Déploiement de techniques de canaux cachées pour la détection d’exfiltration de données
* Contexte du stage
La fuite de données sensibles et/ou confidentielles est l’une des principales menaces étudiées dans le domaine de la sécurité informatique. Une récente étude du CESIN montre que plus de 30 % des entreprises ont été concernées au cours des 12
derniers mois. Or, ce type d’attaques est particulièrement dangereux compte tenu de sa menace potentielle à moyen et long terme. Malgré cette menace avérée, il est surprenant de constater qu’à ce jour, peu, voire pas, d’outils de détection des canaux cachés ont été proposés.
Les chercheurs du programme scientifique et technologique Cyber-sécurité de l’Institut Charles Delaunay travaillent depuis des années sur la dissimulation d’information dans les médias avec une reconnaissance, désormais, dans la
communauté internationale. Il est souhaité étendre ces activités, en partenariat avec les chercheurs impliqués dans les recherches en sécurité réseaux, afin de concevoir des méthodes de détection pour la dissimulation d’information dans les canaux cachés.
* Objectifs du stage
L’objectif de ce stage est double. D’une part il s’agira de faire un état de l’art sur les outils d’exfiltration d’information par utilisation des canaux cachés (tunnels HTTP, DNS, modification des entêtes des paquets, etc.), afin notamment d’évaluer les techniques qui présentent la menace la plus importante. D’autre part, il s’agit de développer un outil
fiable pour la détection statistique d’une méthode de dissimulation d’information par canaux cachés. Par fiable, il est entendu que la méthode de détection proposée présente une très faible probabilité de faux-positifs et que cette dernière puisse être calculée. Pour cela, il s’agira d’utiliser les méthodes issues de la théorie des tests d’hypothèses. La finalité sera la création d’un démonstrateur qui sera capable de mettre en place la technique identifiée de communication par canal caché et sa contre-mesure en matière de détection.
* Travail à effectuer
Le principal travail attendu par le stagiaire se découpe en trois étapes : 1. Une étude bibliographique sur les techniques actuelles de dissimulation
d’informations par canal caché sera nécessaire afin de faire une analyse des risques.
De même, si nécessaire, une étude sur les méthodes de détection statistique est attendue.
2. Ensuite, La principale réalisation technique attendue est l’implémentation, en condition réelle, d’une technique de canal caché. Cette attaque devra être choisie en fonction de l’analyse de la tâche 1 et devra être caractérisée par l’étudiant au travers de simulations.
3. Enfin, la principale réalisation scientifique attendue est la conception et
l’implémentation d’une méthode de détection de l’attaque. Idéalement, les propriétés de cette méthode de détection devront être calculées et mesurées ensuite par
simulation (à moyenne voire grande échelle) afin de s’assurer du bon fonctionnement de la méthode proposée.
* Références
[Mur05a] Murdoch, Steven J., and Stephen Lewis. "Embedding covert channels into TCP/IP." Proc. Information Hiding, 2005.
[Zan07a] Zander, S., Armitage, G. and Branch, P. "A survey of covert channels and countermeasures in computer network protocols". IEEE Communications Surveys &
Tutorials, vol. 3, no. 9, pp.44-57, 2007.
[Cab09a] Cabuk, S., Brodley, C. E., & Shields, C. "IP covert channel detection", ACM Trans on Information and System Security (TISSEC), 2009.
[Ell13a] Ellens, W., Zuraniewski, P., Sperotto, A., Schotanus, H., Mandjes, M. and Meeuwissen, E., "Flow-based detection of DNS tunnels". In IFIP International
Conference on Autonomous Infrastructure, Management and Security, pp. 124-135, 2013, June.
[Igl16a] Iglesias, F., Annessi, R. and Zseby, T. "DAT detectors: uncovering TCP/IP covert channels by descriptive analytics." Security and Communication Networks, vol. 15, no. 9, pp.3011-3029, 2016.
* Profil recherché
Etudiant en master en informatique ou mathématiques appliqués, ou équivalant. Des connaissances en réseaux et télécommunication et en sécurité seront appréciées.
* Conditions du stage
Le stage se déroule au sein de l’Institut Charles Delaunay (ICD) de l'Université de Technologie de Troyes et s'inscrit dans la thématique transversale « Cyber-sécurité
». Un bureau, partagé par plusieurs étudiants en stage, sera alloué au stagiaire avec un ordinateur fixe pour le travail. La rémunération du stage se situe autour de 455 € par mois. Selon les résultats obtenus, une prolongation de ce stage de M2 par une thèse de doctorat (en entreprise ou laboratoire) sera envisagée.
* Contacts
Rémi Cogranne (UTT, bureau H109) : remi.cogranne@utt.fr 03 25 75 96 72 Guillaume Doyen (UTT, bureau E001) : guillaume.doyen@utt.fr 03 25 71 85 70