un desdits tunnels TUN_1, TUN_2 ne soit pas un tunnel sécurisé.
Le dispositif de recherche PAP_3, quant à lui, est intégré à l’équipement CPE, de sorte qu’il est localisé, in fine, sur une route configurée par défaut pour l’acheminement de paquets de données vers les équipements de destination EQUIP_OS, EQUIP_APP_i. Dans le présent mode de réalisation, la configuration par défaut de ladite route est plus spécifiquement réalisée au niveau du terminal UE. Rien n’exclut cependant d’envisager une configuration par défaut au niveau de l’équipement CPE lui-même.
Dans le mode de réalisation de la , aucun tunnel de communication n’est établi entre le terminal UE et l’équipement CPE. Rien n’exclut cependant d’envisager qu’un tunnel soit établi entre ces deux entités si, par exemple, le dispositif de recherche PAP_3 est déployé dans le réseau local NET_LOC sans être intégré au CPE.
Le dispositif de recherche PAP_4 est également déployé dans le réseau d’accès NET_ACC. Néanmoins, à la différence du dispositif de recherche PAP_1, ledit dispositif de recherche PAP_4 est localisé sur une route configurée par défaut au niveau du terminal UE (ou au niveau de l’équipement CPE) dans le présent mode de réalisation.
Tel que mentionné auparavant, un tunnel de communication permet de forcer l’acheminement de paquets de données du terminal UE vers un dispositif de recherche, et se montre donc nécessaire dans les cas des dispositifs de recherche PAP_1 et PAP_2 qui ne se trouvent pas sur une route d’acheminement de paquets de données vers les équipements de destination EQUIP_OS, EQUIP_APP_i. Il n’en reste pas moins que l’utilisation d’un tunnel de communication ne se limite pas à de telles dispositions, et peut notamment être envisagée pour un dispositif de recherche déjà placé sur une telle route, en particulier pour sécuriser la transmission des données acheminées via ledit tunnel (p. ex. : une racine locale est installée sur le terminal UE afin de pouvoir impliquer au moins un desdits dispositifs de recherche PAP_3, PAP_4 dans une connexion sécurisée établie pour une route suivie par des paquets de données vers un équipement destination).
Il est à noter que le fait d’envisager de telles localisations pour les dispositifs de recherche PAP_1, PAP_2, PAP_3, PAP_4 ne constitue qu’une variante d’implémentation de l’invention, et bien d’autres variantes sont encore couvertes par l’invention.
Ainsi, et en premier lieu, il convient de mentionner qu’aucune limitation n’est attachée au nombre de dispositifs de recherche déployés. Ainsi rien n’exclut d’avoir un unique dispositif de recherche déployé dans le réseau d’accès NET_ACC ou dans le réseau Internet NET_GLOB ou bien encore intégré à l’équipement CPE.
Par ailleurs, dans l’hypothèse où plusieurs dispositifs de recherche sont déployés, rien n’exclut non plus que tout ou partie desdits dispositifs de recherche ne soit déployé que dans un sous-ensemble de la liste formée du réseau d’accès NET_ACC, du réseau Internet NET_GLOB et de l’équipement CPE. En outre, quand bien même plusieurs dispositifs de recherche sont déployés, ces derniers ne sont nécessairement tous activés.
En définitive, aucune limitation n’est attachée au nombre et à la localisation dudit/desdits dispositif(s) de recherche utilisé(s) pour la mise en œuvre de l’invention. Il importe cependant de mentionner que le fait d’avoir un dispositif de recherche (ou éventuellement plusieurs dispositifs de recherche) déployé dans le réseau Internet NET_GLOB permet avantageusement de contrôler/vérifier si des données sensibles sont injectées par le réseau local NET_LOC et/ou le réseau d’accès NET_ACC dans des paquets de données émis par le terminal UE.
Le fait que les dispositifs de recherche PAP_j recherchent des données sensibles dans des paquets de données émis par le terminal UE, et que les données sensibles éventuellement détectées soient mises à disposition de l’utilisateur dudit terminal UE (comme décrit ultérieurement), offre la possibilité avantageuse audit utilisateur d’être informé que des données sensibles sont transmises (typiquement à son insu) par le système d’exploitation OS et/ou un ou plusieurs applications APP_i et/ou le réseau local NET_LOC et/ou le réseau d’accès NET_ACC. De cette manière, l’utilisateur du terminal UE peut prendre connaissance de l’exposition d’informations d’identification le concernant ou bien concernant son environnement.
Le fait d’être informé d’éventuelles données sensibles ainsi détectées permet également à l’utilisateur du terminal UE d’initier diverses actions visant à limiter l’exposition de son identité numérique. A titre d’exemple, ledit utilisateur peut, en relation avec les conditions générales de vente du ou des services souscrits auprès de son fournisseur d’accès, demander une résiliation de son contrat, interpeller une autorité administrative chargée de veiller à la protection des données personnelles dans les traitements informatiques (p. ex. : la Commission Nationale de l'Informatique et des Libertés, dite « CNIL », pour ce qui concerne la France), demander une suppression de certaines données sensibles au bout d’une période déterminée (p. ex. : suppression d’un identifiant du terminal UE), supprimer lui-même de telles données sensibles, etc.
Il importe de noter que les diverses actions visant à limiter l’exposition de l’identité numérique peuvent être mises en œuvre par une entité autre que l’utilisateur du terminal UE lui-même. En effet,  il n’est pas exclu de considérer des modes de réalisation de l’invention dans lesquels plusieurs terminaux sont actifs. Dans ce cas, l’entité en question peut par exemple être une entité en charge de la gestion de ladite pluralité de terminaux. Ces aspects sont décrits plus en détail ultérieurement.
Différents modes d’information de l’utilisateur du terminal UE peuvent être envisagés, comme par exemple un mode dans lequel un dispositif de recherche PAP_j mémorise les données sensibles qu’il détecte dans un fichier logiciel auquel l’utilisateur peut avoir accès (ce mode est décrit plus en détail ultérieurement). Un tel fichier logiciel peut être vu comme une représentation de l’identité numérique de l’utilisateur du terminal UE qui est déduite des données sensibles identifiées par le dispositif de recherche PAP_j.
Ce fichier logiciel peut, par exemple, être mis directement à disposition de l’utilisateur en étant transmis à une adresse de joignabilité du terminal UE.
Selon un autre exemple, une notification peut être émise par le dispositif PAP_j vers une adresse de contact de l’utilisateur (p.ex. : une adresse email) qui, sur réception de ladite notification, est informé qu’il peut consulter le fichier logiciel en question, ce dernier ayant été transmis vers un espace de stockage (p. ex. : base de données) dédié.
Selon un autre exemple, chaque donnée sensible identifiée est immédiatement notifiée à l’utilisateur, par exemple via ladite adresse de contact ou bien via ladite adresse de joignabilité. Autrement dit, dans cet exemple, il n’est pas nécessaire de réaliser une mémorisation de données sensibles détectées au niveau d’un dispositif de recherche PAP_j.
Les figures 2 et 3 représentent respectivement des exemples d’architecture matérielle du dispositif de recherche PAP_3 du dispositif de recherche PAP_4 appartenant au système de gestion de données sensibles SYS de la . Pour la suite de la description, on utilise un indice k égal à 3 ou 4 pour désigner indistinctement le dispositif de recherche PAP_3 ou le dispositif de recherche PAP_4.
Le dispositif de recherche PAP_k dispose de l’architecture matérielle d’un ordinateur. Le dispositif de recherche PAP_k comporte, notamment, un processeur 1_k, une mémoire vive 2_k, une mémoire morte 3_k et une mémoire non volatile 4_k. Il comporte en outre un module de communication 5_k.
La mémoire morte 3_k du dispositif de recherche PAP_k constitue un support d’enregistrement conforme à l’invention, lisible par le processeur 1_k et sur lequel est enregistré un programme d’ordinateur PROG_k conforme à l’invention, comportant des instructions pour l’exécution d’étapes d’un mode particulier de mise en œuvre du procédé de recherche selon l’invention. Le programme PROG_k définit des modules fonctionnels du dispositif de recherche PAP_k, qui s’appuient ou commandent les éléments matériels 1_k à 5_k du dispositif de recherche PAP_k cités précédemment, et qui comprennent notamment dans le mode de réalisation décrit ici :
- un module de réception MOD_RX_k configuré pour recevoir au moins un paquet de données émis par le terminal UE et ayant pour destination un équipement de destination EQUIP_OS, EQUIP_APP_i,
- un module de vérification MOD_VERIF_k configuré pour vérifier si un critère CRIT_AUTH d’autorisation d’identification de données sensibles pour le terminal UE est satisfait,
- un module de recherche MOD_ID_k configuré pour rechercher des données sensibles insérées dans ledit au moins un paquet de données,
- un module de mise à disposition MOD_DISP_k configuré pour mettre à disposition de l’utilisateur du terminal UE, le cas échéant (i.e. si des données sensibles sont détectées dans ledit au moins un paquet de données), des informations sur les données sensibles détectées,
- un module de transmission MOD_TX_k configuré pour relayer ledit au moins un paquet de données vers l’équipement de destination EQUIP_OS, EQUIP_APP_i associé audit au moins un paquet de données..
Dans le mode de réalisation décrit ici, le module de mise à disposition MOD_DISP_k comporte plus particulièrement :
- un sous-module de mémorisation SS_MOD_MEM_k configuré pour mémoriser, si des données sensibles associées au terminal UE sont identifiées dans ledit au moins un paquet, des informations représentatives desdites données sensibles dans un fichier logiciel MEMO_UE_k associé audit terminal UE. Ledit fichier logiciel MEMO_UE_k correspond, comme mentionné ci-avant, à une identité numérique de l’utilisateur du terminal UE qui dérive des données sensibles identifiées par le module de recherche MOD_ID_k équipant le dispositif de recherche PAP_k. On note par ailleurs que la mémorisation effectuée par le module de mémorisation MOD_MEM_k consiste, lorsqu’elle est répétée dans le temps en raison de recherches de données sensibles dans une pluralité de paquets de données, en une mise à jour dudit fichier logiciel MEMO_UE_k,
- un sous-module de vérification SS_MOD_VERIF_k configuré pour vérifier si un critère d’alerte CRIT_AL_k est satisfait,
- un sous-module d’émission SS_MOD_EMI_k configuré pour émettre, si le critère d’alerte CRIT_AL_k est satisfait, un message d’alerte MESS_AL_k vers le terminal UE, ledit message d’alerte MESS_AL_k étant configuré pour permettre l’accès dudit terminal UE audit fichier logiciel MEMO_UE_k.
Le module de communication 5_k, quant à lui, est notamment configuré pour permettre au dispositif de recherche PAP_k de recevoir des données en provenance du terminal UE, ainsi que pour transmettre des données vers les équipements de destination EQUIP_OS, EQUIP_APP_i. A cet effet, le module de communication 5_k intègre le module de réception MOD_RX_k ainsi que le module de transmission MOD_TX_k.
On note plus particulièrement que le module de transmission MOD_TX_k qui équipe le dispositif de recherche PAP_k permet à ce dernier de jouer un rôle de proxy entre le terminal UE et l’équipement de destination EQUIP_OS, EQUIP_APP_i auquel est destiné un paquet de données. Si ce module de transmission MOD_TX_k n’était pas présent, alors un paquet de données émis par le terminal UE vers un équipement de destination EQUIP_OS, EQUIP_APP_i et qui serait reçu par le dispositif de recherche PAP_k ne pourrait être acheminé au-delà dudit dispositif de recherche PAP_k dans la mesure où ce dernier est placé en coupure de flux entre le terminal UE et l’équipement de destination EQUIP_OS, EQUIP_APP_i approprié.
Pour ce qui concerne le critère d’autorisation CRIT_AUTH, celui-ci peut prendre différentes formes en fonction, notamment, du contexte dans lequel est mise en œuvre l’invention.
Ainsi, selon un exemple de réalisation, ledit critère d’autorisation CRIT_AUTH est représentatif d’une souscription de la part de l’utilisateur du terminal UE d’un contrat de service auprès du fournisseur d’accès responsable de la gestion du réseau d’accès NET_ACC. Ce contrat peut concerner plus particulièrement un service payant proposé par ledit fournisseur d’accès pour permettre l’analyse de paquets de données, dans le but d’y détecter des données sensibles et ainsi offrir la possibilité de prendre connaissance de l’exposition d’informations d’identification. En conséquence, dans cet exemple de réalisation, le critère d’autorisation CRIT_AUTH peut ne pas être satisfait si, par exemple, l’utilisateur n’a pas souscrit audit service payant, ou si l’utilisateur est en retard de paiement d’une mensualité d’abonnement audit service payant, etc.
Selon un autre exemple de réalisation, ledit critère d’autorisation CRIT_AUTH est représentatif de l’accord de l’utilisateur du terminal UE auprès du fournisseur d’accès responsable de la gestion du réseau d’accès NET_ACC pour que des paquets de données soient analysés, cet accord de l’utilisateur étant donné indépendamment de toute souscription d’un contrat visant un service tel que celui faisant l’objet de l’exemple précédent. Dit autrement, dans le présent exemple de réalisation, la prestation réalisée par le fournisseur d’accès est un service gratuit proposé à l’utilisateur du terminal UE, ce dernier ayant simplement à donner son accord pour que ce service soit actif. En conséquence, dans cet exemple de réalisation, le critère d’autorisation CRIT_AUTH peut ne pas être satisfait si par exemple l’utilisateur du terminal UE n’a pas donné son accord au fournisseur d’accès.
Il convient de noter que le fait de prendre en compte un critère d’autorisation CRIT_AUTH (et donc in fine la prise en compte d’un module de vérification MOD_VERIF_1) est, au sens de l’invention, optionnelle. En effet, rien n’exclut d’envisager, par exemple, que le fournisseur d’accès propose de facto et gratuitement un service consistant à détecter des données sensibles dans des paquets de données, de sorte qu’en choisissant précisément ce fournisseur d’accès, l’utilisateur du terminal UE sait que ses paquets de données feront l’objet d’une analyse.
Pour la suite de la description et à des fins de simplification de celle-ci, on considère désormais de manière nullement limitative que chaque dispositif de recherche PAP_1, PAP_2, PAP_3, PAP_4 est configuré pour vérifier un seul et même critère d’autorisation CRIT_AUTH représentatif d’une souscription de la part de l’utilisateur du terminal UE d’un contrat auprès du fournisseur d’accès responsable de la gestion du réseau d’accès NET_ACC.
Dans le présent mode de réalisation, le critère d’alerte CRIT_AL_k, quant à lui, est relié à (est défini en fonction de) un seuil au-delà duquel le message d’alerte MESS_AL_k est émis. Ce seuil dit « seuil d’exposition S_EXP_k » vise à quantifier le niveau d’exposition de l’utilisateur du terminal UE, c’est-à-dire le risque que l’identité d’une entité telle que l’utilisateur du terminal UE soit compromise à partir des données sensibles détectées par le module de recherche MOD_ID_k équipant le dispositif de recherche PAP_k.
Le seuil d’exposition S_EXP_k peut par exemple être défini à partir d’un encodage de bits. Plus précisément, cet encodage peut consister à associer un certain nombre de bits aux données sensibles de sorte à caractériser leur contribution à l’identification de l’utilisateur du terminal UE. Une telle approche permet de mesurer de façon unifiée et globale l’exposition d’une entité au travers des données sensibles détectées. D’ailleurs, même si des données directement révélatrices de l’identité de l’utilisateur ne sont pas présentes dans les données sensibles identifiées (comme par exemple des données dites PII, acronyme de l’expression anglo-saxonne « Personally Identifiable Information »), d’autres informations véhiculées dans des paquets de données émis par le terminal UE peuvent permettre d’établir des profils uniques, et donc in fine de tracer l’utilisateur du terminal UE (par exemple, par corrélation avec des données de type GPS). On comprend également que plus le nombre de bits nécessaires pour caractériser le seuil d’exposition S_EXP_k est grand, plus la probabilité de tracer un utilisateur est moindre. A titre d’exemple nullement limitatif, un seuil d’exposition S_EXP_k codé sur 32 bits est meilleur qu’un seuil d’exposition S_EXP_k codé sur 16 bits.
Par ailleurs, dans le présent mode de réalisation, outre le fait d’être relié audit seuil d’exposition S_EXP_k, le critère d’alerte CRIT_AL_k est aussi relié à (défini en fonction de) un paramétrage (matériel et/ou logiciel) du module de recherche MOD_ID_k, ce paramétrage définissant les données sensibles que le dispositif de recherche PAP_k se destine à rechercher.
En effet, et d’une manière générale, il importe de noter que les dispositifs de recherche PAP_1, PAP_2, PAP_3 et PAP_4 ne sont pas nécessairement tous paramétrés pour détecter des données sensibles identiques. Aussi, au sens de la présente invention, l’ensemble des données sensibles qu’un dispositif de recherche PAP_j (j allant de 1 à 4) est en mesure de détecter (et donc en fin de compte le paramétrage lui-même dudit dispositif de recherche PAP_j) est dénommé « dictionnaire ».
Pour illustrer ce concept de « dictionnaire » pour ce qui est du dispositif PAP_k, on peut considérer un exemple de réalisation dans lequel ledit dispositif de recherche PAP_k identifie des données sensibles en fonction d’un profil associé au terminal UE et défini (choisi, paramétré) par l’utilisateur dudit terminal UE. Plus particulièrement, l’utilisateur peut définir, par exemple au moyen d’une interface (écran, clavier, etc.) de son terminal UE ou bien directement auprès du fournisseur d’accès, une liste filtrante caractérisant les données sensibles que ledit utilisateur veut voir identifiées. La granularité d’une telle liste filtrante peut être ajustée, par exemple en spécifiant uniquement une ou plusieurs sources (système d’exploitation OS, application APP_i, réseau local NET_LOC, réseau d’accès NET_ACC), ou bien encore en spécifiant, pour une ou plusieurs sources données, quelles données sensibles doivent être impérativement identifiées (en-tête(s) spécifique(s) dans des paquets de messages, etc.).
Selon une variante de réalisation, il est également possible de définir au niveau du terminal UE une liste filtrante caractérisant les seules données que l’utilisateur autorise à être transmises vers un ou plusieurs équipements de destination. Autrement dit, selon cette variante, le dispositif de recherche PAP_k peut identifier (selon son dictionnaire), en tant que donnée sensible, toute donnée qui n’appartient pas à ladite liste filtrante et qui peut donc contribuer à satisfaire le critère d’alerte CRIT_AL_k (p.ex. : détection d’un nouvel équipement de destination et/ou nouvel en-tête de messages ne figurant pas parmi une liste d’équipements de destination et/ou d’en-têtes associée au terminal UE).
Le paramétrage du dispositif de recherche PAP_k, pour définir les données sensibles que celui-ci se destine à identifier, ne se limite pas aux exemples détaillés ci-avant. Ainsi, rien n’exclut, par exemple, de considérer un paramétrage permettant d’identifier seulement un sous-ensemble des données sensibles associées à un profil associé au terminal UE.
Selon encore un autre exemple, on peut envisager que le dispositif de recherche PAP_k est paramétré de sorte à identifier, éventuellement en complément de données sensibles spécifiées par un profil associé au terminal UE, des données sensibles qui ne sont quant à elles pas spécifiées par ledit profil. Ces données sensibles qui ne figurent pas dans le profil associé au terminal UE peuvent, par exemple, être définies dans un profil associé au dispositif de recherche PAP_k et configuré par le fournisseur d’accès au réseau d’accès NET_ACC.
D’une manière générale, aucune limitation n’est attachée à la manière dont est défini le critère d’alerte CRIT_AL_k, en particulier en ce qui concerne, le cas échéant, la valeur du seuil d’exposition S_EXP_k et/ou le paramétrage du module de recherche MOD_ID_k.
Il importe de noter que, de manière similaire à ce qui a été évoqué précédemment concernant le critère d’autorisation CRIT_AUTH, la prise en compte du critère d’alerte CRIT_AL_k est, au sens de la présente invention, optionnelle. En effet, rien n’exclut d’envisager, par exemple, que des informations représentatives de données sensibles sont mémorisées dans le fichier logiciel MEMO_UE_k associé audit terminal UE, mais que cette mémorisation ne déclenche jamais d’alerte.
Enfin, dans le présent mode de réalisation, le message d’alerte MESS_AL_k comporte une adresse de contact @UE_k associée à l’entité à laquelle appartient le terminal UE (i.e. ledit utilisateur dans l’exemple envisagé ici). Ladite adresse de contact @UE_k pointe vers un espace mémoire (p. ex. : cloud) dans lequel le fichier logiciel MEMO_UE_k est transféré par le dispositif de recherche PAP_k pour y être stocké. De cette manière, l’utilisateur peut décider de télécharger le fichier logiciel MEMO_UE_k à partir de ladite adresse de contact @UE_k lorsqu’il reçoit le message d’alerte MESS_AL_k, de sorte à pouvoir consulter ledit fichier MEMO_UE_k en utilisant une interface appropriée (p. ex : écran du téléphone).
Rien n’exclut cependant d’envisager d’autres variantes de réalisation, dans lesquelles, par exemple, le message d’alerte MESS_AL_k comporte le fichier logiciel MEMO_UE_k, qui est donc transmis directement vers le terminal UE (i.e. en utilisant une adresse de joignabilité dudit terminal UE) sans que ce dernier n’ait besoin de se connecter à une adresse de contact.
Selon encore d’autres variantes de réalisation, aucun message d’alerte MESS_AL_k n’est transmis, l’utilisateur du terminal UE pouvant consulter ledit fichier logiciel MEMO_UE_k quand bon lui semble, par exemple en envoyant une requête au dispositif de recherche PAP_k pour que celui-ci lui transmette directement ledit fichier logiciel MEMO_UE_k (on comprend que dans ce cas la présence du module d’émission MOD_EMI_k est inutile).
La et la représentent respectivement des exemples d’architecture matérielle du dispositif de recherche PAP_1 et du dispositif de recherche PAP_2 appartenant au système de gestion de données sensibles SYS de la . Pour la suite de la description, on utilise un indice p égal à 1 ou 2 pour désigner indistinctement le dispositif de recherche PAP_1 ou le dispositif de recherche PAP_2.
Le dispositif de recherche PAP_p dispose de l’architecture matérielle d’un ordinateur. Ainsi, le dispositif de recherche PAP_p comporte, notamment, un processeur 1_p, une mémoire vive 2_p, une mémoire morte 3_p et une mémoire non volatile 4_p. Il comporte en outre un module de communication 5_p.
La mémoire morte 3_p du dispositif de recherche PAP_p constitue un support d’enregistrement conforme à l’invention, lisible par le processeur 1_p et sur lequel est enregistré un programme d’ordinateur PROG_p conforme à l’invention, comportant des instructions pour l’exécution d’étapes d’un mode particulier de mise en œuvre du procédé de recherche selon l’invention. Le programme PROG_p définit des modules fonctionnels du dispositif de recherche PAP_p, qui s’appuient ou commandent les éléments matériels 1_p à 5_p du dispositif de recherche PAP_p cités précédemment, et qui comprennent notamment dans le mode de réalisation décrit ici :
- un module de réception MOD_RX_p configuré pour recevoir au moins un paquet de données correspondant à une copie d’un paquet de données originel transmis vers un équipement de destination EQUIP_OS, EQUIP_APP_i, ladite copie étant transmise au moyen d’une connexion sécurisée entre ledit terminal UE et ledit dispositif de recherche PAP_p (ladite transmission sécurisée s’effectuant plus particulièrement via le tunnel TUN_p). En outre, ladite copie n’est pas relayée par ledit dispositif de recherche PAP_p vers l’équipement de destination EQUIP_OS, EQUIP_APP_i,
- un module de vérification MOD_VERIF_p configuré pour vérifier si le critère CRIT_AUTH d’autorisation d’identification de données sensibles pour le terminal UE est satisfait,
- un module de recherche MOD_ID_p configuré pour détecter des données sensibles insérées dans la copie dudit au moins un paquet originel,
- un module de mise à disposition MOD_DISP_p configuré pour mettre à disposition de l’utilisateur du terminal UE, le cas échéant (i.e. si des données sensibles sont détectées dans ladite copie), des informations sur les données sensibles détectées.
De manière similaire à ce qui a été décrit ci-avant pour les dispositifs PAP_3 et PAP_4, le module de mise à disposition MOD_DISP_p comporte plus particulièrement, dans le mode de réalisation décrit ici :
- un sous-module de mémorisation SS_MOD_MEM_p configuré pour mémoriser, si des données sensibles associées au terminal UE sont identifiées dans ladite copie, des informations représentatives desdites données sensibles dans un fichier logiciel MEMO_UE_p associé audit terminal UE,
- un sous-module de vérification SS_MOD_VERIF_p configuré pour vérifier si un critère d’alerte CRIT_AL_k est satisfait,
- un sous-module d’émission SS_MOD_EMI_p configuré pour émettre, si le critère d’alerte CRIT_AL_p est satisfait, un message d’alerte MESS_AL_p vers le terminal UE, ledit message d’alerte MESS_AL_p étant configuré pour permettre l’accès dudit terminal UE audit fichier logiciel MEMO_UE_p (le message d’alerte MESS_AL_p comporte une adresse de contact @UE_p associée à l’entité à laquelle appartient le terminal UE).
Le module de communication 5_p, quant à lui, est notamment configuré pour permettre au dispositif de recherche PAP_p de recevoir des données en provenance du terminal UE. A cet effet, le module de communication 5_p intègre le module de réception MOD_RX_p.
L’architecture du dispositif de recherche PAP_p se distingue de celle du dispositif de recherche PAP_k en ce que le dispositif de recherche PAP_p est destiné à recevoir, par le terminal UE, des copies de paquets de données originels. Ledit dispositif de recherche PAP_p se place ainsi en marge du dispositif de recherche PAP_k qui est notamment configuré pour relayer un paquet de données (mode proxy grâce au module de transmission MOD_TX_p). A contrario, le dispositif de recherche PAP_p n’est pas équipé d’un module de transmission, de sorte qu’il n’est pas configuré pour relayer une copie d’un paquet vers un équipement de destination EQUIP_OS, EQUIP_APP_i auquel est destiné le paquet de données originel associé.
Il n’en reste pas moins que toutes les considérations techniques décrites ci-avant concernant le critère d’alerte CRIT_AL_k et le paramétrage du module de recherche MOD_ID_k s’appliquent encore ici pour ce qui est du critère d’alerte CRIT_AL_p et du module de recherche MOD_ID_p. En outre, rien n’exclut d’envisager que le seuil d’exposition S_EXP_p (respectivement le paramétrage du module de recherche MOD_ID_p) diffère du seuil d’exposition S_EXP_k (respectivement du paramétrage du module de recherche MOD_ID_k).
Il est à noter que les architectures des dispositifs de recherche PAP_j (j allant de 1 à 4) ont été décrites ci-avant en considérant que chacun de ces dispositifs est configuré pour vérifier un critère d’alerte CRIT_AL_j, et émettre, le cas échéant, un message d’alerte MESS_AL_j comportant une adresse de contact @UE_j. Afin de simplifier la description, on considère désormais de manière nullement limitative que les adresses de contact @UE_j sont toutes identiques. Cette adresse commune est notée « @UE » par la suite. On comprend cependant qu’il s’agit là uniquement d’une variante d’implémentation de l’invention, et rien n’exclut que tout ou partie des adresses @UE_j diffèrent entre elles.
Tel que cela ressort des exemples des figures 2, 3, 4 et 5, le terminal UE est configuré, dans le présent mode de réalisation, pour interagir avec chacun des dispositifs de recherche PAP_1, PAP_2, PAP_3 et PAP_4, en mettant en œuvre un procédé de communication selon l’invention.
La représente schématiquement un exemple d’architecture matérielle du terminal UE appartenant au système de gestion de données sensibles SYS de la .
Tel qu’illustré par la , le terminal UE dispose de l’architecture matérielle d’un ordinateur. Ainsi, le terminal UE comporte, notamment, un processeur 1_UE, une mémoire vive 2_UE, une mémoire morte 3_UE et une mémoire non volatile 4_UE. Il comporte en outre un module de communication 5_UE.
La mémoire morte 3_UE du terminal UE constitue un support d’enregistrement conforme à l’invention, lisible par le processeur 1_UE et sur lequel est enregistré un programme d’ordinateur PROG_UE conforme à l’invention, comportant des instructions pour l’exécution d’étapes d’un mode particulier de mise en œuvre du procédé de communication selon l’invention. Le programme PROG_UE définit des modules fonctionnels du terminal UE, qui s’appuient ou commandent les éléments matériels 1_UE à 5_UE du terminal UE cités précédemment, et qui comprennent notamment dans le mode de réalisation décrit ici :
- un module de traitement MOD_CREA_UE configuré pour établir les tunnels TUN_1 et TUN_2 avec respectivement les dispositifs de recherche PAP_1 et PAP_2,
- un module de copie MOD_REP_UE configuré pour dupliquer au moins un paquet de données destiné à être transmis vers un équipement de destination EQUIP_OS, EQUIP_APP_i,
- un module d’émission MOD_TX_UE configuré pour émettre au moins un paquet de données originel ou bien une copie dudit au moins un paquet de données originel,
- un module d’accès MOD_ACC configuré accéder à des informations sur des données sensibles détectées dans ledit au moins un paquet de données (les informations en question correspondent à celles mises à disposition par un dispositif de recherche PAP_j).
Dans le mode de réalisation décrit ici, le module d’accès MOD_ACC comporte plus particulièrement :
- un premier sous-module de réception SS_MOD1_RX_UE configuré pour recevoir un message d’alerte MESS_AL_j (j allant de 1 à 4) en provenance d’un dispositif de recherche PAP_j,
- un sous-module d’émission SS_MOD_TX_UE configuré pour émettre, vers l’adresse de contact @UE, une requête de téléchargement du fichier logiciel MEMO_UE_j mémorisé par ledit dispositif de recherche PAP_j et transféré vers ladite adresse de contact @UE,
- un deuxième sous-module de réception SS_MOD2_RX_UE configuré pour recevoir (en réponse à ladite requête de téléchargement) ledit fichier logiciel MEMO_UE_j.
On note que, dans le présent mode de réalisation, le module de communication 5_UE intègre le d’émission MOD_TX_UE ainsi que le module d’accès MOD_ACC.
On note également qu’une fois en connaissance de l’existence des dispositifs de recherche PAP_1 et PAP_2, l’établissement desdits tunnels TUN_1 et TUN_2 répond à des procédures techniques connues de l’homme du métier, et qui ne sont donc pas décrites plus avant ici.
Pour ce qui concerne la connaissance de l’existence des dispositifs de recherche PAP_1 et PAP_2 (mais aussi in fine des dispositifs de recherche PAP_3 et PAP_4), celle-ci peut résulter, par exemple, d’une procédure de découverte mise en œuvre par le terminal UE (envoi de requêtes, réception de réponse auxdites requêtes, etc.), auquel cas le terminal UE comporte des moyens matériels et/ou logiciels configurés pour mettre en œuvre une telle procédure de découverte. Selon un autre exemple, la connaissance de l’existence des dispositifs de recherche PAP_j résulte d’une transmission d’informations de la part du fournisseur d’accès. D’une manière générale, aucune limitation n’est attachée à la manière dont le terminal UE acquiert la connaissance de l’existence des dispositifs de recherche PAP_j.
Suivant des considérations similaires, dupliquer des paquets de données relève de procédures techniques connues de l’homme du métier, le terminal UE (respectivement l’équipement CPE) étant configuré de manière idoine (notamment au moyen du module de copie MOD_REP_UE) pour mettre en œuvre de telles procédures (activation de la duplication de paquets de données, par exemple).
Enfin, on note aussi que, dans la mesure où le système de gestion de données sensibles SYS comporte ici les dispositifs de recherche PAP_3 et PAP_4 configurés pour jouer le rôle de proxy, il est possible d’envisager, suivant des exemples de réalisation non détaillés, qu’une racine locale (« local root certificate » en anglais) est installée sur le terminal UE afin de pouvoir impliquer au moins un desdits dispositifs de recherche PAP_3, PAP_4 dans une connexion sécurisée établie pour une route suivie par des paquets de données vers un équipement destination.
La représente, sous forme d’ordinogramme, un mode particulier d’un procédé de traitement de données, dit « procédé général », mis en œuvre par le système de gestion de données sensibles SYS de la .
Ledit mode du procédé général englobe :
- un mode particulier du procédé de communication selon l’invention et mis en œuvre par le terminal UE,
- des modes particuliers du procédé d’identification selon l’invention et respectivement mis en œuvre par les dispositifs de recherche PAP_1, PAP_2, PAP_3 et PAP_4.
Pour la description dudit mode de la , on considère que le terminal UE émet un paquet de données P1_OS. Plus particulièrement, ledit paquet de données est émis par le système d’exploitation OS du terminal UE. Il est également considéré que le paquet de données P1_OS est copié par le terminal UE, cet aspect étant décrit plus en détail ci-après.
On comprend toutefois que le fait de considérer un tel unique paquet de données P1_OS ne constitue pas une limitation de l’invention. Il est en effet possible d’envisager un nombre quelconque de paquets de données, mais aussi que des données sensibles sont insérées dans ces paquets par une autre source que le système d’exploitation OS.
On considère en outre de manière nullement limitative la série d’hypothèses suivante :
- le terminal UE est équipé du système d’exploitation OS ainsi que de deux applications APP_1, APP_2 (i.e. N=2). En outre, lors de la souscription de son contrat auprès du fournisseur d’accès, de sorte à pouvoir bénéficier d’un service de recherche de données sensibles, l’utilisateur du terminal UE a défini une liste filtrante L_FILT répertoriant les données sensibles qu’il souhaite voir identifiées. Dans le présent mode de mise en œuvre, ladite liste filtrante L_FILT vise à ce que toutes les données sensibles provenant du système d’exploitation OS ainsi que de la seule application APP_1 soient identifiées. Il ne s’agit là bien entendu que d’un exemple de liste filtrante, aucune limitation n’étant attachée aux données sensibles pouvant être répertoriées dans une telle liste filtrante,
- le module de recherche MOD_ID_1 du dispositif de recherche PAP_1 est configuré de sorte à permettre l’identification de données sensibles provenant dudit système d’exploitation OS,
- le module de recherche MOD_ID_2 du dispositif de recherche PAP_2 est configuré de sorte à permettre l’identification de données sensibles provenant dudit système d’exploitation OS, ainsi que du réseau local NET_LOC et du réseau d’accès NET_ACC,
- le module de recherche MOD_ID_3 du dispositif de recherche PAP_3 est configuré de sorte à permettre l’identification de données sensibles provenant de l’application APP_1,
- le module de recherche MOD_ID_4 du dispositif de recherche PAP_4 est configuré de sorte à permettre l’identification de données sensibles provenant du système d’exploitation OS ainsi que des applications APP_1 et APP_2.
Ainsi, selon de telles hypothèses, les dispositifs de recherche PAP_2 et PAP_4 sont en mesure d’identifier des données sensibles en provenance de sources qui ne sont pas incluses dans la liste filtrante L_FILT paramétrée par l’utilisateur du terminal UE. Plus particulièrement, le dictionnaire associé au dispositif de recherche PAP_2 est d’intersection non vide avec la liste filtrante L_FILT (cette intersection correspondant aux seules données provenant du système d’exploitation OS). La liste filtrante L_FILT est en outre strictement incluse dans le dictionnaire associé au dispositif de recherche PAP_4.
Dès lors, deux cas peuvent se présenter relativement aux hypothèses faites ci-avant :
- un premier cas dans lequel la liste filtrante L_FILT est communiquée (par le fournisseur d’accès ou bien par le terminal UE) au moins auxdits dispositifs de recherche PAP_2 et PAP_4, de sorte que ces derniers se conforment, s’ils le peuvent, au contenu de ladite liste filtrante L_FILT (i.e. l’identification de données sensibles est réalisée par comparaison avec ladite liste filtrante L_FILT). Autrement dit, dans ce premier cas, le dispositif de recherche PAP_2 se contente d’identifier des données sensibles provenant du système d’exploitation OS, mais pas du réseau local NET_LOC ni du réseau d’accès NET_ACC . Le dispositif de recherche PAP_4, quant à lui, se contente d’identifier des données sensibles provenant du système d’exploitation OS ainsi que de l’application APP_1, mais pas de l’application APP_2,
- un deuxième cas dans lequel au moins un desdits dispositifs de recherche PAP_2, PAP_4 ne tient pas compte de la liste filtrante L_FILT, par exemple parce que le fournisseur d’accès ne la lui a pas communiquée. Autrement dit, ledit au moins dispositif de recherche PAP_2, PAP_4 identifie toutes les données sensibles pour lesquelles son module d’identification MOD_ID_2, MOD_ID_4 est paramétré, indépendamment du contenu de la liste filtrante L_FILT. Une telle mise en œuvre permet par exemple au fournisseur d’accès de développer une offre commerciale graduelle. Par exemple, si le dispositif de recherche PAP_4 est concerné par ce deuxième cas, le fournisseur d’accès peut dans un premier temps simplement avertir l’utilisateur que l’application APP_2 transmet des données sensibles, sans révéler la nature desdites données sensibles (p. ex. la nature des données sensibles est masquée dans le fichier logiciel MEMO_UE_4). L’accès complet auxdites données sensibles transmises par l’application APP_2 peut dès lors faire l’objet d’un paiement supplémentaire de l’utilisateur (p. ex. : avenant au contrat souscrit par l’utilisateur du terminal UE).
Pour la suite de la description, on considère à titre nullement limitatif que chacun desdits dispositifs de recherche PAP_2, PAP_4 met en œuvre un mode particulier du procédé d’identification selon des dispositions conformes au deuxième cas mentionné ci-avant (i.e. la liste filtrante L_FILT n’est pas prise en compte).
Par ailleurs, on considère également que des fichiers logiciels MEMO_UE_j (j allant de 1 à 4) sont déjà mémorisés par les dispositifs de recherche PAP_j, par exemple dans leurs mémoires non volatiles 4_j. L’existence de ces fichiers logiciels MEMO_UE_j résulte par exemple d’une ou plusieurs mises en œuvre préalables du procédé général. On comprend dès lors que si de nouvelles données sensibles sont détectées, lesdits fichiers logiciels MEMO_UE_j sont mis à jour en fonction desdites données sensibles nouvellement identifiées.
Dans ledit mode de mise en œuvre, et tel qu’illustré par la , le procédé général comporte une étape E10_UE d’émission dudit paquet de données P1_OS par le système d’exploitation OS du terminal UE. Plus particulièrement, le paquet P1_OS est émis vers l’équipement CPE suivant une route configurée par défaut au niveau du terminal UE. Autrement dit, le paquet P1_OS est destiné à être reçu par les dispositifs de recherche PAP_3 et PAP_4.
Ladite étape E10_UE est mise en œuvre par le module d’émission MOD_TX_UE équipant le terminal UE et fait partie intégrante, dans ledit mode, du procédé de communication exécuté par ledit terminal UE.
Dans ledit présent mode de mise en œuvre, le procédé général comporte également une étape E20_UE de duplication dudit paquet de données P1_OS, de sorte à obtenir une copie P1_OS_BIS. Ladite copie P1_OS_BIS est également émise par le terminal UE au cours d’une étape E30_UE, plus particulièrement vers les dispositifs de recherche PAP_1 et PAP_2 via respectivement les tunnels TUN_1 et TUN_2.
Lesdites étapes E20_UE et E30_UE sont respectivement mises en œuvre par le module de copie MOD_REP_UE et le module d’émission MOD_TX_UE équipant ledit terminal UE et font partie intégrante, dans ledit mode, dudit procédé de communication.
Sur réception dudit paquet de données P1_OS (étapes E40_3, E40_4) ainsi que de ladite copie P1_OS_BIS (étapes E40_1 E40_2), chaque dispositif de recherche PAP_j met en œuvre une étape E50_j de vérification du critère d’autorisation CRIT_AUTH. Lesdites étapes E40_j et E50_j sont respectivement mises en œuvre par le module de réception MOD_RX_j et le module de vérification MOD_VERIF_j équipant le dispositif de recherche PAP_j, et font partie intégrante, dans ledit mode, du procédé de recherche exécuté par ledit dispositif de recherche PAP_j.
Dans le présent mode de mise en œuvre, l’utilisateur du terminal UE ayant souscrit un contrat avec le fournisseur d’accès, le critère d’autorisation CRIT_AUTH est satisfait. En outre, étant donné les hypothèses faites sur les dictionnaires respectivement associés aux dispositifs de recherche PAP_1, PAP_2, PAP_3 et PAP_4, seuls les dispositifs PAP_1, PAP_2 et PAP_4 sont en mesure d’identifier des données sensibles dans le paquet P1_OS (ou P1_OS_BIS le cas échéant), par comparaison avec lesdits dictionnaires.
Le procédé général comporte alors, pour les dispositifs de recherche PAP_1, PAP_2, PAP_4, des étapes E60_1, E60_2, E60_4 de recherche de données sensibles dans le paquet P1_OS (ou P1_OS_BIS le cas échéant). Lesdites étapes E60_1, E60_2, E60_4 sont mises en œuvre par les module de recherche MOD_ID_1, MOD_ID_2, MOD_ID_4 équipant les dispositifs de recherche PAP_1, PAP_2, PAP_4 et font partie intégrante, dans ledit mode, des procédés de recherche exécutés respectivement par lesdits dispositifs de recherche PAP_1, PAP_2, PAP_4.
Pour la suite de la description, on considère de manière nullement limitative que des données sensibles insérées par le système d’exploitation OS sont bien détectées par les dispositifs PAP_1, PAP_2 et PAP_4 dans les paquets de données P1_OS, P1_OS_BIS. On considère en outre que le dispositif de recherche PAP_2 n’a pas détecté, dans la copie P1_OS_BIS, de données sensibles insérées par le réseau local NET_LOC et le réseau d’accès NET_ACC.
Les dispositifs de recherche PAP_1, PAP_2, PAP_4 mettent alors en œuvre des étapes E70_1, E70_2, E70_4 de mémorisation (mise à jour) d’informations représentatives des données sensibles détectées dans les fichiers logiciels MEMO_UE_1, MEMO_UE_2, MEMO_UE_4. Lesdites étapes E70_1, E70_2, E70_4 sont mises en œuvre par les sous-modules de mémorisation SS_MOD_MEM_1, SS_MOD_MEM_2, SS_MOD_MEM_4 équipant les dispositifs de recherche PAP_1, PAP_2, PAP_4 et font partie intégrante, dans ledit mode, des procédés de recherche respectivement exécutés par lesdits dispositifs de recherche PAP_1, PAP_2, PAP_4.
Une fois la recherche et la mémorisation achevées, les dispositifs de recherche PAP_3, PAP_4 mettent en œuvre des étapes E80_3, E80_4 de transmission du paquet de données P1_OS vers l’équipement de destination EQUIP_OS. Lesdites étapes E80_3, E80_4 sont mises en œuvre par les modules de transmission MOD_TX_3, MOD_TX_4 équipant les dispositifs de recherche PAP_3, PAP_4 et font partie intégrante, dans ledit mode, des procédés de recherche respectivement exécutés par lesdits dispositifs de recherche PAP_3, PAP_4.
Il convient de noter que la copie P1_OS_BIS n’est quant à elle pas transmise par les dispositifs de recherche PAP_1, PAP_2 vers l’équipement de destination EQUIP_OS. En effet, et comme détaillé ci-avant, seuls les dispositifs de recherche PAP_3, PAP_4 sont configurés pour jouer un rôle de proxy.
Les dispositifs de recherche PAP_1, PAP_2, PAP_4 mettent également en œuvre des étapes E90_1, E90_2, E90_4 de vérification des critères d’alerte CRIT_AL_1, CRIT_AL_2, CRIT_AL_4. Lesdites étapes E90_1, E90_2, E90_4 sont mises en œuvre par les sous-modules de vérification SS_MOD_VERIF_1, SS_MOD_VERIF_2, SS_MOD_VERIF_4 équipant les dispositifs de recherche PAP_1, PAP_2, PAP_4 et font partie intégrante, dans ledit mode, des procédés d’identification respectivement exécutés par lesdits dispositifs de recherche PAP_1, PAP_2, PAP_4.
Il est supposé ici, à titre nullement limitatif, que parmi les seuils d’exposition S_EXP_1, S_EXP_2, S_EXP_4 respectivement associés aux dispositifs de recherche PAP_1, PAP_2, PAP_4, seul le seuil d’exposition S_EXP_1 est dépassé. Par conséquent, seul le critère d’alerte CRIT_AL_1 est satisfait. On note que le fait d’avoir des seuils d’exposition distincts permet notamment de faire varier la sensibilité des dispositifs de recherche vis-à-vis de données sensibles issues d’une même source.
Dès lors, et tel qu’illustré par la , le procédé général comporte une étape E110_1 d’émission, par le dispositif de recherche PAP_1 et vers le terminal UE, d’un message d’alerte MESS_AL_1 configuré pour permettre l’accès dudit terminal UE au fichier logiciel MEMO_UE_1. Le message d’alerte MESS_AL_1 comporte l’adresse de contact @UE à laquelle le fichier logiciel MEMO_UE_1 est transféré par le dispositif de recherche PAP_1 (ledit transfert étant réalisé au cours d’une étape E100_1 mise en œuvre par les moyens de communications 5_1 équipant le dispositif de recherche PAP_1).
Ladite étape E110_1 est mise en œuvre par le sous-module d’émission SS_MOD_EMI_1 équipant le dispositif de recherche PAP_1 et fait partie intégrante, dans ledit mode, du procédé d’identification exécuté par ledit dispositif de recherche PAP_1.
Dans le présent mode de mise en œuvre, le procédé général comporte également une étape E120_UE de réception, par le terminal UE, du message d’alerte MESS_AL_1 émis par le dispositif de recherche PAP_1. Ladite étape E120_UE est mise en œuvre par le premier sous-module de réception SS_MOD1_RX_UE équipant le terminal UE et fait partie intégrante, dans ledit mode, du procédé de communication exécuté par ledit terminal UE.
Sur réception du message d’alerte MESS_AL_1, le terminal UE met en œuvre une étape E130_UE de transmission, vers l’adresse de contact @UE, d’une requête REQ_UE_1 de téléchargement du fichier logiciel MEMO_UE_1. Ladite étape E130_UE est mise en œuvre par le sous-module d’émission SS_MOD_TX_UE équipant le terminal UE et fait partie intégrante, dans ledit mode, du procédé de communication exécuté par ledit terminal UE.
Finalement, le procédé général comporte également, dans ledit mode de mise en œuvre, une étape E140_UE de réception, par le terminal UE et en réponse à ladite requête REQ_UE_1, du fichier logiciel MEMO_UE_1. Ladite étape E140_UE est mise en œuvre par le deuxième sous-module de réception SS_MOD2_RX_UE équipant le terminal UE et fait partie intégrante, dans ledit mode, du procédé de communication exécuté par ledit terminal UE.
Une fois le fichier logiciel MEMO_UE_1 téléchargé, l’utilisateur du terminal UE peut le consulter, par exemple grâce à des moyens d’affichage (p. ex. : écran) équipant le terminal UE, de sorte à prendre connaissance du contenu dudit fichier logiciel MEMO_UE_1.
L’invention a été décrite jusqu’à présent en considérant des modes de mises en œuvre du procédé de recherche dans lesquels chaque dispositif de recherche PAP_j est configuré pour mémoriser des données sensibles dans un fichier logiciel MEMO_UE_j qu’il est le seul à détenir (avant un éventuel partage avec le terminal UE). L’invention ne se limite néanmoins pas à ces modes, et il est également possible d’envisager d’autres modes dans lesquels, une fois que des données sensibles ont été détectées par un ou plusieurs dispositifs de recherche PAP_j, ces données sensibles sont transmises vers un dispositif de traitement de données, dit « dispositif d’agrégation » PAP_AG (non représenté sur la ), appartenant au système de gestion de données sensibles SYS et configuré pour les mémoriser dans un fichier logiciel globalisé.
Un tel fichier logiciel globalisé peut être vu comme la compilation de tous les fichiers logiciels qui seraient autrement générés si l’invention était mise en œuvre conformément aux modes décrits jusqu’à présent. Le fait d’utiliser un tel dispositif d’agrégation PAP_AG ainsi qu’un tel fichier logiciel globalisé se révèle particulièrement avantageux dans le cas où le terminal UE est connecté à une pluralité de réseaux via une pluralité d’interfaces. En effet, de cette manière, l’utilisateur dudit terminal UE peut avoir accès, via un seul fichier logiciel (i.e. ledit fichier logiciel globalisé), à son identité numérique globale, c’est-à-dire son identité numérique telle que construite au travers des différents réseaux auxquels le terminal UE peut se connecter. On comprend notamment que dans les cas où des données sensibles transmises via des interfaces distinctes ne permettent pas, lorsque considérées isolément, d’avoir accès à des informations d’identification, il existe néanmoins un risque que ces dernières puissent être obtenues à partir d’une corrélation des données ainsi collectées sur plusieurs interfaces.
On note que le dispositif d’agrégation PAP_AG peut être localisé dans n’importe quel réseau utilisé par le système de gestion de données sensibles SYS (réseau local NET_LOC, réseau d’accès NET_ACC, réseau global NET_GLOB), ou bien encore dans un autre réseau.
La représente schématiquement un exemple d’architecture matérielle du dispositif d’agrégation PAP_AG appartenant au système de gestion de données sensibles SYS selon un mode de réalisation de l’invention.
Tel qu’illustré par la , le dispositif d’agrégation PAP_AG dispose de l’architecture matérielle d’un ordinateur. Ainsi, le dispositif d’agrégation PAP_AG comporte, notamment, un processeur 1_AG, une mémoire vive 2_ AG, une mémoire morte 3_ AG et une mémoire non volatile 4_ AG. Il comporte en outre un module de communication 5_ AG.
La mémoire morte 3_ AG du dispositif d’agrégation PAP_ AG constitue un support d’enregistrement conforme à l’invention, lisible par le processeur 1_ AG et sur lequel est enregistré un programme d’ordinateur PROG_ AG conforme à l’invention, comportant des instructions pour l’exécution d’étapes d’un mode particulier de mise en œuvre du procédé d’identification selon l’invention. Le programme PROG_ AG définit des modules fonctionnels du dispositif d’agrégation PAP_ AG, qui s’appuient ou commandent les éléments matériels 1_ AG à 5_ AG du dispositif d’agrégation PAP_ AG cités précédemment, et qui comprennent notamment dans le mode de réalisation décrit ici :
- un module de réception MOD_RX_AG configuré pour recevoir, en provenance des dispositifs de recherche PAP_j (j allant de 1 à 4), des données sensibles détectées par lesdits dispositifs de recherche PAP_j (on note que dans ce cas, chacun desdits dispositifs de recherche est équipé d’un module de transmission configuré pour transmettre les données sensibles identifiées vers le dispositif d’agrégation PAP_ AG),
- un module de mise à disposition MOD_DISP_AG configuré pour mettre à disposition de l’utilisateur du terminal UE des informations sur les données sensibles détectées.
Ledit module de mise à disposition MOD_DISP_AG comporte plus particulièrement, dans le mode de réalisation décrit ici :
- un sous-module de mémorisation SS_MOD_MEM_AG configuré pour mémoriser, dans un fichier logiciel MEMO_UE_AG associé audit terminal UE, des informations représentatives des données sensibles transmises par lesdits dispositifs de recherche PAP_j,
- un sous-module de vérification SS_MOD_VERIF_AG configuré pour vérifier si un critère d’alerte CRIT_AL_AG est satisfait,
- un sous-module d’émission SS_MOD_EMI_AG configuré pour émettre, si le critère d’alerte CRIT_AL_AG est satisfait, un message d’alerte MESS_AL_AG vers le terminal UE, ledit message d’alerte MESS_AL_AG étant configuré pour permettre l’accès dudit terminal UE audit fichier logiciel MEMO_UE_AG.
Il a par ailleurs été considéré jusqu’à présent que la recherche de données sensibles réalisée par un dispositif de recherche PAP_j s’appuie sur un dictionnaire préétabli associé audit dispositif de recherche PAP_j et qui n’est pas destiné à être enrichi au fur et à mesure que des paquets de données sont reçus par ledit dispositif de recherche PAP_j. Une telle recherche de données peut donc être vue comme un processus statique.
L’invention ne se limite néanmoins pas à un tel processus statique, et il est notamment possible d’envisager des modes dans lesquels les paquets de données reçus par un dispositif de recherche PAP_j sont utilisés pour enrichir (compléter) son dictionnaire. De tels modes permettent donc, a contrario du processus statique évoqué ci-avant, de mettre en œuvre une identification de données représentative d’un processus dynamique.
Par exemple, le module de recherche MOD_ID_j équipant un dispositif de recherche PAP_j peut être configuré pour exécuter un algorithme d’apprentissage automatique, de sorte que cet algorithme puisse détecter des motifs de données récurrents (identifiant(s), numéro(s), adresse(s), etc.) contenus dans les paquets de données reçus par ledit dispositif de recherche PAP_j. Cet algorithme d’apprentissage correspond par exemple à un algorithme issu du domaine de l’intelligence artificielle reposant notamment sur des techniques d’apprentissage machine (« Machine Learning » dans la littérature anglo-saxonne) et configuré pour réaliser une analyse sémantique des paquets de données reçus. D’une manière générale, tout algorithme d’apprentissage automatique connu de l’homme du métier peut être mis en œuvre. L’algorithme d’apprentissage peut en outre être configuré pour maintenir la durée de persistance des identifiants récurrents détectés (1 jour, 1 semaine, permanent), associer un type avec de tels identifiants, etc.
On note aussi qu’il est possible d’envisager qu’un dispositif de recherche PAP_j reconnaisse des motifs de données récurrents sans pour autant avoir connaissance de la structure des paquets de données qu’il reçoit.
Qui plus est, lorsqu’un dispositif de recherche PAP_j détecte un motif de données récurrent correspondant à une adresse (par exemple une adresse IP et/ou SNI pour « Server Name Identification » en anglais), et que cette adresse n’est pas encore répertoriée dans son dictionnaire, il peut alors enclencher une procédure visant à résoudre l’identité de l’entité associée à cette adresse. Une telle procédure est connue en soi, et consiste par exemple à émettre une ou plusieurs requêtes vers une base de données adaptée (p. ex. : base de données WHOIS).
Il apparaitra clairement à l’homme du métier que les dispositions précédentes relatives à la possibilité d’enrichir un dictionnaire de manière dynamique peuvent bien entendu s’appliquer au dispositif d’agrégation PAP_AG.
Un autre aspect important à noter est que, au sens de l’invention, l’entité dont des informations d’identification sont déterminées, via des données sensibles détectées, ne se limite pas au seul utilisateur d’un terminal. En effet, et comme déjà mentionné auparavant, il n’est pas exclu de considérer des modes de réalisation de l’invention dans lesquels plusieurs terminaux sont actifs (i.e. le ou les dispositifs de recherche pouvant dès lors identifier des données sensibles dans des paquets émis par cette pluralité de terminaux). Dans ce cas, l’entité en question peut par exemple être une entité en charge de la gestion de ladite pluralité de terminaux.
Pour illustrer ceci, on peut considérer, à titre nullement limitatif, le cas d’un parent ayant fait l’achat d’un smartphone pour chacun de ses enfants. Dès lors, l’utilisateur d’un smartphone correspond à l’un des enfants auquel ledit smartphone est attribué, ledit parent constituant l’entité en charge de la gestion de l’ensemble desdits smartphones (les identités numériques déterminées, le cas échéant, pour chacun des enfants pouvant dès lors être agrégées pour former une identité numérique représentative associée audit parent).
On peut également noter que dans le mode de réalisation de la , le terminal UE « appartient » (directement) au réseau local NET_LOC, ou bien encore « appartient » (indirectement) au réseau d’accès NET_ACC. En conséquence, il est possible de considérer, au sens de la présente invention, une alternative selon laquelle l’entité dont des informations d’identification sont déterminées, via des données sensibles détectées, est le réseau local NET_LOC ou bien encore le réseau d’accès NET_ACC. Qui plus est, dans le cas de modes de réalisation dans lesquels plusieurs terminaux sont actifs, il est possible de définir, le cas échéant, l’identité numérique du réseau local NET_LOC (respectivement du réseau d’accès NET_ACC) comme une agrégation des identités numériques respectives des terminaux appartenant audit réseau local NET_LOC (respectivement audit réseau d’accès NET_ACC).

Claims (16)

  1. Procédé de recherche de données dites sensibles dans au moins un paquet de données (P1_OS, P1_OS_BIS) émis par au moins un terminal (UE) connecté à un réseau (NET_GLOB), ledit au moins un paquet de données ayant pour destination un équipement dit « de destination » (EQUIP_OS) accessible via ledit réseau, des informations d’identification relatives à l’identité et/ou à l’environnement d’une entité à laquelle appartient ledit au moins un terminal pouvant être déterminées à partir de données sensibles ayant été insérées dans ledit au moins un paquet avant qu’il n’atteigne l’équipement de destination, ledit procédé comportant des étapes mises en œuvre par un dispositif de recherche (PAP_1, PAP_2, PAP_3, PAP_4) distinct dudit équipement de destination, dont :
    - réception (E40_1_1, E40_1_2, E40_1_3, E40_1_4) dudit au moins un paquet de données,
    - recherche (E60_1_1, E60_1_2, E60_1_4) de données sensibles dans ledit au moins un paquet de données,
    - et, si des données sensibles sont détectées dans ledit au moins un paquet, mise à disposition de ladite entité d’informations sur lesdites données sensibles détectées.
  2. Procédé selon la revendication 1, dans lequel le dispositif de recherche est localisé sur une route d’acheminement dudit au moins un paquet de données vers ledit équipement de destination, ledit procédé comportant en outre une étape de transmission (E80_1_1, E80_1_3, E80_1_4) mise en œuvre par ledit dispositif de recherche (PAP_1, PAP_3, PAP_4) et consistant, une fois la recherche de données sensibles réalisée, à relayer ledit au moins un paquet de données (P1_OS) vers l’équipement de destination (EQUIP_OS).
  3. Procédé selon la revendication 1, dans lequel ledit dispositif de recherche (PAP_1, PAP_2) est relié au terminal à l’aide d’au moins un tunnel (TUN_1, TUN_2), ledit au moins un paquet de données reçu par le dispositif de recherche (PAP_2) correspondant à une copie (P1_OS_BIS) d’un paquet de données originel (P1_OS) transmis vers l’équipement de destination (EQUIP_OS), ladite copie étant transmise via ledit au moins un tunnel et n’étant pas relayée par ledit dispositif de recherche vers l’équipement de destination (EQUIP_OS).
  4. Procédé selon l’une quelconque des revendications 1 à 3, dans lequel l’étape de recherche (E60_1_1, E60_1_2, E60_1_4) comporte :
    - une comparaison des données contenues dans ledit au moins un paquet avec une liste filtrante associée audit au moins un terminal, et/ou
    - une comparaison des données contenues dans ledit au moins un paquet avec un dictionnaire associé audit dispositif de recherche, et/ou
    - une exécution d’un algorithme d’apprentissage pour détecter des motifs de données récurrents contenus dans ledit au moins un paquet de données.
  5. Procédé selon l’une quelconque des revendications 1 à 4, dans lequel l’étape de mise à disposition comporte, si un critère d’alerte (CRIT_AL_1, CRIT_AL_2, CRIT_AL_4) est satisfait (E90_1_1, E90_1_2, E90_1_4), une émission d’un message d’alerte (MESS_AL_1) configuré pour permettre l’accès de l’entité auxdites informations sur les données sensibles détectées.
  6. Procédé selon l’une quelconque des revendications 1 à 5, dans lequel des données sensibles sont insérées dans ledit au moins un paquet par au moins l’un quelconque des éléments parmi :
    - un système d’exploitation (OS) équipant ledit au moins un terminal (UE),
    - une application logicielle (APP_1, APP_2) installée sur ledit au moins un terminal,
    - un réseau d’accès (NET_ACC) auquel est connecté ledit au moins un terminal et relié au réseau via lequel ledit équipement de destination est accessible,
    - un réseau local (NET_LOC) auquel est connecté ledit au moins un terminal et relié audit réseau d’accès.
  7. Procédé selon l’une quelconque des revendications 1 à 6, dans lequel une donnée sensible est l’un quelconque des éléments d’une liste comprenant :
    - une donnée de localisation dudit au moins un terminal,
    - un numéro IMSI ou MSISDN ou IMEI associé audit au moins un terminal,
    - un numéro de carte SIM équipant ledit au moins un terminal,
    - un identifiant d’un réseau d’accès relié au réseau via lequel ledit équipement de destination est accessible et/ou un identifiant d’un opérateur en charge de la gestion dudit réseau d’accès,
    - lorsque ledit au moins un terminal est connecté à un réseau local relié à un réseau d’accès lui-même relié au réseau via lequel ledit équipement de destination est accessible, un identifiant dudit réseau local et/ou un identifiant persistant d’un équipement dédié (CPE) réalisant la connexion entre le réseau local et le réseau d’accès,
    - une adresse IP ou une adresse matérielle dudit au moins un terminal,
    - une adresse IP ou une adresse matérielle d’au moins un autre terminal positionné dans un voisinage dudit au moins un terminal ayant émis ledit au moins un paquet,
    - un identifiant persistant associé audit au moins un terminal.
  8. Procédé selon l’une quelconque des revendications 1 à 7, dans lequel ladite entité est l’un quelconque des éléments parmi :
    - un utilisateur ou un administrateur dudit au moins un terminal,
    - lorsque ledit au moins un terminal est connecté à un réseau d’accès ou bien à un réseau local conformément à la revendication 6, ledit réseau d’accès ou bien ledit réseau local.
  9. Procédé selon l’une quelconque des revendications 1 à 8, dans lequel l’étape de recherche (E60_1_1, E60_1_2, E60_1_4) est mise en œuvre si un critère (CRIT_AUTH) d’autorisation de recherche de données sensibles pour ledit au moins un terminal (UE) est satisfait (E50_1_1, E50_1_2, E50_1_3, E50_1_4).
  10. Dispositif de recherche (PAP_1, PAP_2, PAP_3, PAP_4) de données dites sensibles dans au moins un paquet de données (P1_OS, P1_OS_BIS) émis par au moins un terminal (UE) connecté à un réseau (NET_GLOB), ledit au moins un paquet de données ayant pour destination un équipement dit « de destination » (EQUIP_OS) accessible via ledit réseau, des informations d’identification relatives à l’identité et/ou à l’environnement d’une entité à laquelle appartient ledit au moins un terminal pouvant être déterminées à partir de données sensibles ayant été insérées dans ledit au moins un paquet avant qu’il n’atteigne l’équipement de destination, ledit dispositif de recherche étant distinct dudit équipement de destination et comportant :
    - un module de réception (MOD_RX_1, MOD_RX_2, MOD_RX_3, MOD_RX_4) configuré pour recevoir ledit au moins un paquet de données,
    - un module de recherche (MOD_ID_1, MOD_ID_2, MOD_ID_3, MOD_ID_4) configuré pour détecter des données sensibles insérées dans ledit au moins un paquet de données,
    - un module de mise à disposition configuré pour mettre à disposition de ladite entité, si des données sensibles sont détectées dans ledit au moins un paquet, des informations sur lesdites données sensibles détectées.
  11. Dispositif selon la revendication 10, ledit dispositif de recherche (PAP_1, PAP_2, PAP_3, PAP_4) étant déployé dans :
    - le réseau (NET_GLOB) via lequel ledit équipement de destination est accessible,
    - un réseau d’accès (NET_ACC) relié au réseau via lequel ledit équipement de destination est accessible,
    - lorsque ledit au moins un terminal (UE) est connecté à un réseau local (NET_LOC) relié à un réseau d’accès (NET_ACC) lui-même relié au réseau via lequel ledit équipement de destination est accessible, ledit réseau local.
  12. Dispositif selon l’une quelconque des revendications 10 à 11, dans lequel ledit dispositif de recherche (PAP_1, PAP_2) est localisé sur une route d’acheminement dudit au moins un paquet de données vers ledit équipement de destination ou est relié au terminal par un tunnel (TUN_1, TUN_2).
  13. Dispositif d’agrégation (PAP_AG) comportant :
    - un module de réception (MOD_RX_AG) configuré pour recevoir, en provenance d’une pluralité de dispositifs de recherche (PAP_1, PAP_2, PAP_3, PAP_4) selon l’une quelconque des revendications 10 à 12, des données sensibles détectées par lesdits dispositifs de recherche dans au moins un paquet de données (P1_OS, P1_OS_BIS) émis par au moins un terminal (UE) connecté à un réseau (NET_GLOB), ledit au moins un paquet de données ayant pour destination un équipement dit « de destination » (EQUIP_OS) accessible via ledit réseau, des informations d’identification relatives à l’identité et/ou à l’environnement d’une entité à laquelle appartient ledit au moins un terminal pouvant être déterminées à partir de données sensibles ayant été insérées dans ledit au moins un paquet avant qu’il n’atteigne l’équipement de destination,
    - un module de mise à disposition configuré pour mettre à disposition de ladite entité des informations sur les données sensibles reçues en provenance desdits dispositifs de recherche.
  14. Terminal de communication (UE) comportant :
    - un module d’émission (MOD1_TX_UE) configuré pour émettre au moins un paquet de données (P1_OS, P1_OS_BIS) dans un réseau (NET_GLOB), ledit au moins un paquet de données ayant pour destination un équipement dit « de destination » (EQUIP_OS) accessible via ledit réseau, des informations d’identification relatives à l’identité et/ou à l’environnement d’une entité à laquelle appartient ledit terminal pouvant être déterminées à partir de données sensibles ayant été insérées dans ledit au moins un paquet avant qu’il n’atteigne l’équipement de destination,
    - un module d’accès (MOD_ACC) configuré pour accéder à des informations sur des données sensibles détectées dans ledit au moins un paquet de données.
  15. Terminal de communication (UE) selon la revendication 14, ledit terminal de communication comportant en outre un module de copie (MOD_REP_UE) configuré pour dupliquer au moins un paquet de données destiné à être transmis vers un équipement de destination, le terminal de communication étant configuré pour transmettre ladite copie vers au moins un dispositif de recherche selon l’une quelconque des revendications 10 à 12.
  16. Système de gestion de données dites sensibles (SYS) comportant au moins un dispositif de recherche (PAP_1, PAP_2, PAP_3, PAP_4) selon l’une quelconque des revendications 10 à 12 ainsi qu’au moins un terminal (UE) selon l’une quelconque des revendications 14 à 15.
PCT/EP2022/081046 2021-11-10 2022-11-08 Procédé de recherche de données sensibles dans au moins un paquet de données, dispositif et système associés WO2023083770A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FRFR2111977 2021-11-10
FR2111977A FR3129053A1 (fr) 2021-11-10 2021-11-10 Procédé de recherche de données sensibles dans au moins un paquet de données, dispositif et système associés.

Publications (1)

Publication Number Publication Date
WO2023083770A1 true WO2023083770A1 (fr) 2023-05-19

Family

ID=80786671

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2022/081046 WO2023083770A1 (fr) 2021-11-10 2022-11-08 Procédé de recherche de données sensibles dans au moins un paquet de données, dispositif et système associés

Country Status (2)

Country Link
FR (1) FR3129053A1 (fr)
WO (1) WO2023083770A1 (fr)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8856869B1 (en) * 2009-06-22 2014-10-07 NexWavSec Software Inc. Enforcement of same origin policy for sensitive data
US20160191545A1 (en) * 2014-12-31 2016-06-30 Symantec Corporation Systems and methods for monitoring virtual networks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8856869B1 (en) * 2009-06-22 2014-10-07 NexWavSec Software Inc. Enforcement of same origin policy for sensitive data
US20160191545A1 (en) * 2014-12-31 2016-06-30 Symantec Corporation Systems and methods for monitoring virtual networks

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ANASTASIA SHUBA ET AL: "AntShield: On-Device Detection of Personal Information Exposure", ARXIV.ORG, CORNELL UNIVERSITY LIBRARY, 201 OLIN LIBRARY CORNELL UNIVERSITY ITHACA, NY 14853, 4 March 2018 (2018-03-04), XP080857567 *
EVITA BAKOPOULOU ET AL: "Exposures Exposed: A Measurement and User Study to Assess Mobile Data Privacy in Context", ARXIV.ORG, CORNELL UNIVERSITY LIBRARY, 201 OLIN LIBRARY CORNELL UNIVERSITY ITHACA, NY 14853, 19 August 2020 (2020-08-19), XP081744919 *

Also Published As

Publication number Publication date
FR3129053A1 (fr) 2023-05-12

Similar Documents

Publication Publication Date Title
EP3298812B1 (fr) Chargement de profil d'abonnement dans une carte sim embarquée
EP3417591B1 (fr) Procédé et serveur de sélection d'un serveur d'entrée d'un réseau de communication ims
US8965342B1 (en) Method and apparatus for verifying the authenticity of mobile device information
EP3656142B1 (fr) Chargement d'un nouveau profil d'abonnement dans un module embarqué d'identification de souscripteur
FR3110795A1 (fr) Procédé de configuration d’un équipement pare-feu dans un réseau de communication, procédé de mise à jour d’une configuration d’un équipement pare-feu, dispositif, équipement d’accès, équipement pare-feu et programmes d’ordinateur correspondants.
EP3503508A1 (fr) Procédé de traitement de requêtes et serveur proxy
WO2023083770A1 (fr) Procédé de recherche de données sensibles dans au moins un paquet de données, dispositif et système associés
EP3788762A1 (fr) Procédé d'envoi d'une information et de réception d'une information pour la gestion de réputation d'une ressource ip
EP2638717B1 (fr) Terminal et procede pour transmettre un identifiant d'abonnement
WO2023083769A1 (fr) Procédé de traitement d'au moins un paquet de données, dispositif et système associés.
EP4066461B1 (fr) Procédé de coordination de la mitigation d'une attaque informatique, dispositif et système associés
US10237080B2 (en) Tracking data usage in a secure session
FR2906951A1 (fr) Dispositif et methode de controle et de securite d'un sous-systeme multimedia.
FR2992810A1 (fr) Procede d'emission d'un message par un serveur d'un coeur de reseau ip multimedia, et serveur
WO2020229219A1 (fr) Procede et dispositif de traitement d'une demande d'anonymisation d'une adresse ip source, procede et dispositif de demande d'anonymisation d'une adresse ip source
WO2019243706A1 (fr) Procédé de découverte de fonctions intermédiaires et de sélection d'un chemin entre deux équipements de communication
WO2023083771A1 (fr) Procédés de contrôle, de vérification et de configuration, et entités configurées pour mettre en œuvre ces procédés
WO2023083772A1 (fr) Procédés de contrôle et de transmission, et entités configurées pour mettre en œuvre ces procédés
FR3081653A1 (fr) Procede de modification de messages par un equipement sur un chemin de communication etabli entre deux noeuds
WO2024068722A1 (fr) Procedes de resolution de nom, de communication, de traitement de messages et serveur, dispositif client et noeud relais correspondants
WO2018234662A1 (fr) Procédé de contrôle de l'obtention par un terminal d'un fichier de configuration
FR3110800A1 (fr) Procédé de notification d’un terminal mobile
FR3116921A1 (fr) Périphérique connecté à un terminal, terminal et serveur configurés pour gérer une preuve de propriété, par le terminal, d’une donnée générée par le périphérique
FR3021828A1 (fr) Technique d'obtention d'une politique de routage de requetes emises par un module logiciel s'executant sur un dispositif client
WO2022117941A1 (fr) Procédé de détection d'un équipement malveillant dans un réseau de communication, équipement de communication et programme d'ordinateur correspondants

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22813296

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2022813296

Country of ref document: EP

ENP Entry into the national phase

Ref document number: 2022813296

Country of ref document: EP

Effective date: 20240610