Limites

Les nouveaux mécanismes de protection permettent de limiter la corruption massive des tables de routage au regard des ressources désormais nécessaires. Cependant, des attaques ciblant pré-cisément une entrée sont possibles et nécessitent beaucoup moins de ressources. Dans [SENB07a], Steiner et al. ont montré que 32 Sybils permettaient de prendre le contrôle de l'indexation du

Figure 4.5  Évolution du statut des contacts lors d'une exécution normale

mot clé  the. En revanche, la méthode de propagation alors utilisée (exploration du réseau puis annonce des Sybils à chaque pair) est désormais limitée.

Nous pensons que la principale faiblesse autorisant des attaques ciblées (telle que l'éclipse) sur la DHT est moins l'injection de Sybils dans les tables de routage que la possibilité laissée aux pairs de choisir librement leur idenant proche d'une cible, ce qui reste possible malgré les protections actuelles. En choisissant quelques KADIDs extrêmement proches d'un identiant particulier, c'est à dire beaucoup plus proches que n'importe quel pair choisissant son KADID aléatoirement sur 128bits, et étant donné l'algorithme de routage dans KAD qui consiste à utiliser les 10 n÷uds les plus proches de la cible pour stocker une information, il est alors possible d'attirer avec une très forte probabilité les requêtes sur des n÷uds que l'on contrôle. Ainsi, sans même nécessiter l'insertion directe des Sybils dans les tables de routage des pairs, leur simple proximité aux resources ciblées associée à l'ecacité de la procédure de localisation de KAD doit permettre leur découverte et l'interception des messages, ce que nous montrons dans le chapitre suivant.

Conclusion

An d'évaluer l'ecacité des nouvelles protections contre l'attaque Sybil implantées dans les versions récentes de clients KAD, nous avons reproduit des vecteurs d'attaque en injectant des Sybils dans la table de routage de clients instrumentés, permettant ainsi d'évaluer l'ecacité de l'attaque selon les mécanismes de protection activés.

Alors que les anciens clients KAD sans protection étaient facilement et largement aectés par une attaque Sybil massive ne nécessitant qu'un seul ordinateur, notre évaluation a mon-tré qu'une détection des comportements suspects, simplement locale au client, permettait de limiter ecacement cette menace. Les solutions implantées par les développeurs de KAD re-spectent les deux principales contraintes du réseau à savoir l'absence de coût d'infrastructure et la rétro-compatibilité entre clients. Le réseau progressivement composé de clients implantant ces protections devient plus robuste. Ces protections permettent donc, avec un coût négligeable, de combler d'anciennes vulnérabilités et de rendre l'attaque Sybil beaucoup plus dicile à réaliser en augmentant considérablement son coût en ressources. Une attaque ne nécessitant qu'un seul ordinateur il y a quelques mois nécessite aujourd'hui un botnet ou une architecture distribuée beaucoup plus complexe à mettre en ÷uvre.

Néanmoins, même si ces protections constituent une avancée, nous pensons que des faiblesses de KAD peuvent toujours être exploitées, en particulier, le fait de choisir librement son KADID associé à un algorithme de localisation performant, et laissent KAD vulnérable à des attaques ciblées et distribuées. Bien qu'imparfaites, ces défenses sont absolument génériques et peuvent facilement être appliquées à d'autres réseaux P2P structurés. Ces protections de bon sens de-vraient constituer la sécurité minimale implantée par toute DHT, à moins d'être immunisée contre l'attaque Sybil dès la conception.

Le chapitre suivant décrit plus précisément les vulnérabilités permettant l'interception des messages sur la DHT et comment notre architecture de supervision les exploite pour superviser précisément la DHT de KAD à un coût raisonnable.

HAMACK, une architecture de

honeypots distribués

Sommaire

5.1 Contrôle du système d'indexation de KAD . . . . 83 5.1.1 Description du processus de réalisation de service de KAD . . . 83 5.1.2 Stratégie de contrôle . . . 84 5.1.3 Modèle probabiliste . . . 85 5.2 Fonctionnalités d'HAMACK . . . . 87 5.2.1 Supervision passive . . . 87 5.2.2 Éclipse de références . . . 88 5.2.3 Annonce de chiers appâts et honeypots terminaux . . . 89 5.3 Évaluation de l'architecture . . . . 90 5.3.1 Implantation . . . 90 5.3.2 Optimisation de l'architecture . . . 91 5.3.3 Évaluation de l'attractivité des Honeypeers . . . 93 5.3.4 Expérimentation des fonctionnalités avancées de supervision . . . . 97

Introduction

Nous avons vu que les réseaux P2P sont utilisés pour partager des contenus malveillants. Bien qu'ils orent par ailleurs de nombreuses possibilités, ils fournissent également un support à ces activités dangereuses diusant volontairement des contenus hautement indésirables et illégaux. Nous avons également mentionné les dicultés inhérentes à la supervision de grands réseaux dynamiques complètement distribués et notamment le problème crucial de la pollution dont certaines formes amènent des utilisateurs à télécharger un contenu à leur insu. Notre objetif est ici de pouvoir superviser précisément l'activité de tels contenus sur le réseau KAD, en minimisant les faux positifs. Ceci permet d'une part d'en comprendre les principes de diusion et d'autre part de créer un moyen de supervision able dans le cadre de la lutte contre les contenus illégaux, notamment ceux à caractère pédophile.

Nom de chier Nb de Sources Taille "Matrix 2 Reloaded dvdrip.avi" 362 695.21MB "Matrix Revolutions spanish.avi" 328 625.23MB "Game Enter the Matrix DVD.iso" 298 681.19MB "Matrix Reloaded cd1 divx.avi" 8 679.74MB Table 5.1  Résultats d'une recherche sur le mot-clé "matrix" Stratégie de supervision

Le fondement de notre approche est de considérer que la supervision des chiers existants n'est ni able du fait de la pollution, ni ecace du fait de la concurrence avec les autres pairs. La pollution ne permet pas de savoir au travers de quels mots-clés un utilisateur accède à un contenu ce qui engendre des faux positifs. Par conséquent, seule la supervision directe des mots-clés entrés par l'utilisateur, ou de chiers créés spéciquement par un pot de miel et dont l'indexation n'est pas corrompue peuvent fournir des observations dignes de conance. L'approche que nous proposons, HAMACK (Honeynet Architecture for Monitoring content ACcess in KAD), part de ce constat et vise à superviser l'accès aux contenus de KAD en attirant dans un premier temps l'ensemble des requêtes émises par les pairs pour un contenu spécique puis en constatant les accès à des pots de miel distribués dont l'ecacité est assurée par le contrôle du mécanisme d'indexation.

L'ecacité d'un pot de miel dépend de l'attractivité des appâts proposés, dans notre cas, de celle des diérents faux chiers utilisés. Les chiers annoncés par le pot de miel doivent donc être attractifs auprès des utilisateurs et éviter la concurrence des chiers réels similaires. Plusieurs informations sont présentées à un utilisateur à l'issue d'une recherche de chier, an qu'il puisse choisir celui désiré (voir tableau 5.1). Parmi celles-ci, le nom du chier et sa taille sont des informations importantes et peuvent être facilement contrôlées lors de la création des appâts, par opposition au nombre de sources estimé dont il est dicile de maîtriser le résultat avec des pots de miel conventionnels. Par ailleurs, cette dernière information est capitale car elle constitue un critère privilégié pour trier les résultats d'une recherche, les chiers achant un nombre de sources élevé étant les plus attractifs. Ceux-ci sont en eet populaires ce qui indique, d'une part un temps de téléchargement réduit, et d'autre part un contenu plus able. Typiquement, le dernier résultat du tableau 5.1 devrait être ignoré par la grande majorité des utilisateurs. Nous montrerons par nos mesures que le nombre de sources estimé pour les appâts est une information capitale dans la mise en ÷uvre de pots de miel ecaces.

Une solution possible pour augmenter le nombre de sources estimé pour un chier est de multiplier les machines participant aux ressources du pot de miel. Cependant, cette solution montre vite ses limites car des chiers populaires peuvent facilement dépasser le millier de sources. Alors que dans eDonkey le nombre de sources estimé est retourné par le serveur, dans KAD celui-ci est calculé par les pairs en charge d'indexer un mot-clé. Prendre le contrôle du mécanisme d'indexation permettrait donc deux propriétés augmentant l'attractivité du pot de miel : d'une part en autorisant le contrôle du nombre de source estimé pour les chiers annoncés, et d'autre part, en éclipsant les chiers réguliers concurrents. Ainsi, superviser l'accès aux diérents mots-clés et annoncer des chiers attractifs dont l'indexation est parfaitement maîtrisée permet à HAMACK de vérier avec précision l'intérêt d'un pair pour un contenu particulier, depuis la recherche de mot-clé jusqu'au téléchargement nal de chiers appâts. Ces fonctionnalités font l'originalité de notre approche par rapport aux pots de miel classiques et aux attaques éclipse.

Par ailleurs, les mécanismes de protection nous obligent à adopter une approche distribuée. Positionnement

Plusieurs travaux parmi ceux présentés dans l'état de l'art sont proches des nôtres. En premier lieu, l'attaque Sybil ciblée réalisée par Steiner [SENB07a] permettant d'éclipser certaines entrées de la DHT. Si notre architecture utilise une idée similaire (insérer des n÷uds proches d'une clé), la mise en ÷uvre de l'attaque est cependant diérente du fait des mécanismes protégeant désormais la table de routage. En eet l'explorateur utilisé pour préparer l'attaque et l'injection massive de Sybils est inutilisable en raison des récentes protections. Nous avons conçu une stratégie originale pour propager les Sybils ne requérant ni explorateur, ni annonce directe ainsi qu'une architecture distribuée plus complexe. Enn, l'application de l'attaque est diérente et sert le cadre plus général d'une supervision avancée des accès aux contenus en manipulant l'indexation de ceux-ci.

Les travaux de Memon [MRGS09], concomitants aux nôtres, présentent une autre méthode de supervision pour KAD compatible avec les protections. Comme notre approche, ces travaux se basent sur la proximité entre la cible et les sondes pour attirer les requêtes. Ici, l'objet de la supervision est chaque pair du réseau se voyant ainsi associer un unique superviseur, dont la proximité le rend éligible aux mêmes requêtes que le pair supervisé. Cependant, cette approche nécessite un explorateur pour découvrir les pairs et ne peut observer une grande portion du réseau avec précision. Elle est donc adaptée à l'étude de trac mais n'a pas prouvé sa capacité à superviser des contenus spéciques disséminés sur la DHT, ni à pouvoir contrôler leur indexation pour investiguer plus précisément le comportement des utilisateurs.

Nous décrivons dans ce chapitre le fonctionnement de notre architecture, notamment com-ment celle-ci interagit avec les algorithmes de KAD pour en exploiter les faiblesses, et estimons de manière analytique son ecacité. Nous présentons ensuite ses fonctionnalités permettant : (1) de superviser de manière transparente l'ensemble des requêtes relatives à un contenu du réseau, (2) d'éclipser les entrées existantes pour celui-ci et (3) d'attirer les requêtes de téléchargement sur les pots de miel en insérant dans le mécanisme d'indexation de faux chiers semblant très attractifs aux utilisateurs. Nous présentons nalement sa mise en ÷uvre sur le réseau pair à pair KAD permettant d'en évaluer expérimentalement les performances.

5.1 Contrôle du système d'indexation de KAD