Comparaison des méthodes de supervision

Parmi les méthodes de supervision présentées, la collecte de trac est la plus dicile à mettre en ÷uvre. Son intérêt est évident pour comprendre les interactions entre le réseau Internet et les réseaux P2P mais il devient très limité lorsqu'il s'agit d'obtenir des informations sur le réseau P2P. Le traitement et le stockage des données applicatives posent des problèmes techniques et légaux importants et la vue du réseau P2P reste très limitée (au lien supervisé). Les mesures sur serveurs permettent de superviser ecacement les réseaux P2P, notamment si un serveur important peut être instrumenté. Le tableau 1.2 résume les diérentes manières de superviser un réseau P2P avec serveur. Cependant, la vue du réseau reste là aussi partielle au(x) serveur(s) supervisé(s). En outre, l'évolution des architectures P2P a clairement montré que les serveurs tendent à disparaître au prot d'architectures complètement distribuées, en particulier les DHT, qui nécessitent d'autres moyens de supervision. Nous ne nous attarderons donc pas davantage sur la collecte de trac et les mesures sur serveurs.

Trois méthodes de supervision sont possibles lorsqu'il s'agit de superviser des réseaux P2P complètement distribués : les pots de miel, les explorateurs et les sondes distribuées. Dans le cadre de cette thèse, nous nous intéressons plus particulièrement à la supervision des réseaux P2P structurés et notamment à leurs contenus. Dès lors, si l'on considère la supervision de contenus partagés dans les réseaux P2P, aucune des solutions de supervision actuelles n'est satisfaisante. Les forces et faiblesses de chacune de ces approches de supervision appliquées à l'étude des contenus sont présentées dans le tableau 1.3.

Les explorateurs permettent de découvrir la topologie du réseau mais ne renseignent qu'ceptionnellement sur les contenus partagés, en l'occurrence quand les utilisateurs autorisent ex-plicitement l'inspection de l'ensemble de leurs chiers. En outre, les explorateurs ne permettent pas d'observer les recherches ni les transferts de chiers. Ils sont donc inadaptés pour superviser l'activité de contenus. Les pots de miel sont capables de constater les transferts de chiers mais le nombre de contenus supervisables par un même pot de miel est cependant limité. L'annonce de faux chiers limitant énormément l'attractivité et l'intérêt des pots de miel, ces derniers doivent annoncer des contenus réels ce qui pose problème dans le cadre de contenus illégaux. Les pots de miel ont d'autres limitations importantes. D'une part, il est dicile d'étudier un ensemble de contenus lié à une thématique (dénie par ensemble de mots-clés) avec cette approche, d'autre

Méthode de supervision Avantages Inconvénients Trac du serveur _{ Connaissance des pairs}

 Connaissance des contenus  Supervision passive

 Diculté du traitement des données

 Vue partielle du réseau  Diculté d'instrumenter

un serveur existant (accord de l'administrateur, impact sur les performances, ...) Journaux du serveur

 Traitement facile des don-nées

 Supervision passive

 Informations enregistrées limitées

 Vue partielle du réseau  Diculté d'obtention des

journaux de serveurs exis-tants

Requêtes sur serveurs

 Plusieurs serveurs contacta-bles

 Facilité de mise en ÷uvre

 Requêtes spéciques à un contenu

 Supervision active

Table 1.2  Comparaison des méthodes de supervision des serveurs de réseaux P2P part, un pot de miel ne peut découvrir les pairs partageant déjà un chier mais uniquement ceux souhaitant l'obtenir. Les sondes distribuées permettent d'intercepter les requêtes de recherche et de publication mais n'ont pas la connaissance à priori des contenus ainsi supervisés. Par ailleurs, les transferts de chiers sont invisibles avec cette méthode, au contraire des pots de miel. Pour nir, les sondes comme les pots de miel sont sujets aux faux positifs du fait de la pollution de la DHT, certains chiers pouvant être référencés par des mots-clés sans relation. Collecter des adresses IP sans s'assurer précisément de l'activité et de l'intentionnalité du pair conduit à des erreurs de détection. Par exemple, l'annonce usurpée d'adresses IP dans un tracker BitTorrent a conduit à une suspension de leur connexion Internet [PKK08], malgré le fait que les hôtes en question aient été des imprimantes n'ayant jamais téléchargé ou partagé une partie de chier.

Conclusion

Nous avons tout d'abord présenté dans ce chapitre les diérentes architectures P2P existantes en décrivant leur fonctionnement et en comparant leurs propriétés respectives. Dans le cadre de cette thèse, nous avons choisi de nous intéresser à la supervision des réseaux P2P structurés pour plusieurs raisons :

 il s'agit de l'architecture la plus prometteuse pour mettre en ÷uvre le pair-à-pair (totale-ment distribuée, passant à l'échelle, garantissant la localisation des ressources) ;

 ils partagent une base théorique commune facilitant la réutilisation des travaux développés pour leur modèle ;

Méthode de supervision Avantages Inconvénients

Explorateurs _{ Connaissance des pairs  Connaissance anecdotique} des contenus

 Supervision active Pots de miel _{ Connaissance des demandes}

de chier

 Facilité de mise en ÷uvre

 Annonce de chiers illégaux (supervision active)

 Faux positifs (pollution)  Pas de connaissance des

sources

 Étude dicile des mots-clés Sondes distribuées _{ Connaissance des pairs}

 Supervision passive

 Connaissance des contenus possible

 Faux positifs (pollution)  Pas de connaissance des

de-mandes de chier

Table 1.3  Comparaison des méthodes de supervision appliquées aux contenus des réseaux P2P complètement distribués

BitTorrent Mainline DHT) ;

Nous ne considérerons pas dans notre étude les réseaux P2P anonymes, ceux-ci étant encore trop peu développés, en grande partie à cause de leurs problèmes de performances les rendant inadaptés au partage de chiers volumineux tels que les vidéos. Par ailleurs, dans l'application qui nous préoccupe en particulier, à savoir la supervision de contenus pédophiles sur les réseaux P2P, il a déjà été prouvé que certains sont couramment diusés sur le réseau eD2k. A notre connaissance, cette observation n'a pas encore été réalisée pour les réseaux anonymes (FreeNet, GnuNet...).

Nous avons ensuite présenté une vue exhaustive des méthodes de supervision appliquées aux réseaux P2P, en comparant pour chacune d'elles les contraintes d'utilisation quant au réseau cible et aux informations collectées. L'étude des diérentes architectures de supervision a montré qu'aucune n'est actuellement satisfaisante quand il s'agit de superviser de manière non intrusive l'activité des contenus partagés. En particulier, le problème des faux-positifs liés à la pollu-tion pouvant amener les utilisateurs à accéder non intenpollu-tionnellement à des contenus n'est pas considéré. Pour cela, nous proposons dans le chapitre 5 une nouvelle approche de supervision permettant d'allier les avantages des architectures de pots de miel et de sondes distribuées sans en présenter les inconvénients. La supervision des contenus au sein des réseaux P2P est donc d'autant plus délicate que ces derniers sont victimes de problèmes de sécurité majeurs tels que la pollution ou l'attaque Sybil. Ces enjeux font l'objet du prochain chapitre.

Sécurité des contenus dans les réseaux

pair à pair

Sommaire

2.1 Contenus illégaux et pollution . . . . 38 2.1.1 Diusion de contenus illégaux . . . 39 2.1.2 Stratégies de pollution . . . 40 2.1.3 Diusion de la pollution . . . 41 2.1.4 Solutions proposées . . . 42 2.2 L'Attaque Sybil . . . . 44 2.2.1 Principe . . . 44 2.2.2 Applications . . . 45 2.2.3 Solutions contre l'attaque Sybil . . . 46

Introduction

Les problèmes de sécurité aectant les réseaux P2P sont dus à l'absence de contrôle centralisé et à l'autonomie des pairs. Le meilleur exemple illustrant ces limites est le comportement égoïste adopté par la majorité des pairs, bien qu'étant pénalisant pour le réseau. Ce comportement est appelé free riding et dégrade énormément la qualité de services des réseaux P2P, en concen-trant l'ensemble de la charge sur un nombre réduit de pairs, ce qui viole le principe fondamental stipulant que chaque pair est à la fois client et serveur. Certaines études ont estimé l'impact de ces comportements sur le réseau : [AH00] et [HCW05] ont ainsi supervisé Gnutella et constaté la tragédie du bien commun [Har68] qui est la conséquence des comportements égoïstes : 70% des utilisateurs ne partagent rien et 50% des ressources sont partagées par seulement 1% des utilisa-teurs. Les auteurs mettent ainsi en évidence les limites d'un système basé sur le volontarisme, sans contrôle, et où chacun est anonyme ce qui se traduit également par d'importants problèmes de sécurité.

La sécurité des réseaux P2P est un problème général convrant plusieurs attaques. Plusieurs études de synthèse recensent les problèmes de sécurité des réseaux P2P [SM02] [Wal03] et leurs solutions possibles [UPvS11]. Nous classions les problèmes de sécurité des réseaux P2P en trois catégories : ceux éprouvant la robustesse de l'architecture P2P, ceux visant les services du système P2P et ceux utilisant l'infrastructure à des ns malveillantes. La majorité des considérations de

sécurité concerne la robustesse de l'architecture pair à pair aux attaques, plus précisément, sa capacité à maintenir les communications entre pairs et à localiser les données malgré certains comportements malveillants. Cette catégorie inclut notamment les attaques de type routage, visant à corrompre les requêtes des pairs ou leur table de routage an de perturber la localisation des pairs et pouvant aller jusqu'à la partition du réseau. L'infrastructure P2P peut également être utilisée à des ns malveillantes et ainsi être le support d'un botnet tel que Storm [HSD+08], ou encore à une attaque de déni de service distribué ciblant un système tiers [NR06]. Dans ce chapitre, nous restreignons notre étude des considérations de sécurité à celles impactant les services d'un système P2P dans le cadre d'une application de partage de chiers.

Autrement dit, nous nous intéressons aux problèmes de sécurité aectant les contenus partagés dans les réseaux P2P. Nous dénissons la sécurité des contenus par trois propriétés devant être vériées, à savoir :

1. la description d'un contenu doit correspondre au contenu réel ; 2. l'indexation des contenus doit être pérenne au sein du réseau ;

3. les contenus dangereux  pour les utilisateurs doivent être proscrits.

Il existe principalement deux problèmes de sécurité aectant les contenus des réseaux P2P. D'une part, ils sont utilisés pour diuser des contenus illégaux tels que des virus ou des contenus à caractère pédophile. Cette simple diusion est un problème en soi mais est d'autant plus grave que ces contenus malveillants peuvent être téléchargés de manière non intentionnelle par des utilisateurs du fait de la pollution des réseaux P2P. D'autre part, des entités peuvent perturber le réseau en créant et coordonnant de nombreux faux pairs ce qui leur permet d'ac-croître leur inuence sur le réseau. Cette attaque, appelée attaque Sybil, a de nombreuses applications dont certaines posent problème pour la sécurité des contenus du réseau (attaque éclipse, pollution...). Tous ces problèmes de sécurité sont intimement liés. Ainsi, certaines formes de pollution servent à la diusion de contenus malveillants. De même, l'attaque Sybil peut être utilisée pour réaliser la polution du réseau.

Nous présentons dans ce chapitre l'état de l'art relatif à ces problèmes de sécurité, en énonçant leur principe, les observations réalisées et les solutions envisagées au travers de nombreuses études.

2.1 Contenus illégaux et pollution

Un des problèmes majeurs des réseaux P2P de partage de chiers est la diusion de la pollu-tion en leur sein. Un chier est dit pollué si le contenu fourni par le service P2P ne correspond pas à la description présentée à l'utilisateur. Plusieurs formes de pollution existent. Le contenu peut ainsi être valide mais sans rapport avec la description, partiellement dégradé, inexploitable une fois téléchargé ou encore, complètement ctif. La pollution dégrade signicativement la qualité de service des réseaux P2P. D'une part, en cas de pollution, l'utilisateur doit vérier le contenu du chier et rechercher un autre chier sain. D'autre part, la diusion de la pollution consomme inutilement les ressources limitées du réseau P2P. La pollution, lorsqu'elle est associée à la diu-sion de contenus malveillants, pose surtout des problèmes de sécurité pour les utilisateurs. Ainsi, un contenu pornographique ou à caractère pédophile peut être diusé par des pairs malveillants avec le nom de chier d'un dessin animé, ou un virus informatique avec des noms de chiers exécutables légitimes. Nous étudions dans cette sous-partie les diérentes recherches menées sur la diusion de contenus illégaux et la pollution des réseaux P2P, en nous intéressant à la com-préhension du phénomène et son impact sur la sécurité.