sfh2

8/7/2019 SFH2

1/77

Version du 31 Mars 2011 Page 1

H A D O P IHAUTE AUTORITE POUR LA DIFFUSION DES UVRES ET LA

PROTECTION DES DROITS SUR INTERNET

SPECIFICATIONS

FONCTIONNELLES DESMOYENS DESECURISATION ETCONSIDERATIONS

ORGANISATIONNELLESVERSION

APRES LA CONSULTATION OUVERTEJUSQUAU 30 OCTOBRE 2010

4 R U E D U T E X E L7 5 0 1 4 P A R I S

8/7/2019 SFH2

2/77

Spcifications Fonctionnelles Hadopi SFH


S P E C IF IC A T ION SFON C TION N E LLE S

D E S MOY E N S D E S E C U R IS A T IONE T C ON S ID E R A TION S

OR GA N IS A T ION N E LLE SVERSION APRES LA CONSULTATION

Les spcifications fonctionnelles pertinentes rendues publiques par lHadopi permettrontdvaluer la conformit des moyens de scurisation et leur efficacit, dans le cadre de laprocdure de labellisation prvue larticle L. 331-26 du code de la proprit intellectuelle(CPI).

Le prsent document contient un nouveau projet de spcifications fonctionnelles ainsides considrations organisationnelles en termes de scurit, selon une approche dfinie enpage 18 ( organisation du document ).

8/7/2019 SFH2

3/77



TABLE DES MATIRES

Table des matires 3Introduction 6

LHadopi et les moyens de scurisation 6La rponse gradue 6Dfinition des termes 7La labellisation des moyens de scurisation 12

Directives suivies pour llaboration de SFH 13Typologie des conceptions darchitectures et de solutions 16

Architecture des solutions 16Spcifications des solutions de scurit existantes pertinentes 16Typologie des solutions selon le nombre dutilisateurs 16

Organisation du document 18Synthse des spcifications fonctionnelles 19Spcification gnrale 23Objectif 23

Caractristiques gnrales 23Cadre technique 23Introduction des modules 23Module 1 : le module dadministration 26

But - Fonctionnement 26Ergonomie 26Interface graphique 26Cycle de vie de lApplication 26Conformit de lApplication 28

Module 2 : le module de traitement 29But - Fonctionnement 29Les listes 30Le sous-module danalyse statique de configuration 31Le sous-module statistique 31Le sous-module danalyse dynamique de flux 32Le moteur danalyse protocolaire 33

Module 3 : le module de journalisation 37But - fonctionnement 37Options de journalisation 39Conservation du journal 39

Module 4 : le module de scurit 41But - Fonctionnement 41Objectifs de scurit 41Risques 43Politique de scurit 44Cryptologie 45

Fonctionnalits Cls de lApplication conforme aux SFH 46Fonctionnalits Gnrales 46Fonctionnalits du module dAdministration (module 1) 46Fonctionnalits du module de Traitement (module 2) 47Fonctionnalits du module de Journalisation (module 3) 47Fonctionnalits du module de Scurit (module 4) 47

Complments des spcifications fonctionnelles destination des professionnels (organismes

collectifs) 49La scurit numrique des organismes collectifs 49

8/7/2019 SFH2

4/77



Les dispositifs de scurit existants pertinents 49Sites avec un nombre lev dutilisateurs 50

Mode de la solution : produit ou service 51LApplication conforme aux SFH 51Mesures organisationnelles 52

Spcification gnrale : complment professionnel 52Caractristiques gnrales 52

Module 1 : le module dadministration (version professionnelle) 53But fonctionnement 53Ergonomie 53Interface graphique 53

Module 2 : le module de traitement (version professionnelle) 53Le Sous-module danalyse dynamique de flux 54Le moteur danalyse protocolaire 54

Module 3 : le module de journalisation (version professionnelle) 55Module 4 : le module de scurit (version professionnelle) 55

Risques 55Politique de scurit 56

Fonctionnalits Complmentaires de lApplication conforme aux SFH destination desProfessionnels (organismes collectifs) 58

Fonctionnalits Gnrales 58Fonctionnalits du module dAdministration (module 1) 58Fonctionnalits du module de Traitement (module 2) 58Fonctionnalits du module de Journalisation (module 3) 58Fonctionnalits du module de Scurit (module 4) 58

Complments des spcifications fonctionnelles destination du grand public (particuliers etTPE) 60

La scurit numrique des particuliers et TPE 60Les dispositifs de scurit existants pertinents 60

Sites avec un nombre restreint dutilisateurs 63Mode de la solution : produit ou service 63Difficults de la conception de lApplication des MS 64LApplication conforme aux SFH 64Mesures organisationnelles 66

Spcification gnrale : complment grand public 66Caractristiques gnrales 66

Module 1 : le module dadministration (version grand public) 68Ergonomie 68Interface graphique 68Cycle de vie de lapplication 68

Module 2 : le module de traitement (version grand public) 69

Les listes 69Le Sous-module danalyse statique de configuration 69Le Sous-module statistique 70Le Sous-module danalyse dynamique de flux 71Le moteur danalyse protocolaire 71

Module 3 : le module de journalisation (version grand public) 72Module 4 : le module de scurit (version grand public) 73

Risques 73Politique de scurit 73

Fonctionnalits Complmentaires de lApplication conforme aux SFH destination du grandpublic 75

Fonctionnalits Gnrales 75Fonctionnalits du module dAdministration (module 1) 75

8/7/2019 SFH2

5/77



Fonctionnalits du module de Traitement (module 2) 75Fonctionnalits du module de Journalisation (module 3) 75Fonctionnalits du module de Scurit (module 4) 75

Contraintes obligatoires de SFH 76Table des figures 77

8/7/2019 SFH2

6/77



INTRODUCTION

LHADOPI ET LES MOYENS DE SCURISATION

Dans le cadre de la loi n 2009-669 du 12 juin 2009 favorisant la diffusion et la protectionde la cration sur internet, lHadopi sest vue confier une mission de protection des uvreset des objets auxquels est attach un droit dauteur ou un droit voisin lgard des atteintes ces droits commises sur les rseaux de communications lectroniques utiliss pour lafourniture de services de communication au public en ligne (article L331-13 2 CPI).

Deux axes de cette mission concernent les moyens de scurisation :

n la mise en uvre dune procdure dite de rponse gradue incitant lestitulaires dun abonnement internet lutilisation de moyens de scurisation ; et

n la labellisation par lHadopi des moyens de scurisation conformes des

spcifications fonctionnelles publies par elle.

LA REPONSE GRADUEE

La rponse gradue repose sur lobligation du titulaire dun accs internet de veiller ce que cet accs ne soit pas utilis des fins de contrefaon (article L336-3 CPI).

Elle a pour objectif dinciter les abonns changer de comportement afin que leur accsinternet ne soit plus utilis en violation des droits dauteur.

cet effet, il est prvu que sur saisine des ayants droit, la commission de protection desdroits de lHadopi puisse adresser aux abonns dont laccs aura t utilis pour mettre

disposition ou reproduire sans autorisation des uvres protges par le droit dauteur, desrecommandations rappelant les dispositions du code de la proprit intellectuelle. Cesrecommandations sont adresses par courrier (lectronique et postal) et:

n attirent lattention des abonns sur lexistence dactes de contrefaon commis partir de leur accs ;

n invitent les abonns installer et mettre en uvre des moyens de scurisationde leur accs internet.

Dans le cas o laccs internet de labonn serait de nouveau utilis des fins decontrefaon aprs deux recommandations dont la seconde est envoye par lettre remise

contre signature, la commission de protection des droits peut prendre la dcision detransmettre le dossier au parquet.

Labonn sexpose alors un risque de condamnation pour ngligence caractrise dansla scurisation de son accs internet.

Cette infraction est une contravention de 5me classe, prvue larticle R 335-5 du Codede proprit intellectuelle. Celle-ci peut tre constitue lorsque, malgr la deuximerecommandation envoye par lHadopi par lettre remise contre signature, un nouveau fait decontrefaon est constat alors que le titulaire de laccs soit sest abstenu de mettre en placeun moyen de scurisation de son accs internet, soit a manqu de diligence dans la mise enuvre de ce moyen de scurisation.

8/7/2019 SFH2

7/77



DFINITION DES TERMES

Mesures de scurisation (MS)

Les mesures de scurisation (dans la suite du document, dsigns par MS) sontlensemble (technique et organisationnel) des mthodes et procds, mis en uvre pourscuriser laccs aux rseaux publics (internet, Rseaux de tlcoms, etc.) sur les matrielsde connexion (terminaux des utilisateurs, point daccs, liens de communication, etc.) etleurs logiciels (systme dexploitation, protocoles, services, etc.) dans la chane deconnexion.

Ces MS comprennent habituellement les dispositifs matriels de scurit, les fonctionsde scurit des systmes dexploitation et des logiciels de base des quipements, lesprotocoles cryptographiques communment utiliss entre les quipements informatiques, lessolutions de scurit du march pour scuriser les postes de travail (identification,authentification, pare-feu, antivirus, contrle parental, antispam, etc.). Ces MS sontimparfaits1, ne garantissent pas une scurit absolue, mais ltat de lart en la matire

toujours en volution assure un niveau dassurance de scurit qui fait que ces botes outils sont devenues indispensables. Ne pas les utiliser met lutilisateur dans une situationprilleuse.

Ces MS comprennent galement, dans les organismes collectifs, une charteinformatique, des recommandations sur le comportement numrique et des mesuresorganisationnelles de scurit dans le rglement intrieur de ltablissement.

Les MS concernent tous les abonns pour la protection de leur rseau local privconnect linternet, de leurs appareils de communication connects aux rseaux sans filset de leurs ustensiles informatiques connects un rseau public, afin dempcher lintrusionpar un tiers non autoris dans un systme lectronique pour le vol ou la falsification de

donnes personnelles ou lutilisation des ressources informatiques des fins malveillantes(indisponibilit, usurpation didentit, etc.).

Ces MS traditionnels et ncessaires de scurit informatique sont de plus en pluscomplexes et souvent difficiles exploiter et configurer par les utilisateurs non spcialistes.Ils sont en outre insuffisants pour grer et prserver le patrimoine numrique des diffrentsacteurs (utilisateurs, titulaires de droits, fournisseurs de services, fournisseurs de contenus,etc.) sur le rseau, notamment pour prvenir les utilisations non autorises duvres ou dedocuments.

Il est donc souhaitable, voire indispensable, pour complter la panoplie des outils descurisation actuels, dy adjoindre une Application supplmentaire (objet essentiel de ce

document) qui nest pas une application de scurit proprement dite, mais qui vise amliorer le niveau dassurance de scurit de son rseau local priv et une meilleuregestion dusage des contenus dans ce rseau local. Cette Application vise le moyen descurisation mentionn larticle L331-26 du CPI. Les spcifications fonctionnelles delApplication comprises dans le prsent document dsignent ainsi les spcificationsfonctionnelles des moyens de scurisation mentionns larticle L331-26.

Cette Application comporte des modules :

1 Force est de constater que les virus, les vers, les botnets et les spams se rpandent toujours autant.

8/7/2019 SFH2

8/77



n pour faciliter la gestion de ces MS et aider configurer ces MS afin de fournirdavantage de scurit au titulaire daccs, et de laider protger davantage lesmachines des utilisateurs sous sa responsabilit,

n pour aider le titulaire de labonnement et les utilisateurs dans la gestion etlexploitation des services, des logiciels et des protocoles applicatifs, qui risquentdentraner une utilisation des fins de contrefaon,

n pour observer et traiter (laisser-faire, ralentir ou bloquer) les flux entrants etsortants des interfaces de rseau des postes terminaux des usagers, et signaler(optionnellement) au titulaire de laccs internet (et ventuellement lutilisateur)les commandes des utilisateurs susceptibles de soulever des difficults, et

n pour administrer cette Application, notamment pour enregistrer optionnellementles vnements significatifs relatifs cette Application dans des journaux.

Les MS sont donc composs la fois des mesures techniques (notamment cetteApplication supplmentaire et les outils de scurit informatiques classiques, en support) etdes mesures organisationnelles (politique de scurit, charte, rglement, information,sensibilisation, identification des machines, ventuellement des utilisateurs) ncessairespour la mise en vigueur dune attitude vigilante et responsable lgard de lutilisation dunrseau local informatique connect sur des rseaux extrieurs. Les mesures lmentairesdteindre son ordinateur, de possder des comptes informatiques personnels avec desmots de passe sophistiqus pour chaque utilisateur autoris font partie des mesuresorganisationnelles des MS.

Les MS avec cette Application supplmentaire sont dfinis par leur objectif2 de faire ensorte quil ny ait pas (dans la mesure du possible) de tlchargement illicite via laccs aurseau public (internet, tlphonie mobile).

Le but de cette Application est essentiellement de dduquer une fin dutilisation desressources numriques plus respectueuse de la proprit intellectuelle et cette fin, fournirde laide pour lever le niveau de scurisation de lenvironnement informatique, de laresponsabilisation des abonns dans leur connexion aux rseaux extrieurs, delencouragement, si ncessaire, une modification de la conduite numrique, quand unutilisateur persiste raliser des tlchargements ludiques voire des tlchargementsillgaux massifs ou un dlit de contrefaon.

2 Il est difficile de dfinir le caractre illicite dun tlchargement, puisque le clonage est constitutif du

numrique. Tel fichier peut avoir t tlcharg lgalement, sa copie (son clone) pouvant tre selon lecas, lgale (copie prive) ou illgale.

8/7/2019 SFH2

9/77



Figure 1: Mesures de scurisation et l'Application supplmentaire conforme SFH

Application conforme SFH

Une application conforme SFH (dans la suite du document, dsigne Application) estun dispositif matriel et/ou logiciel qui sappuie sur les outils de scurit prouvs du marchou de la communaut du logiciel libre des Systmes dInformation et des rseaux, afin de

rpondre aux spcifications fonctionnelles SFH, objet de ce document. Cette Application(matrielle et/ou logicielle, centralise ou dcentralise) est hberge en totalit dans lespostes des utilisateurs, ou avec une partie seulement sur les postes et une partie dans lepoint daccs, ou compltement en dehors des terminaux des utilisateurs sur une station desupervision spcifique du rseau local ou bien encore dans le point daccs (botier ADSL).

Cette Application comprend des modules, dcrits dans la suite de ce document, pourassurer la partie supplmentaire des mesures techniques des MS, en compltant les outilsde scurisation traditionnels, en support.

LApplication, linstar dautres logiciels de scurisation ddis, a pour objectif depermettre labonn soumis une obligation lgale de surveiller son accs Internet, de

scuriser cet accs afin que celui ne soit pas utilis pour permettre des actes decontrefaon. Les actes de tlchargement illgal de tout ou partie dune uvre (film,musique, livre, etc.) peuvent tre le fait dun tiers qui aurait utilis de manire malveillantelenvironnement informatique du rseau local ou bien par un utilisateur autoris qui utiliseraittout moyen technique (des procds de type pair--pair, de streaming, de tlchargementdirect, de VPN) pour se procurer une uvre de manire illgale. LApplication vise conseiller le titulaire de laccs internet dans la configuration et lexploitation de ses MSpour scuriser son accs aux Rseaux Publics (internet, tlphonie mobile, etc.) dans lesdeux sens montant et descendant. Elle a pour but de responsabiliser les internautes dans lesens dune meilleure scurisation de leur accs internet.

Cest cette Application des MS qui doit tre labellise par Hadopi.

Systme numrique du titulaire de laccs internet (Rseau local privconnect un rseau public (internet, tlphonie mobile)

Mesures de Scurisation (MS)techniques et organisationnels

Application(MS conforme aux SFH)

8/7/2019 SFH2

10/77



La composante technique originale de SFH sappuie sur des moyens fournis parlenvironnement. Par exemple :

n si lApplication est installe domicile dans un ordinateur personnel, le protocoleWPA2, la scurit du botier, la scurit du systme dexploitation font partie desMS ;

n si lApplication est installe dans une entreprise sur une station de supervisionde rseau relie des sondes protocolaires, la scurit du rseau local et lesmesures organisationnelles prises pour les ingnieurs en charge du rseau fontpartie des MS.

Solution

Une Solution rpondant aux MS (implmentation des MS) est un ensemble de mesurestechniques et de mesures organisationnelles. Les mesures techniques comprennent uneApplication qui sappuie sur les outils de scurit traditionnels, exploite et administredirectement par le titulaire de labonnement, ou indirectement sous sa responsabilit via desfournisseurs de services (FAI, Oprateurs de tlcoms, Oprateurs de scurit, etc.) et/oudes vendeurs dquipements (vendeurs dordinateurs et/ou de logiciels, etc.) et/ou desditeurs de solution de scurit.

Une Solution rpondant aux MS comporte ncessairement une Application qui est unproduit ou un service.

Cette Application peut tre un logiciel libre, dveloppe et maintenue par la communautdu logiciel libre. Dans une organisation, elle est alors gre par les ingnieurs du rseau quiassurent la bonne exploitation de lApplication. Chez un particulier, elle est sous laresponsabilit du titulaire de labonnement.

La Solution sapplique au Grand Public (les particuliers et les TPE trs petitesentreprises) et aux Professionnels (organismes collectifs), notamment les tablissementspublics et les entreprises3.

Le titulaire de laccs internet

Le titulaire de laccs internet est la personne physique et/ou morale qui est le titulaire delabonnement un rseau public (internet, Rseaux mobiles, etc.). Dans un foyer, cest enrgle gnrale une personne majeure (parent, membre de la colocation, etc.). Dans uneorganisation, il sagit du signataire du contrat (le chef dentreprise, le responsable deltablissement). Dans la pratique, ce dernier peut confier la responsabilit informatique

une personne nommment dsigne (un RSSI, un DSI, un DRH ou un informaticien qui grele Systme dInformation et les rseaux locaux et de tlcommunication), laquelle est du faitde cette dlgation lAdministrateur.

Dans la suite du document, on parle de titulaire de laccs ou de labonnement.

Administrateur

LAdministrateur est le rle de scurit qui dfinit et met en uvre la politique descurit, relative lobligation de surveillance prvue par la loi Cration et Internet, dite loi

3 Le renforcement du contrle de l'employeur se traduira par des dispositions particulires dans la

charte informatique de l'entreprise sans remise en cause des dispositions lgales relatives la vieprive sur le lieu de travail (confidentialit des conversations tlphoniques, etc.).

8/7/2019 SFH2

11/77



Hadopi . Il peut tre le titulaire de labonnement ou une personne en charge de lapolitique de scurit.

n Dans un foyer, lAdministrateur est en gnral le titulaire de labonnement, maisce dernier peut confier ce rle une personne (par exemple, un membre delentourage, exerc en informatique) digne de sa confiance.

n Dans une organisation, lAdministrateur peut tre le RSSI, le DSI, le DRH, uningnieur rseau, un ingnieur systme.

Cest lAdministrateur qui installe lApplication. Il prvient les utilisateurs de cetteinstallation. Les utilisateurs sont simultanment sensibiliss la loi Hadopi.

Utilisateur

Un utilisateur est une personne autorise par lAdministrateur utiliser les ressourcesinformatiques du rseau local priv.

Dans la pratique, les SFH pour leur partie technique, traitent de machines qui ont desidentifications (en gnral des adresses physiques et logiques) et des programmes logicielsqui sont identifis (avec des licences ou autres) et des fichiers de donnes personnelles ou caractre personnel qui ont des identifications. Il appartient donc lAdministrateur4 desassurer que les machines, les programmes et les fichiers sous son contrle sont scurisspour tre utiliss par des personnes autorises.

Les utilisateurs sont des personnes sensibilises au respect du droit dauteur et luttecontre la contrefaon, essentiellement dans les organismes collectifs (institutions,entreprises, etc.), via une charte informatique et le rglement intrieur, mais aussi domicilevia des avertissements fournis par le FAI et par les diteurs de lApplication. Un menu daide

de lApplication peut rappeler tout moment lutilisateur ces dispositions.diteur de lApplication

Lditeur de lApplication est la personne qui met lApplication, produit ou service, ladisposition du public, titre gratuit ou onreux.

Politique de scurit

La Politique de Scurit dont il est question dans ce document concerne la partie relativeau dispositif prvu par les lois Hadopi5. Elle est intgre dans la politique de scurit globaledfinie par le titulaire de laccs internet.

4 la maison, le titulaire de labonnement nest pas forcment lAdministrateur car il nest pasncessairement la personne la plus mature en informatique. Le Responsable na mme pasncessairement de compte informatique sur un poste, encore moins sur tous les postes des prochesde son entourage qui se connectent via sa liaison Wi-Fi internet.5La politique de scurit des systmes d'information (PSSI) est un plan d'actions dfinies pourmaintenir un certain niveau de scurit. Elle reflte la vision stratgique de la direction de l'organisme(PME, PMI, industrie, administration) en matire de scurit des systmes d'information (SSI). Il

nexiste pas de PSSI Hadopi, mais les politiques de scurit des systmes dinformation desorganismes collectifs doivent dsormais prendre en compte les divers lments applicables de la loi

8/7/2019 SFH2

12/77



LA LABELLISATION DES MOYENS DE SECURISATION

Le lgislateur a confi lHadopi une mission de labellisation des moyens descurisation.

La labellisation des moyens de scurisation prvue larticle L. 331-26 CPI sinscrit dans

le cadre de la mission gnrale de protection des uvres confie lHadopi, car elleencourage le dveloppement de moyens de scurisation de laccs internet permettant delutter contre les usages illgaux de contenu en ligne et identifie facilement ces moyensauprs des internautes souhaitant scuriser leur accs.

Le label sera attribu au terme dune procdure dvaluation certifie, dfinie aux articlesR. 331-85 et suivants du code de la proprit intellectuelle, permettant de vrifier laconformit dun moyen de scurisation dsign par lApplication dans ce document -aux spcifications fonctionnelles rendues publiques par la Haute Autorit ainsi que leurefficacit.

Lobjet de ce document est de proposer un projet des spcifications fonctionnelles vises

larticle L331-26 CPI (Spcifications Fonctionnelles Hadopi ou SFH ) ainsi quedexposer des considrations dordre organisationnel en matire de scurit (voir lapprochedu document expose en page 18)

Par spcifications fonctionnelles, il est entendu une description de lensemble desfonctions informatiques que doit offrir une instanciation de lApplication, qui peut tre unproduit ou un service, en vue de sa labellisation. La spcification fonctionnelle estindpendante de la faon dont sera ralis lApplication en question.

Chaque fonction sera dcrite, en spcifiant son but, son principe de fonctionnement, lesdonnes et les objets manipuls.

Les spcifications SFH relatives la qualit gnrale sont aussi abordes dans cedocument, c'est--dire :

n la performance attendue (contraintes de temps de rponse et de ressourcesinformatiques utilises, en processeur, en communication et en stockage),lenvironnement informatique ;

n la scurit exige, en termes de protection de lApplication, et en termes derespect de la vie prive des utilisateurs et de scurit des donnes caractrepersonnel ;

n le dploiement de lApplication sous forme de produit ou de service tout au longde son cycle de vie (installation, maintenance, volution, dsinstallation).

Le document dcrit les exigences attendues dune instanciation de lApplicationrpondant aux spcifications SFH.

8/7/2019 SFH2

13/77



DIRECTIVES SUIVIES POUR LLABORATION DE SFH

Dans llaboration de ce document, il a t tenu compte des principes suivants :

n le respect du code de la proprit intellectuelle et notamment des lois dites Hadopi 6 :

lApplication fournit aux utilisateurs une aide pour respecter les droits descrateurs sur leur uvres ; lApplication fait appel la comprhension des enjeux de la contrefaonnumrique ; lexplicitation en termes informatiques de la notion de scurisation dans cesSFH inscrit lApplication dans une logique daide la scurisation afin que nesoient pas commis dactes de contrefaon et non pas dans une logiquedapplication de scurit ;

n

la libert des utilisateurs du numrique, le respect de la sphre prive du titulairede laccs internet et des utilisateurs :

lApplication des MS et les MS sont essentiellement une bote outils ,dans laquelle le titulaire de labonnement dcide de la gestion et de lutilisationde son propre cosystme numrique local, sous sa responsabilit ;

n le respect du patrimoine du titulaire de laccs internet (matriels, logiciels etdonnes associes) :

lApplication donne au titulaire de laccs internet plus de visibilit sur sonpatrimoine numrique, tout moment, quil sagisse dun particulier ou dune

organisation (entreprise ou autres) ; lApplication renforce la responsabilit du titulaire de labonnement qui est unpoint cl de sa mise en uvre ;

n la neutralit du rseau public :

lApplication ne peut pas tre installe dans le cur dun rseau public ; LApplication ne peut tre gre que dans un rseau local priv connect aumoins un rseau public, sous la responsabilit du titulaire de laccs ce(s)rseau(x) public(s) ; Si lApplication est opre sous forme de service, lextrieur du rseau localpriv, le titulaire de laccs internet matrise tout moment les paramtres de sa

politique de scurit et les informations protges de son Application. Pour certaines entreprises (avec de nombreuses agences), lApplication peutfaire transiter de manire protge des informations travers le rseau public,mais la connaissance et sous la matrise du titulaire de laccs internet.

n La finalit et la proportionnalit de lApplication des MS ;

lApplication ne doit tre utilise que pour sa finalit et mise en uvre dans lerespect dun principe de proportionnalit : aider le titulaire de laccs internet

6 Loi n 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la cration sur internet ; loi

n 2009-1311 du 28 octobre 2009 relative la protection pnale de la proprit littraire et artistiquesur internet.

8/7/2019 SFH2

14/77



scuriser son accs et sa connexion, et aider la prvention delaccomplissement dactes de contrefaon ; lApplication doit tre lgre et doit prserver la productivit de lusager : elledoit consommer des ressources en proportion de lobjectif vis et ne doit pasimportuner lutilisateur dans son activit quotidienne ; lcosystme numrique se transforme vite et il convient que lApplicationrponde de manire souple et proactive lvolution technologique et lappropriation souvent variable et parfois inattendue des technologies par lesusagers.

Il a t tenu compte des objectifs cls suivants :

n ltablissement dune politique de scurit gnrique, universelle, pour lesparticuliers et les organisations :

les concepteurs et les oprateurs ont la possibilit de linstancier pour lesdiffrentes cibles (particuliers, entreprises, tablissements publics, associations,universits, hpitaux, htels, cybercaf, etc.), et les concepteurs et les oprateurs ont la capacit dimplanter des solutionsvolutives dans la dure, dajuster la politique selon la taille de lcosystmenumrique (de 1 personne des dizaines de milliers dutilisateurs). Cette politique de scurit est adapte et personnalise par lAdministrateurde la scurit (le titulaire de labonnement, le responsable de ltablissement responsable RH ou DSI ou RSSI), afin de rpondre de manire plus prcise etefficace au contexte local des diverses situations prsentes.

n la possibilit de suivi7 infalsifiable de la politique de scurit choisie par le

titulaire de laccs internet, ce suivi restant toujours matris par lui ;

lApplication lui fournit des arguments intrinsques (examen de lApplicationdans son contexte a posteriori) ou extrinsques (examen des journaux delhistorique de lApplication) pour vrifier sa politique de scurit choisie et suivie ; aucun moment le titulaire de laccs internet nest dessaisi de sesenregistrements des donnes dhistorique dutilisation des MS et il ny a pas,pour la finalit de lApplication8, denregistrement de la navigation duninternaute (ex : dsignation en clair des sites visits9, noms de fichierstlchargs) ; cependant les URL visits et les noms des fichiers tlchargsen outrepassant la politique de scurit, seront enregistrs dans le journal enclair ou dans le journal chiffr grce une fonction de hachage qui masquera les

URL et les noms des fichiers tlchargs, afin de respecter la sphre prive desutilisateurs.

7 Il faut que ce suivi soit lisible par toute personne, avec des explications claires : adresse physiqueMAC non autorise, prsence ventuelle dun tiers non autoris sur la ligne .8 Dans certains organismes collectifs, la politique de scurit impose une surveillance de la totalit delhistorique, et ce par utilisateur : les principes de la finalit et proportionnalit de lHadopi nimposentpas une politique aussi svre.9 Il faut toutefois signaler et enregistrer les URL visits qui ont servis un tlchargement illgal. On

ncrit alors que le hach des URL problmatiques. Idem pour le nom du fichier problmatiquetlcharg : on nindique que le hach du nom du fichier.

8/7/2019 SFH2

15/77



n les exigences de scurit10 la hauteur de lobjectif vis ;

lApplication vise la grande majorit des abonns pour les aider dans ladifficult de comprendre et dexploiter leur systme numrique local et dutiliseravec prcaution la connexion des rseaux publics ; lApplication nest quun lment pour lutter contre le tlchargement illgal etfavoriser loffre lgale ; lApplication naffronte pas la communaut des pirates informatiques quisouhaiteraient briser sa scurit ou den empcher son fonctionnement ; lApplication naffaiblit pas le niveau de scurit de lenvironnementinformatique du titulaire de laccs internet ; elle ne doit pas constituer un vecteurdattaque contre un quipement du rseau local, ni la source dune attaquecontre dautres environnements informatiques ;

n lintgration possible dans tout environnement (y compris le domaine du logiciellibre) ;

lApplication peut tre installe chez un particulier ou dans un organismecollectif ; lApplication a vocation tre dissmine selon les divers modlestechnologiques et conomiques, la pointe du progrs.

n la mise jour rgulire et obligatoire ;

lApplication doit sadapter aux usages et lvolution rapide des procds,en matire de contrefaon ; les diteurs devront faire voluer leur produit ou leurservice car la finalit de lApplication doit demeurer conforme mesure que lesusages et les comportements se modifieront et lefficacit de lApplication doitrester conforme son label.

10 Une difficult est de spcifier et concevoir la scurit de ce produit/service. Dans les foyers,prcisment, le titulaire souverain possde le produit et ses cls. Il faut donc que le produit sauto-protge. On sait que les techniques dassombrissement de code excutables, dinsertion de codemort, de code chiffr et dchiffrable la vole ne sont pas sres 100% et quelles ne font queretarder le dverrouillage.Ce nest pas le cas en entreprise, car dans ce cas, lutilisateur final na pas accs au produit en entier

puisquon spare radicalement le rle de lAdministrateur et le rle de lutilisateur. Lemploy utilise etle responsable (ou loprateur) de scurit (digne de confiance) gre.

8/7/2019 SFH2

16/77



TYPOLOGIE DES CONCEPTIONS DARCHITECTURES ET DESOLUTIONS

ARCHITECTURE DES SOLUTIONS

Les prsentes spcifications fonctionnelles nimposent pas darchitecture.

LApplication (produit ou service) conforme aux SFH pourra tre compose dun ouplusieurs dispositifs matriels et/ou logiciels, dans une architecture centralise et/oudistribue, selon les solutions dfinies par les concepteurs.

Ces solutions peuvent tre en rseau ou sur poste de travail.

Pour les vendeurs de solutions, le march des particuliers et le march desprofessionnels sont distincts pour de multiples raisons. Les architectures (centralises ounon) et les modes (produit sous forme de licence ou bien service sous forme de contrat,

avec obligation de moyens ou de rsultats) des diverses solutions devront tre adaptes ces diverses cibles.

SPECIFICATIONS DES SOLUTIONS DE SECURITE EXISTANTES PERTINENTES

LApplication conforme aux SFH pourra emprunter des lments aux spcifications dessolutions de scurit existantes mais devra les complter et les adapter lobjectif deprvention de laccomplissement dactes de contrefaon.

Les pare-feu applicatifs et les filtres du Web

Les pare-feu sont des matriels (pare-feu pour les organisations avec de multiples

connexions de la part de nombreux utilisateurs) et/ou logiciels (pare-feu dans des botiers oupare-feu personnel sur un seul quipement terminal) qui appliquent une politique de contrledaccs dans toutes les couches des piles protocolaires. Un pare-feu analyse en temps relle format des changes, c'est--dire inspecte la syntaxe et la signature comportementale despiles protocolaires (les paquets, les sessions, les ports, etc.). Le pare-feu filtre les tramesEthernet, les paquets IP (en gnral, filtrage suivant les adresses source et destination), lesports de transport TCP ou UDP, les sessions, les protocoles applicatifs HTTP (pour larestriction des URL accessibles), FTP, SCP (transfert de fichiers), SMTP (pour lutter contrele pourriel), Telnet, SSH, etc. Un pare-feu inspecte le trafic entrant et sortant, et bloque cesflux, selon la politique de scurit en vigueur sur lordinateur. Les pare-feu installs sur lesmachines personnelles identifient et vrifient le programme qui est lorigine des donnespour lutter contre les virus et les logiciels espions. Ils embarquent en gnral un serveur

mandataire (proxy) pour analyser en profondeur certains contenus.

Lintgration de SFH dans des ensembles de scurit largis

Pour des raisons de rduction des cots de dveloppement et dexploitation, desimplicit de gestion et dusage, il est envisageable que lApplication conforme aux SFH soitintgre dans les solutions de scurit.

TYPOLOGIE DES SOLUTIONS SELON LE NOMBRE DUTILISATEURS

LApplication conforme aux SFH pourra viser des environnements comptant un nombreplus ou moins important dutilisateurs.

8/7/2019 SFH2

17/77



Les cibles d'utilisateurs des dispositifs de scurit peuvent tre classes en 2 grandesclasses : les salaris, employs des entreprises, institutions, associations, (avec des clientset des visiteurs) d'une part et le grand public, les particuliers domicile (avec des amis oudes invits) d'autre part.

Pour les organisations, il y a encore deux sous-catgories : les organisations qui ont dupersonnel permanent, identifi et les organisations comme les htels, les cybercafs, lessites Wi-Fi ouverts (aroports, etc.) o les utilisateurs sont de passage (et parfoisanonymes).

Une approche informatique pertinente est alors de distinguer les conceptions en fonctiondu nombre d'utilisateurs (de 1 10000) et de leur nature (employ ou visiteur), que letitulaire du contrat a sous sa responsabilit.

Il appartient au concepteur de produits (matriel et/ou logiciel) et/ou de service, de dfinirla typologie de solutions qui lui semble la plus approprie.

8/7/2019 SFH2

18/77



ORGANISATION DU DOCUMENT

En accord avec les dfinitions de la section Dfinition des termes , une Mesure deScurisation se compose dun ensemble de mesures techniques, lApplication conforme aux

SFH et dun ensemble de mesures organisationnelles.Il ntait pas possible dans ce document, qui spcifie lApplication (mesures techniques)

correspondant au moyen de scurisation prvu larticle L331-26 CPI, de ne pas non plusaborder les mesures organisationnelles. Ces mesures compltent les mesures techniquesdun MS. Ainsi tout au long de ce document, les spcifications sont accompagnes dementions et de rflexions concernant des mesures organisationnelles que le titulaire pourramettre en uvre.

Les SFH sont prsentes tout dabord, de manire gnrique, pour lensemble dessolutions possibles. Ce chapitre dcrit lApplication et le cadre dans lequel elle doit voluer.

A la fin de la prsentation gnrale des SFH, se trouve un chapitre rcapitulant lesfonctionnalits que lApplication conforme aux SFH doit possder.

Sont ensuite dcrits deux complments de prsentations plus spcifiques, lune pour lesorganismes collectifs, lautre pour le grand public et les TPE. Ces deux prsentationsdclinent des complments dinformation sur les spcifications en fonction des deuxcontextes, dune part lenvironnement professionnel (la scurisation des systmesdinformation et rseaux professionnels) et dautre part lenvironnement personnel grandpublic (la scurisation des petits systmes dinformation et le rseau local domicile) et TPE(Trs Petites Entreprises), en fait celles qui possdent des configurations informatiquesanalogues aux foyers des particuliers.

Comme pour la prsentation gnrale des SFH, aprs chacun des complments setrouve un chapitre rcapitulatif des fonctionnalits que lApplication conforme aux SFH doitpossder si celle-ci est destine un des deux contextes, organismes collectifs, grandpublic/TPE, abords par les complments.

8/7/2019 SFH2

19/77



SYNTHSE DES SPCIFICATIONS FONCTIONNELLES

LApplication nest pas obligatoire ; elle peut tre installe et/ou dsinstalle, tre activeet/ou dsactive, tout moment sur le parc entier des quipements ou sur un sous-

ensemble. Il est toutefois recommand de linstaller et de lactiver pour aider protger toutle rseau de lenvironnement informatique du titulaire de laccs internet afin quil matrisedavantage la scurisation de son accs aux rseaux publics pour prvenirlaccomplissement dactes de contrefaon.

La synthse des fonctionnalits pertinentes de lApplication des MS11 est la suivante :

I - Mise en mmoire dune politique de scurit par lAdministrateur dont la mise enuvre est dcide par le titulaire de laccs internet ;

II - Cette politique est dfinie par le titulaire de labonnement en choisissant des rgleset des procdures parmi un catalogue dactions techniques possibles ; lApplication des

MS doit offrir une grande souplesse de fonctionnalits et une granularit dutilisation ;

III - La politique de scurit sappuie sur cinq lments cumulatifs :

lment 1 : Aide la scurisation de la connexion et de laccs par une analysestatique et/ou dynamique, plus ou moins approfondie, de la gestion de configurationinformatique et rseau, et un contrle de lutilisation des ressources par le titulairede laccs internet.

Lexamen de la scurit de lenvironnement informatique est obligatoire quandlApplication est active ; elle sert guider le titulaire de laccs internet et/oules utilisateurs amliorer la scurisation de leur environnement.

lment 2 : Aide la scurisation de laccs par le calcul de diverses statistiques,comme lexistence ou le comptage de paquets (entrant et sortant) transitant entrerseau public et le rseau local priv de labonn, intervalles de temps rguliers(ex : toutes les heures), suivant les diverses adresses des machines physiquesautorises (et non autorises).

Le calcul statistique est optionnel ; si les statistiques ne sont pas calcules, letitulaire de laccs internet ne recueille pas les informations brutes surlactivit transitant travers sa passerelle au rseau public.

lment 3 : Aide la prvention des actes de contrefaon par lobservation entemps rel, sans enregistrement des flux et protocoles qui transitent par laccs ; sur

la base de lobservation et de la politique de scurit choisie, une ou plusieurs desactions techniques suivantes peuvent sappliquer :

laisser faire ou rduire12 le dbit (montant et/ou descendant) de la connexioncorrespondant ladresse physique de lquipement, ou bloquer,

selon des critres dfinis dans le prsent document ; ces critres incluentnotamment le type de flux ou protocoles, le protocole applicatif, des listes13,

11 moyens de scurisation sont nots MS, dans la suite du document.12 Le ralentissement est optionnel. Il peut tre utilis dans des contextes spcifiques (notamment, pourles organismes collectifs).13 Listes :Les listes peuvent tre :(note de bas de page - suite)

8/7/2019 SFH2

20/77



des caractristiques de formats, de dbits, de volumes, des profilsdutilisateurs, des plages horaires.

Lobservation est optionnelle ; si cette fonction de lApplication est dbrayesur certaines machines de lenvironnement, le titulaire de laccs internet nepourra dtecter des vnements risque, de transferts sur ces machines.

lment 4 : Compte-rendu des alertes lAdministrateur et aux Utilisateursautoriss dans un but dinformation mais aussi de pdagogie et de sensibilisation.

Le compte-rendu est optionnel ; si cette fonction de lApplication estdsactive sur certaines ou toutes les machines de lenvironnement, letitulaire de laccs internet ne pourra prvenir les utilisateurs des vnements risque transferts sur ces machines. Ce dbrayage peut tre souhaitabledans certains organismes collectifs dans le souci de ne pas importuner lesutilisateurs pour des raisons de productivit, par exemple.

lment 5 : Journalisation des vnements significatifs.

La journalisation est optionnelle ; en cas de non journalisation, le titulaire delaccs internet perd toute rfrence pour consulter et comprendre14 lactivitde lApplication ;

Il existe deux versions possibles du journal scuris par le titulaire de laccsinternet qui possde les cls cryptographiques : une version en clair intgre,signe lectroniquement ou bien une version intgre et confidentielle, signelectroniquement et chiffre ;

Le journal en clair est intgre15 ; son authenticit est atteste par une clprive que possde le titulaire de laccs internet ;

Le droit de lire le journal sign et chiffr est restreint au titulaire de laccs

internet qui pourra le dchiffrer grce une cl secrte quil possde

16

; Le journal trace les lments de la vie interne de lApplication des MS :

dmarrage, arrt, activation, dsactivation, modification des profils descurit, etc. ;

Le journal trace les lments des sessions risques (selon la politique descurit) de chaque machine : dbut et fin de connexion, notification etrponse (ventuelle) de lutilisateur ;

Par opposition, le contenu des fichiers, lhistorique des pages visites ne sontpas enregistrs dans le journal ;

Le rpertoire organis chronologiquement par machine des journaux

scuriss doit tre archiv et conserv sous la matrise du titulaire delabonnement. LApplication gre leffacement au-del des dures deconservation dfinies par labonn. La date des journaux chiffrs est en clair.

- blanches, entits autorises ;- noires, entits interdites par dfaut, entits qui peuvent prsenter des risques en matire de

contrefaon et qui ncessiteront (si la politique le permet) une action de lutilisateur pouroutrepasser la notification du risque.

14 Il peut cependant avoir sa disposition des messages dalertes avec des informations synthtiques(voir lment 4).15 Ce qui ne veut pas dire quil est hors datteinte de toute tentative de falsification.16 Cl prive et cl secrte sont deux cls distinctes (cryptographie asymtrique pour la premire,symtrique pour la seconde).

8/7/2019 SFH2

21/77



IV - Les lments 1, 2, 3, 4 et 5 sont la discrtion et dans les termes choisis par letitulaire de laccs internet. Llment 1 est actif et non dbrayable quand lApplicationest active. Si les lments 2, 3, 4 et 5 sont inactifs, lApplication ne joue son rle quede guide dans la scurisation du rseau local du titulaire de laccs internet.

V - LApplication et les MS doivent avoir une certaine capacit de scurisation contrelusurpation, le contournement ou laltration. LApplication et les MS sont eux-mmesscuriss : les modules et composants, les liens entre les modules et composants, lesliaisons avec dventuels serveurs, les processus de mises jour, le cycle de vie des

journaux, etc. LApplication nest pas une source ou un vecteur dattaque et naffaiblitpas lenvironnement informatique du titulaire de laccs internet.

Dans une organisation, lApplication est scurise par les mesuresorganisationnelles (scurit informatique, local technique des instruments degestion, personnel digne de confiance) ;

Dans un domicile ou une TPE, lApplication possde un niveau plus faibledassurance de scurit.

VI - LApplication doit inclure une possibilit de mise jour rgulire (actionstechniques, notifications, alertes, Application)17.

VII - LApplication peut se prsenter sous diverses formes :

Elle peut tre un produit ou un service.

Elle peut tre ralise partir de bibliothques de logiciels libres et/ou peutfonctionner en code excutable ferm, gre par une licence sur dessystmes dexploitation libres.

Elle peut tre intgre comme une extension dans des dispositifs ou des

logiciels, de gestion ou de scurit. Elle peut tre un systme autonome, compatible avec des produits et services

du march.

Elle sinsre dans un environnement informatique existant. LApplicationdpend de lenvironnement matriel et logiciel (types de boitier de connexion,types de logiciels dexploitation installs sur les postes de travail, etc.) quicompose le rseau local du titulaire de laccs internet. Le titulaire de laccsinternet doit donc sassurer de la compatibilit dune Application fournie parun diteur avec son propre environnement.

LApplication ne doit pas transmettre dinformations des tiers, lexception dunensemble circonscrit dlments secrets cryptographiques (numro de licence, attributs

de mises jour) lditeur.

LApplication des MS nenregistre pas dhistorique de navigation courante(ex : dsignation en clair des sites visits, noms en clair de fichierstlchargs).

Les journaux enregistrent nanmoins une signature des noms de fichiers etdes sites lorsque la politique de scurit a t outrepasse par un utilisateur.

17 Les listes (noire et blanche) ne sont pas incluses dans la mise jour rgulire, en rgle gnrale.Elles seront incluses si le Responsable fait appel une prestation extrieure pour leur gestion.

8/7/2019 SFH2

22/77



Dans ce cas, les noms sont masqus par une fonction de hachage afin derespecter la sphre prive de lutilisateur18.

VIII - LApplication peut tre propose au titulaire de laccs internet comme un serviceopr par un oprateur de tlcom, par un FAI ou par un oprateur de scurit. Dansce cas, le titulaire de laccs internet conserve la matrise de la politique de scurit sur

toutes ses machines et la matrise des journaux. LApplication peut tre installe, enpartie, lextrieur de lenvironnement informatique du titulaire de laccs internet. Lecontrat entre le titulaire de laccs internet et le prestataire garantit ce dernier laconfidentialit, lintgrit et la disponibilit des donnes ainsi que le respect desdonnes personnelles et de la sphre prive de lactivit numrique du rseau localconcern. Le contrat garantit que lApplication naffaiblit pas la scurit du rseau localde labonn.

18 Ce hachage est rversible ; la fonction est connue du seul diteur, qui est mme de procder auretour en clair la demande dun juge.

8/7/2019 SFH2

23/77



SPCIFICATION GNRALE

OBJECTIF

La mise en uvre dune Application devra permettre au titulaire dabonnement un FAIou de tlphonie mobile de scuriser sa navigation personnelle et la navigation sur internetdes utilisateurs quil a sous sa responsabilit, afin de rduire notablement les risquesdutilisation de son accs internet des fins de contrefaon.

CARACTRISTIQUES GNRALES

LApplication doit tre :

n efficace et proportionne par rapport lobjectif de lutte contre la contrefaon debiens culturels numriques.

n pdagogique pour faire la promotion de la protection des uvres sur internet,

n extensible pour tre applicable aux particuliers et aux entreprises / grandesorganisations : la souplesse doit permettre un vaste choix et la diversit degranularits doit permettre un ajustement de la politique de scurit mettre envigueur dans les diffrents contextes, la maison, au travail ou dans les transports,

n apporter du bnfice pour lensemble de lcosystme : utilisateurs, ayants-droit,FAI et oprateurs de tlcoms et Hadopi.

Linstallation de lApplication sous forme de produit (matriel et/ou logiciel) ou lutilisation

sous forme de service est facultative, et la dcision dpend du titulaire de laccs internet.

CADRE TECHNIQUE

La spcification repose sur les outils suivants :

n Les rseaux publics avec leurs piles protocolaires standardises (Ethernet, IP,TCP, UDP, HTTP, etc.) ;

n Primitives cryptographiques (authentification, chiffrement, cryptographiesymtrique et asymtrique, signature lectronique, certificat) ;

n Systme de base de donnes (pour larchivage des rpertoires des journaux) ;

n Systmes de protection informatique : protection architecturale, protectionmatrielle, protection de logiciels, protection des donnes, protection de lintgritdu systme, fonctions de scurit (identification, authentification, contrle daccs,protection des donnes).

INTRODUCTION DES MODULES

Par essence, les spcifications techniques dtailles de ce type de produit et/ou deservices sont amenes voluer au fil du temps, mesure que les usages sur les conduites risques changent et se transforment, et chaque fournisseur de solution devra faire voluer

son produit ou son service pour ladapter aux nouvelles situations, encore indites, suite

8/7/2019 SFH2

24/77



lapparition de nouveaux usages et suite lexistence de ce genre de produit ou service.Nanmoins, le cadre gnral est plus stable et voluera plus lentement.

Les SFH peuvent tre regroupes en 4 modules qui idalement comprennent les quatrefamilles de fonctions principales.

1. Les fonctions dadministration : installation, dsinstallation, mise jour, activation,dsactivation. Le module administration comprend des fonctions techniques(interface graphique personne-machine).

2. Les fonctions de traitement : daide la gestion de configuration delenvironnement informatique et rseau, de comptage statistique de trafic, etdobservation des flux allant sur le rseau ou provenant du rseau (collecte desentits protocolaires, analyse de signatures protocolaires des informationssyntaxiques) et les fonctions de dcision prises par linternaute sur lestlchargements. Ce module comprend des fonctions techniques (gestion des listes,analyse protocolaire, moteur de rgles de dcision) et des fonctions de notificationet dalertes.

3. Les fonctions de production de journaux des vnements concernant lApplication(mise en marche, arrt, activation, dsactivation), des commandes dadministrationdes profils (cration de profil, modification) et des vnements caractrisant lesdcisions de lutilisateur concernant les tlchargements. Ce module comprend desfonctions techniques (base de donnes, prsentation dcran). Il ne contient pasdhistorique de navigation.

4. Les fonctions de scurit de lApplication (scurit du dispositif et de son contextedutilisation, scurisation des journaux, scurisation de la liaison entre lApplicationet les donnes produites). Ce module comprend aussi les fonctions deparamtrages de la scurit (dfinition de profil, dfinition de la politique de scuritpar profil). Ce module comprend enfin des fonctions techniques (primitivescryptographiques).

LApplication sappuie, par ailleurs, sur les fonctions de scurit du systme informatiquedu titulaire.

Ce dcoupage fonctionnel de prsentation de lApplication ne doit pas ncessairementtre projet tel quel pour la conception de la dcomposition du logiciel. Par exemple,linterface personne-machine de linstallation est de lordre du rle administrateur alors quelinterface personne machine gnral est du rle de lutilisateur.

8/7/2019 SFH2

25/77



Figure 2 : Schma fonctionnel de l'Application conforme aux SFH

Administration

Traitement

Journalisation

Scurit

Flux entrantsFlux sortants

Examendela

configuration

statiqueet

dynamique

Journalen clair

ouchiffr

tat st ues

Notifications

etalertes

Messagedalertes

Scurit

Profils

Moteurde

Rgles

8/7/2019 SFH2

26/77



MODULE 1 : LE MODULE DADMINISTRATION

BUT - FONCTIONNEMENT

LApplication comporte un module de gestion du cycle de vie et de gestion de laconfiguration gnrale. Le but de ce module est dadministrer le cycle de vie de lApplication(installation, gestion de la licence, mise jour, maintenance, volution, dsinstallation), degrer son activit (mise en marche, arrt, activation, dsactivation, gestion des exceptions)et de tracer son cycle de vie et son activit en produisant (optionnellement) des journaux.

ERGONOMIE

LApplication qui est un dispositif (matriel et/ou logiciel) ou un service, est facile installer (et dsinstaller). Il est facile activer (et dsactiver) par lAdministrateur.

INTERFACE GRAPHIQUE

Linterface graphique effectue la liaison entre lAdministrateur et lutilisateur dune part etlApplication dautre part. Cette interface doit tre aussi discrte que possible lorsque la (oules) machine(s) a (ont) un comportement normal sur le rseau. Mais lorsquune machine aun comportement risque, linterface doit le signaler clairement lAdministrateur (etlutilisateur). LAdministrateur et/ou lutilisateur doivent aussi pouvoir apprcier dun simplecoup dil le niveau global correspondant au comportement de la (ou des) machine(s).

Lorsque lanalyse de haut niveau aboutit la dtection danomalies, cest--dire uncomportement risque de la (ou des) machine(s), linterface a les caractristiquessuivantes :

n Semi invisibilit en temps normal (mais avec niveau global visible) ;

n Affichage visible des notifications de haut niveau ;

Il existe un mode silencieux de telle faon que lAdministrateur et/ou lutilisateur ne soientplus importuns par des alertes et/ou notifications. Nonobstant ce mode silencieux,lAdministrateur est toujours responsable des actions susceptibles risque19 effectues parla (ou les) machine(s), y compris dans ce cas.

CYCLE DE VIE DE LAPPLICATION

Installation

Il est ncessaire dtre Administrateur pour installer lApplication, dans le cas duneinstallation sur ordinateur.

Si lApplication est un produit ou un service, lAdministrateur devra valider une licencedutilisation et les termes dutilisation de lditeur du produit ou du fournisseur de service.Linstallation complte ne peut se terminer sans la validation20 de la licence (logicielpropritaire ou libre).

19 Pour viter tout dsagrment lAdministrateur, on peut envisager par exemple de bloquer lesactions problmatiques quand lutilisateur a coch la case de linterface personne-machine : ne plus

me demander ou bien quand cette interface est ferme.20 On fera un effort dans la procdure dacceptation pour que la licence soit lue et comprise.

8/7/2019 SFH2

27/77



La dsinstallation doit tre complte sans reste informatique. Toutefois, lApplication nedoit pas tre trop facile dsinstaller, afin dviter son effacement accidentel ou malveillant.Par consquent, il est souhaitable de prvoir des mesures de scurit appropries pourencadrer cette suppression par lAdministrateur seulement.

Mise jour

Les mises jour sont dterminantes. LAdministrateur ne peut pas conserver desversions de lApplication qui possderaient des erreurs ou failles connues et qui seraient desbrches pour les pirates. Ds que les patches (les rustines) sont disponibles, il doit pouvoirles installer sans tarder.

Afin de garder leurs produits et/ou services oprationnels et efficaces, il estindispensable pour les diteurs de recueillir rgulirement, quasiment en temps rel et defaon systmatique des informations depuis leurs produits installs.

La transmission de donnes lditeur est admise dans ce cas prcis de contextederreurs transmettre afin de tenir compte de cet impratif de diligence dans lamaintenance curative. Nanmoins pour empcher la transmission de donnes personnelles,ce support pour les amliorations ou dclarations de bugs devra tre isol et sous le pilotagede lAdministrateur qui peut le refuser.

LApplication, la manire du contrle parental, des systmes dexploitation et deslogiciels antivirus sera mise jour en ligne, automatiquement, partir de sites (FAI, diteursde logiciels, diteurs de scurit). Ces mises jour prendront en compte lmergence denouveaux protocoles, de nouveaux logiciels de contournements ou de nouvelles pratiquesde contrefaon. Ces mises jour seront transparentes au titulaire de laccs internet et auxutilisateurs par une mise jour en parallle de la documentation du produit ou du service.

La partie logicielle du dispositif doit pouvoir tre mise jour de manire automatique. Uncertain nombre de composants de lApplication doivent rgulirement tre mis jour. Cescomposants sont :

n Les dfinitions des rgles de scurit : Il est ncessaire que les dfinitions desrgles de scurit suivent les volutions produites dans le domaine dutlchargement illgal (nouveaux protocoles ou modifications des protocolesexistants).

n La dfinition des notifications et alertes : Les notifications et alertes sontfortement lies aux rgles de scurit. Elles doivent tre mises jour en mme

temps que celles-ci.

n LApplication : Une mise jour de lApplication en entier sera ncessaire chaque nouvelle version de celle-ci.

n Si une version dune Application labellise, dlivre par un diteur, comporteune erreur qui est dcouverte par la communaut informatique susceptibledentraner un dysfonctionnement voire lobsolescence de la version de lApplicationet/ou qui ouvre une faille de scurit dans lApplication, cette erreur doit trecorrige avec diligence par lditeur via une mise jour spcifique.

Les mises jour doivent tre scurises (la disponibilit doit tre assure notamment).

8/7/2019 SFH2

28/77



CONFORMIT DE LAPPLICATION

LApplication doit tre conforme aux spcifications et la documentation.

Elle ne doit pas comporter de fonctionnalits caches supplmentaires, surtout entermes dchanges de donnes (pas de portes drobes, etc.).

8/7/2019 SFH2

29/77



MODULE 2 : LE MODULE DE TRAITEMENT


Le module de traitement comprend en fait trois sous-modules : un sous-moduledanalyse statique de configuration, un sous-module statistique et un sous-module danalysedynamique de flux de rseau.

Le premier sous-module est obligatoire. Les 2 autres sous-modules sont la discrtion etdans les termes choisis par le titulaire de laccs internet.

Le module de traitement a pour but dexaminer la configuration de lenvironnementinformatique, par une analyse statique et/ou dynamique, plus ou moins approfondie, de lagestion de configuration informatique et rseau, et de contrler lutilisation des ressourcespar le titulaire de laccs internet.

Le module de traitement a ensuite pour but de calculer certaines statistiques commelexistence ou le comptage de paquets (entrant et sortant) transitant entre rseau public et lerseau local priv de labonn, intervalles de temps rguliers (ex : toutes les heures),suivant les diverses identifications (adresses) des machines physiques autorises (et nonautorises).

Le module de traitement a enfin pour but dobserver en temps rel et sansenregistrement des flux et protocoles qui transitent par laccs. Sur la base de lobservationet de la politique de scurit choisie, une ou plusieurs des actions techniques suivantespeuvent sappliquer :

n laisser faire ou bloquer selon des critres ;

n rduire le dbit (montant et/ou descendant) de la connexion correspondant ladresse physique de lquipement. Cette rduction21 de dbit est optionnelle.

Les critres incluent notamment le type de flux ou protocoles, le protocole applicatif, deslistes, des caractristiques de formats22, de dbits, de volumes, des profils dutilisateurs, desplages horaires23.

Ces trois sous-modules engendrent des notifications et des alertes, pour lAdministrateuret/ou lutilisateur. Selon la politique de scurit, en temps rel ou intervalles dfinis, uncompte-rendu des alertes est fourni lAdministrateur pour exploitation et aux utilisateursautoriss dans un but dinformation mais aussi pdagogique de sensibilisation.

21 La rduction de dbit na rien voir avec une sanction. Elle peut tre utile dans certains contextes,notamment dans des organismes collectifs avec un grand nombre dutilisateurs (rsidenceuniversitaires, etc.).22 Les caractristiques des formats sont indiques par les extensions des noms de fichiers, par lesmtadonnes (comme la taille ou la dure des vidos). On peut par exemple interdire la vido tout enautorisant les vignettes vido (de taille faible) ou les bandes annonces de films (de dure limite).23 On peut autoriser ou interdire certaines activits informatiques en fonction des jours ouvrs ououvrables et en fonction des heures de la journe.

8/7/2019 SFH2

30/77



LES LISTES

Les listes sappliquent des entits informatiques : des logiciels, des noms de fichiers24,des extensions25 de fichiers (ex : .mpeg, .ogg, .wma, etc.), des sites (URL), des ports decommunication, des plages dadresses, etc.

Le module de traitement utilise des doublets de listes :

n Les listes noires : entits interdites par dfaut ou entits qui peuvent prsenterdes risques en matire de contrefaon et qui ncessiteront (si la politique descurit le permet) une action de lutilisateur pour outrepasser la notification durisque ;

n Les listes blanches : entits autorises, par exemple la liste blanche de plagesde ports ou dadresses.

Comme exemple de liste noire, on peut citer :

n les logiciels, la liste des logiciels risque dfinis par le titulaire de laccsinternet,

n les fichiers, la liste (ou de leur condensat) de fichiers illicites,

n les protocoles applicatifs, la liste des protocoles observer,

n les URL, la liste des sites web interdits par dcision de justice,

n les ports, la liste des ports TCP ou plages de ports,

n les adresses IP, les plages dadresses IP interdites qui rentrent en jeu dans

certains protocoles ou certains logiciels.

Les lments du doublet peuvent tre un ensemble vide. Il peut, par exemple, ne pasexister de listes noires pour certaines entits informatiques.

Les listes noires et blanches dune entit sont disjointes. Si les listes ne sont pasdisjointes, llment est trait de la manire suivante : la liste blanche outrepasse la listenoire. Autrement dit, un lment interdit et autoris est considr comme autoris26. Unlment de lensemble (des logiciels, des URL, des ports, des adresses, etc.) peutnappartenir aucune de ces listes (les listes ne sont pas ncessairement une partition delensemble). Tous les lments qui peuvent tre susceptibles dtre surveills ne sont pasforcment dans une liste. Les lments nappartenant aucune de ces listes sont traitslogiquement et croiss avec dautres paramtres, conformment aux rgles.

LAdministrateur peut modifier ces listes. Ces modifications sont journalises pour soninformation.

24 Les Listes de noms de fichiers ne sont en gnral pas fiables.25 Les extensions de fichiers ne sont en gnral pas fiables et doivent tre traites avec prcaution. Ilne sagit pas ici dempcher tout tlchargement dimage jpeg ou de jeu vido qui utilise des fichiersmp3.26 Cela peut tre le cas, lorsque lAdministrateur gnre lui-mme ses listes qui doivent craser deslistes standard, par dfaut.

8/7/2019 SFH2

31/77



LE SOUS-MODULE DANALYSE STATIQUE DE CONFIGURATION

Le sous-module statique danalyse de configuration a pour rle danalyser laconfiguration informatique. Aprs analyse, lApplication doit conseiller et guider le titulairedans sa scurisation.

Le sous-module statique danalyse des configurations a pour but :

n danalyser la gestion de configuration informatique (ex : analyse statique de laconfiguration de postes informatiques ; logiciels installs, base de donnes,rpertoires) ;

Cette analyse est optionnelle (surtout dans le domaine du grand public). Si letitulaire de laccs internet le dcide, cette analyse ne sera pas faite, afindviter toute intrusion dans la sphre prive des utilisateurs.

Lanalyse, plus ou moins approfondie, vrifie la bonne configuration dusystme dinformation, des systmes dexploitation et des dispositifs de

scurit. Lanalyse peut porter de manire plus fouille sur lexistence de logiciels ou

de comportements risque.

n de raliser lanalyse statique de la configuration rseau ;

Lanalyse porte sur la vrification de la scurit du (ou des) point(s) daccs :pare-feu filtrant dans les organismes collectifs, botier/routeur danslenvironnement grand public ou TPE ;

Lanalyse porte sur la scurit du rseau local intranet ;

La vrification porte sur les protocoles de liaisons utiliss (comme WPA2 pour

la scurisation de la connexion Wi-Fi au botier) et de vrifier les adressesphysiques autorises (contrle des adresses MAC).

n danalyser dynamiquement des logiciels en fonctionnement ;

n de contrler les utilisations par le titulaire de la connexion.

LE SOUS-MODULE STATISTIQUE

Le sous-module statistique a pour rle de raliser un audit constant de comptagestatistique de trames montantes et descendantes, transitant travers le point daccs,frontire entre internet et le rseau local.

Dans les points daccs rcents27, il existe dans les routeurs et dans les botiers deconnexion, des compteurs de trames montantes et descendantes. Il est donc possible(quand on peut y accder) de fournir au titulaire de labonnement, sil le souhaite, cesstatistiques montantes et descendantes, ces statistiques tant dcomposes par adressephysique dquipement.

Avec la connaissance de cette information, lApplication peut donc vrifier si desquipements pirates se sont connects sur le point daccs, de manire illicite, peut alerterlAdministrateur si des flux anormaux ont transits sur le point daccs.

27 Les routeurs lmentaires ou anciens noffrent pas cette possibilit.

8/7/2019 SFH2

32/77



Ce sous-module, sil est en activit, peut dtecter les machines (autorises ou non) quise sont connectes avec les transferts dans les deux sens toutes les tranches de 30 minutesou toutes les heures. Le titulaire de laccs internet peut exploiter ces statistiques pouramliorer la scurit de sa ligne (point daccs et connexions) et sensibiliser son entourage.

LE SOUS-MODULE DANALYSE DYNAMIQUE DE FLUX

Le module danalyse dynamique de flux est le module de capture, dobservation, dedtection, danalyse du trafic et de dcision par la politique de scurit existante ou parlutilisateur de la suite donner son action, suite une notification de lApplication.

Le but de ce module est dinspecter dynamiquement le contenu entrant et sortant dutrafic sur les interfaces du rseau de la (des) machine(s) de l (des) utilisateur(s).

Ce module ralise en temps rel une analyse contextuelle et syntaxique des flux ducontenu ; il nanalyse pas le contenu smantique des fichiers28 dans la mesure o ne sontpas analyss ce jour les attributs de mesures techniques de protection (MTP ou DRM) oules empreintes des contenus des fichiers.

n Il observe en temps rel et sans enregistrement les flux et protocoles quitransitent par laccs.

n Il bloque, ralentit29, autorise ou prvient lutilisateur selon des critres quiincluent le type de flux ou protocoles, le protocole applicatif, les listes, lescaractristiques de formats, les dbits, les volumes, les profils dutilisateurs,les plages horaires.

Ce module a pour but didentifier de manire prcise les protocoles applicatifs, par lebiais danalyseurs des interactions entrante et sortante sur les interfaces du rseau par uneanalyse dtaille des signatures, des formats et de la syntaxe des protocoles de la coucheapplicative.

Ce module gre dynamiquement les protocoles applicatifs et les couches sous-jacentesdu trafic de communication. Lanalyse protocolaire reconnat les signatures applicativesquelque soit le port utilis pour garantir une identification exhaustive, y compris pour lesprotocoles dynamiques.

Les actions possibles stendent sur toute la palette des protocoles (pair--pair,streaming, tlchargement direct, messagerie instantane, cloud computing) de linternet.Le module dtecte et contrle les protocoles rpertoris par lditeur de lApplication.

Il existe en 2011, environ 150 piles protocolaires utilises sur internet : par exempleHTTP/TCP/IP est un exemple de pile protocolaire applicative pour consulter le Web,ed2k/TCP/IP30 est un exemple de pile protocolaire applicative pour tlcharger des fichiersavec une mthode de poste--poste.

Chaque protocole analys dispose de son propre composant. Un composant secomporte comme un objet de configuration qui peut tre associ un service et dontlAdministrateur peut dfinir les paramtres.

28 Cf. infra le paragraphe intitul Cas particulier du filtrage des contenus dans certains organismes .29 Le ralentissement de certains flux est optionnel. Il peut tre utilis des fins de gestion de rseaux

privs ou de manire prventive.30 Pile protocolaire quutilisent les clients P2P eMule, eDonkey.

8/7/2019 SFH2

33/77



Le paramtrage permet dappliquer une politique de scurit en restreignant lusage duprotocole.

Dans une organisation ou chez le particulier, ces actions, portant sur des accs et descontenus permettent de rguler lutilisation dinternet des utilisateurs autoriss conformmentaux rgles tablies par le responsable de ltablissement ou le titulaire de labonnement.

Lanalyse dynamique du rseau a pour rle danalyser les connexions rseau delordinateur, de dtecter toutes connexions et le cas chant de gnrer une notification debas niveau.

LApplication prvoit par dfaut une liste non exhaustive des connexions surveiller.

Il y a deux types de dtection et danalyse des flux suspects31 :

n Analyse en temps rel : Certains protocoles sont identifiables par la signature deleurs paquets, une dtection en temps rel est alors possible. La notification de basniveau est gnre ds les premiers changes de paquets sur la connexionsuspecte.

n Analyse diffre : Certains protocoles (notamment les protocoles chiffrs) nepeuvent tre dtects qu la suite dune analyse statistique. La notification de basniveau est, dans ce cas, gnre en diffr. La priode sparant la cration de laconnexion suspecte et la gnration de lalerte doit tre aussi courte que possible(quelques secondes).

La dtection des connexions suspectes est base sur un ensemble de rgles de scurit.Ces rgles sont rgulirement mises jour de faon prendre en compte de nouveauxprotocoles ou de nouveaux comportements dlictueux sur le rseau.

LE MOTEUR DANALYSE PROTOCOLAIRE

Une Application possde un moteur de rgles qui permet denchaner en squence lesconditions qui sont imposes par la politique de scurit. Le moteur dispose defonctionnalits multiples de dtection et didentification de piles protocolaires (ventuellementsimultanes), de comptage en volume des flux (nombre doctets dun fichier, nombre doctetsentrant et sortant, dbit en octets par seconde en entre et en sortie, etc.), de comptage endure des flux (nombre de secondes ou de minutes de dure de vie dun protocole, etc.) quilui permettent de filtrer les fichiers changs, bon escient, selon la granularit souhaite.

Le moteur de rgles coupl lutilisation de profils autorise une flexibilit dans leparamtrage des politiques de scurit : gestion selon des quotas en volume, en dure,selon des plages horaires, etc.

Dcoupage en deux niveaux

Une Application comprend essentiellement un moteur intelligent danalyse et de dtectionde piles protocolaires et de contrle de flux entrant et sortant, en analysant lescaractristiques et les attributs des protocoles aux niveaux des couches OSI (application,prsentation, session, transport, rseau, liaison de donnes), dans un poste terminal(ordinateur ouvert) ou bien dans un rseau en distinguant les diverses machines terminales(ordinateur, tlphone mobile, console de jeu, etc.). LApplication nexamine pas le contenuapplicatif des changes.

31 Il est ncessaire de rpter que la technologie est neutre.

8/7/2019 SFH2

34/77



Lanalyse seffectue de manire passive, c'est--dire quelle ne modifie pas les contenuset les attributs du rseau que lApplication traite.

Il est toutefois possible, selon la politique de scurit mise en vigueur par le titulaire delabonnement dadopter une attitude plus active et de mettre fin, par prcaution, certainesconnexions pour lesquelles des logiciels, des adresses, des sources, des destinationsseraient suspects.

LApplication peut ainsi oprer en deux temps32 :

Le moteur de bas niveau

Dans un premier temps, un moteur de bas niveau capte la vole le trafic rseau etdcode syntaxiquement les diffrentes couches protocolaires de manire en extraire descaractristiques (motifs distinctifs, signature protocolaire). Cette tape fournit des lmentset des vnements qui sont ensuite analyss, en temps rel, selon les rgles de la politiquede scurit. Par exemple, lanalyse se fera par la comparaison des URL des URL dfinisdans une liste.

Le moteur de haut niveau

Dans un second temps, un moteur de haut niveau, analyse en lger diffr (comme unserveur mandataire un proxy ), les lments et les vnements gnrs par le premiermoteur, et agit selon des rgles de haut niveau dabstraction de la politique de scurit,prenant en compte le contexte. Ces rgles sont des canevas danalyse qui prennent encompte le contexte statique (la configuration prsente de lordinateur) et le contextedynamique (les flux entrant et sortant).

Ces rgles seront, plus long terme, aprs le dploiement des solutions, mises jour au

fil du temps.

Langage de rgles

Une rgle de scurit se compose de (Conditions => Actions).

Ces rgles doivent tre crites dans une norme commune tous les fournisseurs desApplications. La politique de scurit peut tre crite en utilisant le langage SAML. Lelangage de rgles peut tre par exemple XrML.

La nature des rgles

LApplication prvient lAdministrateur et/ou lutilisateur que les modes et les outils decommunication utiliss (les URL, les piles protocolaires, les ports, les adresses, etc.) sontpotentiellement risque.

Si les protocoles de partage poste--poste et les espaces de stockage en ligne Coffresforts lectroniques sont utiliss pour le transfert illicite de contenus soumis au copyright, ilssont aussi utiliss pour le transfert de contenus tout fait lgaux, par exemple des mises

jours de logiciels libre de droits et pour la circulation autorise de contenus soumis copyright dans un cadre commercial. En consquence mme si la complexit importante lie la limitation de laccs certains protocoles particuliers P2P peut tre rsolue jusqu un

32 Le dcoupage en deux parties nest pas une exigence fonctionnelle, mais un choix pour la

prsentation de la spcification. Dans une ralisation locale sur un ordinateur, on intriquera sansdoute ces deux moteurs.

8/7/2019 SFH2

35/77



certain point, le rsultat dun blocage pourrait interdire laccs des services de livraison descontenus lgaux.

Fournir aux Administrateurs et/ou aux utilisateurs une manire de reconnatre, agir, envitant ou interrompant un tlchargement illgal, doit tre une fonctionnalit essentielle detoute initiative de scurisation dun accs contre son mauvais usage.

Pour les rgles, il existe donc des indices de situation courante, de conduite ordinaire, etdes indices de situation remarquable, spcifiques de conduites risque ou anormales. Cettedistinction normale-anormale ne spare donc pas lacquisition ou la prsentation dun fichierlgal (tlchargement en P2P dune version de Linux, streamingsur France culture, etc.) delacquisition ou la prsentation dun fichier illgal. Cette analyse distingue des conduitesprotocolaires spcifiques, dfinies sur des bases de critres quantitatifs, qui varient au coursde la session.

Les rgles et les critres devront voluer avec les usages dans le temps, en fonction despratiques sur internet, et tre mis jour. Il sera ncessaire de mesurer limpact des rglesutilises dans les mois passs afin daffiner les rgles venir. Lanalyse anonymestatistique, sur les rseaux des oprateurs de tlcoms, des lments et des vnementspermet en effet :

n De distinguer les piles protocolaires et les attributs spcifiques (apparition denouveaux protocoles pour tlcharger, tlchargement de type P2P,tlchargement en ligne de type streaming, messagerie avec un attachement trsvolumineux, etc.) et

n De dcider dun ensemble de rgles (dcrites en termes dvnements et designatures) pour rduire les conduites risque, les drives ou les anomalies : VPNchiffr vers des sites risque , prsence de connexions de lutilisateur vers certains

services, tentatives de connexions infructueuses, etc.Les notifications et les alertes

Il y a deux catgories de notifications, les notifications de bas niveau et les notificationsde haut niveau.

n Les notifications de bas niveau sont gnres en cas de dtection duneanomalie dans le comportement de la machine (ou dans ses configurationsordinateur et botier/routeur). chaque anomalie doit correspondre une notificationprcise. Ces notifications sont destines lanalyseur haut niveau de lApplication.

n Les notifications de haut niveau sont gnres par lanalyseur haut niveau delApplication.

Chaque notification dans son contexte doit tre inscrite dans le journal si celui-ci estactiv.

Lanalyse de haut niveau consiste analyser les diffrentes notifications de bas niveaumises par la partie analyse de configurations et la partie analyse dynamique du rseau, et,en fonction de ces notifications de bas niveau et des rgles de scurit rgulirement mises jour, de gnrer une notification de haut niveau.

Les notifications sont destines lAdministrateur et/ou lutilisateur. Les alertes sont

des notifications de haut niveau destines lAdministrateur.

8/7/2019 SFH2

36/77



En cas dimpossibilit dinscription dans le journal (absence de journal, par exemple), ensubstitution, les alertes peuvent tre envoyes lAdministrateur par un moyen appropri(webmail, sms, etc.).

Flexibilit et mise jour des rgles du moteur de haut niveau

LApplication utilise pour dcrire ces rgles un langage particulier : on prendra unlangage standard (par exemple XrML) qui permet dtre flexible pour la mise jour afin desadapter rapidement au contexte surveiller.

Le moteur de haut niveau devra tre relativement standard entre les diverses solutionsproposes par les diffrents acteurs de telle manire quun groupe de veille technique sur lespratiques sur le rseau puisse permettre dchanger rapidement et de diffuser les rglesnouvelles adopter.

8/7/2019 SFH2

37/77



MODULE 3 : LE MODULE DE JOURNALISATION


Une Application engendre optionnellement un journal dtaill, qui sauvegarde lesdiffrents vnements observs. Les traces doivent enregistrer les vnements comme lesdmarrages, les mises jour, les actions de lutilisateur, les arrts, etc.

Le but de ce module est de produire un journal dvnements qui retrace lhistorique delactivit des diffrents utilisateurs de la ligne internet.

La journalisation consiste en la sauvegarde, de toute lactivit rseau notable, desnotifications et/ou alertes gnres et des choix de rponse aux notifications de lutilisateuret/ou de lAdministrateur dans un journal.

n Le journal trace les lments de la vie interne de lApplication des MS :dmarrage, arrt, activation, dsactivation, modification des profils de scurit, etc.

n Le journal trace les lments des sessions risque (selon la politique descurit) de chaque machine : dbut et fin de connexion, notification et rponse delutilisateur.

n Par opposition, le contenu des fichiers, lhistorique des pages visites ne sontpas enregistres dans le journal.

Cette journalisation est optionnelle pour chaque utilisateur. Il peut donc ny avoir aucune journalisation pour le rseau local, ce qui nempche pas lAdministrateur de recevoiroptionnellement des messages d'alerte avec des informations synthtiques sur les

anomalies observes, comme indiqu dans le module de traitement.Si la journalisation est active, il existe une alternative de format de journalisation des

vnements significatifs : le journal est en clair ou bien le journal est chiffr.

n Si le journal est en clair, il est intgre, sign lectroniquement en utilisant lacryptographie asymtrique, la signature tant chiffre par une cl prive (un mot depasse) que possde lAdministrateur.

n Le journal est chiffr, il est intgre et confidentiel ; le journal est intgre (idem aupoint prcdent) et confidentiel, c'est--dire quil est chiffr en utilisant lacryptographie symtrique par une cl secrte (un autre mot de passe) que possde

lAdministrateur. Le droit de lire ce journal scuris est restreint au titulaire delaccs internet qui pourra le dchiffrer en utilisant la cl secrte quil dtient.LApplication permet le dchiffrement de ce journal, lorsquon est Administrateur etquon possde cette cl secrte.

Le journal en clair sera rdig en langue franaise, avec des explications comme Vendredi 3 septembre 2010, 19h23 mn Alerte significative - Un nouvel ordinateurinconnu se connecte au botier : veuillez vrifier les adresses physiques desquipements informatiques qui sont autoriss se connecter . Un appel une aideventuelle fournit les mesures possibles mettre en uvre pour remdier la notification.

Ce journal (on parle de logs ou de traces, en informatique) pour chaque ordinateur est

engendr selon un format standard (heure locale, on utilise les standards de logs),ventuellement en utilisant le systme de gestion du systme dexploitation. Les logs

8/7/2019 SFH2

38/77



utilisent de prfrence le standard syslog ou IDMEF33, qui est une RFC exprimentale delIETF. Les vnements seront enregistrs par exemple selon le format suivant :

Date et Heure : (degr dimportance - optionnel), type dvnement (description de lvnement,optionnelle).

Ci-dessous se trouvent des exemples dvnements tels quils seront enregistrs dans lejournal :

Jeudi 20 mai 2010 18 :12 :59 : Notification connexion Protocole ABC lanceJeudi 20 mai 2010 20 :32 :10 : Notification site interdit lance

n Le premier exemple indique quune notification de haut niveau concernant laconnexion un protocole sur liste noire a t gnre et signale lutilisateur le jeudi 20 mai 2010 18h12.

n Le second exemple indique quune notification de haut niveau concernant uneconnexion un site interdit a t gnre et signale lutilisateur le jeudi 20mai 2010 20h32. Un exemple de journal plus dtaill se trouve dans la

Figure 3 : Exemple de journal.Les vnements inscrits mettre dans le journal sont les suivants :

n Mise en route/Arrt de lApplication : Lorsque lAdministrateur dcide darrterlApplication, la date et lheure de larrt sont inscrites dans le journal. Il en va demme pour la mise en marche de lApplication (voir Figure 3 : Exemple de journal,) ;

n Mise en route/Fermeture de la connexion rseau : La connexion rseau peutdmarrer en diffr par rapport la mise en marche de lApplication. Une interfacerseau peut aussi tre ajoute dynamiquement, ces vnements seront inscrits

dans le journal (voir Figure 3 : Exemple de journal, ) ;

n Mise/Sortie de pause de lApplication : LAdministrateur peut temporairementdsactiver lApplication, et la ractiver ensuite. Ces vnements sont inscrits dans le

journal (voir Figure 3 : Exemple de journal, ) ;

n Changement de profils : Le profil utilisateur courant est modifi en fonction delutilisateur qui utilise la connexion internet. Ces modifications sont enregistresdans le journal (voir Figure 3 : Exemple de journal, ) ;

n Notifications gnres (bas et haut niveau) : Les notifications gnres par lesmodules danalyse ou la gestion des profils sont enregistrs dans le journal (voir

Figure 3 : Exemple de journal, ) ;

n Rponses aux notifications ou alertes par lutilisateur : la suite dunenotification, lutilisateur doit prendre une dcision, suivre les conseils proposs avecla notification ou les ignorer. Ce choix et les actions qui dcoulent de ce choix(blocage ou non dune connexion, etc.) sont enregistrs dans le journal, (voir Figure3 : Exemple de journal, ).

33 IDMEF : Intrusion Detection Message Exchange Format, RFC 4765 de lIETF.

8/7/2019 SFH2

39/77

sfh2

Documents