Document Spécifications Fonctionnelles Hadopi - Août 2010

Consultation publique de la Haute Autorit pour la diffusion des uvres et la protection des droits sur internet
Projet de spcifications fonctionnelles des moyens de scurisation
Spcifications fonctionnelles Hadopi - SFH
Objet : Dossier de consultation publique de la Haute Autorit sur les spcifications fonctionnelles des moyens de scurisation
Chre Madame, cher Monsieur, La Haute Autorit pour la diffusion des uvres et la protection des droits sur internet ( Hadopi ) soumet consultation publique un projet de spcifications fonctionnelles pour des moyens de scurisation destins prvenir lutilisation illicite de laccs un service de communication au public en ligne. Comme suite votre demande, vous trouverez ci-joint le projet de spcifications fonctionnelles soumis consultation. Ce projet a t tabli par M. Riguidel, professeur mrite Tlcom ParisTech. La prsente consultation sinscrit dans le cadre de larticle L 331-26 du code de la proprit intellectuelle ( CPI ), prvoyant qu aprs consultation des concepteurs de moyens de scurisation destins prvenir l'utilisation illicite de l'accs un service de communication au public en ligne, des personnes dont l'activit est d'offrir l'accs un tel service, ainsi que des socits rgies par le titre II du prsent livre [les socits de perception et de rpartition des droits] et des organismes de dfense professionnelle rgulirement constitus, la Haute autorit rend publiques les spcifications fonctionnelles pertinentes que ces moyens doivent prsenter . Les spcifications fonctionnelles pertinentes rendues publiques par lHadopi permettront dvaluer la conformit des moyens de scurisation dans le cadre de la procdure de labellisation prvue larticle L. 331-26 CPI. La prsente consultation publique est ouverte jusquau 10 septembre 2010. Si vous souhaitez apporter votre contribution, vous devez avant cette date adresser vos observations, lHadopi : soit par voie lectronique, ladresse suivante : consultation-sfh@hadopi.net soit par voie postale, ladresse suivante (mentionner sur lenveloppe :
Rponse la consultation publique sur les spcifications fonctionnelles ) : Haute Autorit pour la diffusion des uvres et la protection des droits sur internet - Hadopi 4, rue du Texel 75014 Paris Tout contributeur doit prciser la catgorie de personne consulte prvue larticle L 331-26 CPI laquelle il appartient, et en justifier par tout moyen appropri.
page 2
Spcifications fonctionnelles Hadopi - SFH Dans un objectif de transparence, la Haute Autorit publiera les contributions reues. Si vous ne dsirez pas que votre contribution soit publie, vous devez lindiquer clairement en remarque pralable dans votre contribution. Dans lattente de votre retour, je vous prie de croire, Madame, Monsieur, en lexpression de mes sincres salutations.
Marie Franoise Marais Prsidente de la Haute Autorit
page 3 Rf : SFH-2010-06-23
TABLE DES MATIERES
Table des matires ...................................................................................................... 4 Synthse du projet de spcifications fonctionnelles .................................................... 5 Introduction .................................................................................................................. 7 LHadopi et les moyens de scurisation .................................................................. 7 Objet de la prsente consultation ............................................................................ 8 Donnes techniques et organisationnelles pertinentes ........................................... 9 Spcifications des suites de scurit existantes pertinentes ................................. 10 Directives suivies pour llaboration de ce projet................................................... 15 Spcification gnrale................................................................................................ 16 Objectif................................................................................................................... 16 Caractristiques gnrales .................................................................................... 16 Cadre technique..................................................................................................... 16 Introduction des modules....................................................................................... 17 Module 1 : Le Module dadministration ...................................................................... 18 But fonctionnement ............................................................................................. 18 Ergonomie.............................................................................................................. 18 Interface graphique ................................................................................................ 18 Cycle de vie de lapplication................................................................................... 19 Conformit de lapplication..................................................................................... 20 Performances des applications.............................................................................. 20 Module 2 : Le Module de traitement .......................................................................... 21 But fonctionnement ............................................................................................. 21 Le moteur danalyse protocolaire........................................................................... 23 Module 3 : Le Module de journalisation ..................................................................... 27 But fonctionnement ............................................................................................. 27 Scurit des journaux engendrs .......................................................................... 28 Module 4 : Le Module de scurit.............................................................................. 30 But fonctionnement ............................................................................................. 30 Objectifs de scurit .............................................................................................. 30 Menaces ................................................................................................................ 32 Politique de scurit............................................................................................... 33 Table des figures ....................................................................................................... 36
page 4
SYNTHESE DU PROJET DE SPECIFICATIONS FONCTIONNELLES

La synthse des fonctionnalits pertinentes des moyens de scurisation est la suivante : Mise en mmoire dune politique de scurit dont la mise en uvre est dcide par le titulaire de laccs ; Cette politique est dfinie en choisissant des rgles et des procdures parmi un catalogue dactions techniques possibles ; le moyen de scurisation doit offrir une grande souplesse des fonctionnalits et une granularit dutilisation ; La politique de scurit sappuie sur quatre lments cumulatifs : lment 1 : Observation en temps rel et sans enregistrement des flux et protocoles qui transitent par laccs ; sur la base de lobservation et de la politique de scurit choisie, une ou plusieurs des actions techniques suivantes peuvent sappliquer : laisser faire ou bloquer (selon des critres dfinis dans le prsent document, et qui incluent notamment le type de flux ou protocoles, selon le protocole applicatif, des listes1, des caractristiques de formats, de dbits, de volumes, des profils dutilisateurs, des plages horaires). lment 2 : Analyse optionnelle de la gestion de configuration informatique (ex : analyse statique de la configuration de postes informatiques ; logiciels installs), analyse statique de la configuration rseau (ex : analyse de la configuration routeur / botier ADSL) ; analyse dynamique des logiciels en fonctionnement, et contrle des utilisations par le titulaire de la connexion. lment 3 : Affichage de notifications et dalertes pdagogiques (ex : Vous allez tlchargez un fichier en utilisant le protocole pair pair nom du protocole : voulez-vous continuer ? ). lment 4 : Double journalisation2 (version normale en clair et version scurise ; les deux versions sont identiques, sauf si la version en clair est manipule) des vnements significatifs (ex : lments de la vie interne du moyen de scurisation : dmarrage, arrt, activation, dsactivation, modification des profils de scurit, etc. ;
1
Listes : Les listes peuvent tre noires, entits interdites par dfaut, blanches, entits autorises, grises, entits qui peuvent prsenter des risques en matire de contrefaon et qui ncessiteront une action de lutilisateur pour outrepasser la notification du risque.
Journalisation : Les journaux scuriss doivent tre archivs et conservs par le titulaire de labonnement pendant la priode dune anne, priode o le titulaire pourrait demander une tierce partie de confiance, un dchiffrement des journaux correspondant des dates fixes et une copie certifie conforme du dchiffrement de ces journaux.
page 5
Spcifications fonctionnelles Hadopi - SFH dbut et fin de connexion, notification et rponse de lutilisateur ; par opposition, le contenu des fichiers, lhistorique des pages visites ne sont pas enregistres). Le journal scuris doit tre confidentiel, authentique et infalsifiable. Le droit de lire ce journal scuris est restreint au titulaire de laccs qui pourra le faire dchiffrer en faisant appel un tiers de confiance (ex : une IGC, Infrastructure de Gestion de Cls). Les lments 1, 2 et 3 sont la discrtion et dans les termes choisis par le titulaire. Llment 4 est obligatoire et sopre automatiquement ds lors que le moyen de scurisation est en fonctionnement (mme si les lments 1, 2 et 3 ne sont pas activs). Les moyens de scurisation doivent avoir une capacit de scurisation contre lusurpation, le contournement ou laltration. Les moyens de scurisation sont euxmmes scuriss : les modules et composants, les liens entre les modules et composants, les liaisons avec dventuels serveurs, les processus de mises jour, le cycle de vie des journaux, etc. Les moyens de scurisation doivent inclure une possibilit de mise jour rgulire (listes, actions techniques, alertes, application). Les moyens doivent avoir un faible impact sur les performances des machines sur lesquelles se fait lexploitation. Linstallation et lutilisation sont simples : activation, dsactivation, administration notamment les mises jour, ergonomie. Il en va de mme pour la dsinstallation qui doit tre effective 100% (aucun reste informatique aprs dsinstallation). Les moyens peuvent tre raliss partir de logiciels libres et/ou fonctionner sur des systmes dexploitation libres. Les moyens peuvent tre intgrs comme une extension dans une suite de scurit (contrle parental, antispam, antivirus, pare-feu, etc.). Ils peuvent tre un systme autonome compatible avec les produits et services du march. Les moyens ne doivent pas transmettre dinformations des tiers, lexception de la cl de dchiffrement de la version scurise du journal qui elle peut tre transmise un tiers de confiance lors de linstallation. Les moyens nenregistrent pas dhistorique de navigation (ex : dsignation en clair des sites visits, noms de fichiers tlchargs).
page 6
INTRODUCTION
LHADOPI ET LES MOYENS DE SECURISATION Dans le cadre de la loi n 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la cration sur Internet, lHadopi sest vue confier une mission gnrale de protection des uvres et objets auxquels est attach un droit dauteur ou un droit voisin sur les rseaux de communications lectroniques utiliss pour la fourniture de services de communication au public en ligne (article L331-13 2 CPI). Deux axes de cette mission concernent les moyens de scurisation : - la mise en uvre dune procdure dite de rponse gradue incitant les titulaires dun abonnement Internet lutilisation de moyens de scurisation ; et - la labellisation par lHadopi des moyens de scurisation conformes des spcifications fonctionnelles publies par elle. LA REPONSE GRADUEE La rponse gradue repose sur lobligation du titulaire dun accs Internet de veiller ce que son accs ne soit pas utilis des fins de contrefaon (article L336-3 CPI). Elle a pour objectif dinciter les abonns installer et mettre en uvre des moyens de scurisation de leur accs internet, qui feront obstacle lutilisation de celui-ci des fins frauduleuses. cet effet, il est prvu que sur saisine des ayants droit, la commission de protection des droits de lHadopi peut adresser aux abonns dont laccs aura t utilis pour changer illgalement des fichiers contenant des uvres protges, des recommandations qui constituent un rappel la loi. Ces recommandations : - attirent lattention des abonns sur lexistence dactes frauduleux accomplis partir de leur accs ; - invitent les abonns installer et mettre en uvre des moyens de scurisation de leur accs internet. Dans le cas o laccs internet de labonn serait de nouveau utilis des fins dchange illgal de fichiers aprs deux recommandations dont la seconde est envoye par courrier remis contre signature, la commission de protection des droits peut prendre la dcision de transmettre le dossier au parquet. Labonn sexpose alors un risque de condamnation pour ngligence caractrise dans la scurisation de son accs Internet. Cette infraction est une contravention de 5me classe, du Code de proprit intellectuelle. Celle-ci peut tre labonn malgr la deuxime recommandation envoye remis contre signature, soit sest abstenu de mettre prvue larticle R 335-5 constitue ds lors que par lHadopi par courrier en place un moyen de
page 7
Spcifications fonctionnelles Hadopi - SFH scurisation de son accs Internet soit a manqu de diligence dans la mise en uvre de ce moyen de scurisation. LA LABELLISATION DES MOYENS DE SECURISATION Compte tenu de limportance que revtent les moyens de scurisation, le lgislateur a confi lHadopi une mission de labellisation desdits moyens de scurisation. La labellisation des moyens de scurisation prvue larticle L331-26 CPI sinscrit dans le cadre de la mission gnrale de protection des uvres confie lHadopi, car elle encourage le dveloppement de moyens de scurisation daccs Internet permettant de lutter contre les usages illgaux de contenu en ligne et identifie facilement ces moyens auprs des internautes souhaitant scuriser leur accs. Le label sera attribu au terme dune procdure dvaluation certifie, vrifiant la conformit aux spcifications fonctionnelles rendues publiques par la Haute Autorit ainsi que leur efficacit.
OBJET DE LA PRESENTE CONSULTATION Lobjet de ce document est de proposer une premire version de travail de rdaction des spcifications fonctionnelles qui seront rendues publiques par lHadopi en application de larticle L331-26 CPI (Spcifications Fonctionnelles Hadopi ou SFH ). Par spcification fonctionnelle, il est entendu une description de lensemble des fonctions informatiques dun produit ou dun service, en vue de sa ralisation. La spcification fonctionnelle est indpendante de la faon dont sera ralis le produit ou service en question. Chaque fonction sera dcrite, en spcifiant son but, son principe de fonctionnement, les donnes et les objets manipuls. Les spcifications SFH relatives la qualit gnrale du produit ou du service sont aussi abordes dans ce document, c'est--dire : la performance attendue (contraintes de temps de rponse et de ressources informatiques utilises, en processeur, en communication et en stockage), environnement informatique ;
la scurit exige, en termes de protection du dispositif, et en termes de respect de la vie prive des utilisateurs et de scurit des donnes caractre personnel ;
le dploiement de lapplication tout au long de son cycle de vie (installation, maintenance, volution).
Le document dcrit les exigences attendues dun produit informatique et/ou dun service qui pourra tre propos aux abonns, titulaire dun abonnement chez les FAI et/ou les oprateurs de tlphonie mobile, rpondant aux spcifications SFH.
page 8
DONNEES TECHNIQUES ET ORGANISATIONNELLES PERTINENTES ARCHITECTURE DES SOLUTIONS Les prsentes darchitecture. spcifications fonctionnelles nentendent pas imposer
Le produit ou ce service de type informatique conforme aux SFH pourra tre compos dun ou plusieurs dispositifs matriels et/ou logiciels, dans une architecture centralise et/ou distribue, selon les solutions dfinies par les concepteurs. TYPOLOGIE DES SOLUTIONS SELON LE NOMBRE DUTILISATEURS Le produit ou ce service de type informatique conforme aux SFH pourra viser des environnements comptant un nombre plus ou moins important dutilisateurs. Les cibles d'utilisateurs des dispositifs de scurit peuvent tre classes en 2 grandes classes : les entreprises, institutions, associations, d'une part et les particuliers, le grand public, d'autre part. Pour les organisations, il y a encore deux sous-catgories : les organisations qui ont du personnel permanent, identifi et les organisations comme les htels, les cybercafs, les sites Wi-Fi ouverts (aroports, etc.) o les utilisateurs sont de passage. Une approche informatique pertinente est alors de distinguer les conceptions en fonction du nombre d'utilisateurs que le titulaire du contrat a sous sa responsabilit. Il appartient au concepteur de logiciels de dfinir la typologie de solution qui lui semble la plus approprie. Les paragraphes suivants sont livrs titre indicatif seulement et dcrivent la comprhension par lauteur de ce document des problmatiques lies aux diffrentes typologies de sites. SITES AVEC UN NOMBRE RESTREINT DUTILISATEURS Pour les particuliers ou les TPE, les moyens de scurisation peuvent tre, par exemple, des dispositifs sous la responsabilit du titulaire de l'abonnement, soit dans les boitiers ADSL, soit sur chacun des ordinateurs, soit rpartis sur ces appareils informatiques. Lorsque lapplication est sous la forme de composants informatiques embarqus dans les instruments de communication (modem, routeur, boitier ADSL), lapplication est alors plus simple et plus efficace. Pour le moment le parc des boitiers ADSL est trs htrogne, et les boitiers sont dimensionns de telle manire qu'il est difficile de loger des applications supplmentaires dans ces boitiers. Pourtant, on peut rflchir ces solutions pour les futures gnrations de boitiers, dans le cadre du renouvellement gnral du parc. Lorsque lapplication est sous la forme de composants installs dans les ordinateurs, les tlphones portables, les consoles de jeux, ces composants peuvent comporter des logiciels (propritaires ou libres) qui peuvent tre installs sur des
page 9
Spcifications fonctionnelles Hadopi - SFH systmes dexploitation propritaires (de type Windows ou autres), ou bien sur des systmes dexploitation libres de type Unix ou Linux.
Botier ADSL
Figure 1 : Architecture informatique chez un particulier : entre internet et les ordinateurs du particulier, le botier de connexion ( box ) fourni par le FAI. La liaison seffectue par Wi-Fi ou par cble Ethernet. SITES AVEC UN NOMBRE ELEVE DUTILISATEURS Pour les organisations et entreprises, les moyens de scurisation peuvent se prsenter sous la forme de sondes (analyseur de protocoles) sur le rseau de lorganisation, gres sur une station de supervision de rseau, opre par le responsable de scurit de ltablissement. Ce sont des systmes o les postes des utilisateurs ne sont pas concerns. Le responsable de scurit, ou l'ingnieur rseau, supervise le trafic et les flux en examinant de manire passive les indicateurs des sondes branches sur le rseau. Il peut dtecter statistiquement si un employ fait un usage intempestif de l'internet, s'il utilise de manire abusive les ressources informatiques pour son propre compte, s'il fait du tlchargement, dans les limites des lois applicables. Pour ces sites, les moyens de scurisation doivent savoir grer les serveurs qui grent des multiutilisateurs et des multisessions. Sur les systmes dinformation de plus de 20 personnes, les dispositifs de type SFH existent dj, de plusieurs sortes et de plusieurs origines (franais, europens et autres). Pour les Grands Groupes, ce sont souvent des systmes ad hoc, intgrs leur systme de scurit.
SPECIFICATIONS DES SUITES DE SECURITE EXISTANTES PERTINENTES Le produit ou ce service de type informatique conforme aux SFH pourra emprunter aux spcifications des suites de scurit existantes mais devra les complter et les adapter lobjectif de lutte contre les contrefaons en ligne. ce jour, les logiciels de scurisation pour laccs Internet, qui existent sur le march, destins des particuliers, sont essentiellement des suites de scurit Internet vendues sous forme de packs de scurit ou bien des logiciels autonomes
page 10
Spcifications fonctionnelles Hadopi - SFH (payants ou gratuits), indpendamment des solutions de scurisation du boitier de connexion et de sa liaison avec lordinateur personnel. Ces ensembles de logiciels comportent en gnral un logiciel de contrle parental, un antispam (contre le pourriel), un pare-feu et un antivirus pour contrler l'utilisation du poste de l'utilisateur connect internet. Ces produits sont mis jour en permanence, parfois quotidiennement, pour contrecarrer les attaques nouvelles qui apparaissent sur le rseau (nouveaux virus, nouveaux spams, mises jour des listes noires de sites contenant des fichiers illicites ou inappropris, mises jour de listes blanches de sites autoriss, etc.). Ils sont un bouclier indispensable pour linternaute qui veut prserver son patrimoine numrique personnel et viter les dsagrments dune navigation sans prcaution sur le Web. LES SOLUTIONS DE CONTROLE PARENTAL Les produits de type contrle parental permettent de restreindre le champ dapplication du poste pour les utilisateurs lgitimes. Un contrle parental comporte des profils d'utilisateurs (enfants, adolescent, etc.) pour rguler son utilisation et vrifier sa navigation, par ses parents. Les logiciels installs sur les ordinateurs des utilisateurs appliquent une politique de contrle daccs des flux entrant et sortant, paramtre selon des critres et des paramtres qui tiennent compte : Des plages horaires de navigation et du volume dheures maximum de navigation et utilisation des applications (Chat, P2P, etc.), de protocoles (par jour et/ou par semaine).

Des profils de navigation, selon les ges ou la maturit.
Des listes noires : dans ce cas, il est possible de se connecter lensemble des sites URL dInternet et pages du Web, except ceux qui sont inscrits dans cette liste. Ces listes (centaines de milliers dlments, en gnral) sont dfinies et mises jour par diverses organisations ou groupes dordre thique.
Des listes blanches : dans ce cas, il nest possible de se connecter qu un site appartenant une liste dfinie (pour les enfants, utilis dans les tablissements scolaires).
Des types de fichiers pour empcher le tlchargement de fichiers Internet sur lordinateur : vido, musique, excutables, images, fichiers compresss, etc.
De tentatives multiples de connexions une page censure : le compte est alors bloqu et r-activable par le titulaire de labonnement.
Ladministrateur du logiciel peut activer et dsactiver les filtres, peut modifier la configuration des paramtres. Une personnalisation permet dautoriser des accs interdits dans une catgorie.
page 11
Spcifications fonctionnelles Hadopi - SFH Une journalisation (fichiers *.log) des vnements (blocage, dsactivation, etc.) permet de conserver un historique des navigations, des protocoles utiliss, et mme de visualiser les pages visites. LES ANTIVIRUS Un antivirus dtecte les virus, les vers, les logiciels espions, qui s'immiscent subrepticement parmi les applications lgitimes des utilisateurs. Les antivirus sont des logiciels danalyse de contenu pour identifier des programmes malveillants (appels virus, vers, chevaux de Troie, etc.) et les neutraliser en supprimant les fichiers contamins ou en transportant dans une zone de quarantaine les fichiers supports, ou en radiquant ces virus et rparant les fichiers infects. Ces virus proviennent de lextrieur (du Web, dune cl USB, etc.), et circulent sur le rseau avec des proprits de duplication. Les antivirus scrutent les flux montant et descendant, les fichiers entrants, les courriers, etc., en temps rel ou bien analyse lensemble des dispositifs de stockage de lordinateur (disque fixe et amovible, mmoire, etc.) sur demande de lutilisateur. Les algorithmes des antivirus sont variables en efficacit : comparaison avec des virus connus (analyse de signature virale), heuristique danalyse de comportement, analyse morphologique (filtrage suivant des rgles). LES ANTISPAMS Les produits de type antispam rduisent la rception de pourriel et de messages non sollicits. Un antispam regarde le contenu des mails, des changes selon des heuristiques plus ou moins sophistiques : analyse par mot cls, analyse linguistique statistique, etc. LES PARE-FEU Les produits de type pare-feu permettent de prvenir la prise de contrle illgitime du poste par un tiers extrieur. Le pare-feu personnel permet de contrler laccs au rseau des applications installes sur la machine, et notamment empcher les attaques par des chevaux de Troie, programme intrusif pour une prise en main distance de la machine par un pirate. Un pare-feu analyse en temps rel le format des changes, c'est--dire inspecte la syntaxe et la signature comportementale des piles protocolaires (les paquets, les sessions, les ports, etc.). Les pare-feu sont des logiciels qui appliquent une politique de contrle daccs dans toutes les couches des piles protocolaires : les trames Ethernet, les paquets IP (en gnral, filtrage suivant les adresses source et destination), les ports de transport TCP ou UDP, les sessions, les protocoles applicatifs HTTP (pour la restriction des URL accessibles), FTP, SCP (transfert de fichiers), SMTP (pour lutter contre le pourriel), Telnet, SSH, etc. Un pare-feu inspecte le trafic entrant et sortant, et bloque ces flux, selon la politique de scurit en vigueur sur lordinateur. Les pare-feu installs sur les machines personnelles identifient et vrifient le programme qui est lorigine des donnes pour lutter contre les virus et les logiciels espions. Ils embarquent en gnral un serveur mandataire ( proxy ) pour analyser en profondeur certains contenus.
page 12
Spcifications fonctionnelles Hadopi - SFH LES SPECIFICITES DE SFH Une application conforme SFH doit emprunter des fonctionnalits aux diffrentes catgories de produits existants, dcrits ci-dessus. En effet, une application conforme est : Un pare-feu mais avec une reconnaissance plus fine des protocoles applicatifs observs.
Un contrle parental, sauf que ce n'est pas un titulaire de l'abonnement qui est responsable et qui profils pour rguler l'utilisation de lInternet dans ailleurs, une application SFH ne journalisera pas navigation.

parent mais un peut dfinir des son foyer. Par dhistorique de
Un antivirus car lapplication devra se protger contre les diffrentes attaques qui ne manqueront pas de surgir contre ellemme. Elle devra dtecter des logiciels de contournement, etc. Un antispam : tant quil ny a pas de DRM standard, ou de technologie didentification de signature standard et largement dveloppe, cette application nappartient pas cette catgorie.
En termes de culture informatique, une application conforme SFH se rapproche des pare-feu et des antivirus. En termes de prsentation et de gestion informatique, une application conforme SFH se rapproche du contrle parental. Une application conforme aux SFH sur l'ordinateur de linternaute doit tre une application compatible avec lexistant, qui cohabite avec les logiciels des suites de scurit, c'est--dire les pare-feu, les antispams, le contrle parental et les antivirus. Les moyens de scurisation sont compatibles avec la majorit des suites de scurit du march. Les moyens nempchent pas les logiciels lgitimes du march de fonctionner, et les moyens ne sont pas reconnus comme un malware par les antivirus du march.
page 13
Contrle parental Antispam
SFH Pare-feu Antivirus
Suite de Scurit
Figure 2 : Positionnement de SFH par rapport aux fonctions du contrle parental, du pare-feu, de lantivirus et de lantispam.
page 14
DIRECTIVES SUIVIES POUR LELABORATION DE CE PROJET Dans llaboration de ce document, il a t tenu compte des objectifs cls suivants : respect de la vie prive et responsabilisation du titulaire de labonnement (le moyen de scurisation est essentiellement une boite outils , dans laquelle le titulaire de labonnement dcide de tout, sous sa responsabilit). Le titulaire de laccs reste souverain de son informatique (logiciels et donnes associes) tout moment.

exigences de scurit ;
possibilit de suivi infalsifiable de la politique de scurit choisie par le titulaire de labonnement, ce suivi restant toujours matris par lui ; lapplication conforme SFH fournit au titulaire des arguments intrinsques (examen de lapplication dans son contexte a posteriori) ou extrinsques (examen des journaux lhistorique de lapplication) pour vrifier sa politique de scurit choisie et suivie ;
aucun moment le titulaire nest dessaisi de ses enregistrements des donnes dhistorique dutilisation du moyen de scurisation et il ny a pas denregistrement de la navigation dun internaute ; (ex : dsignation en clair des sites visits, noms de fichiers tlchargs) ;
intgration possible dans tout environnement (y compris le domaine du logiciel libre) ;

mise jour rgulire et obligatoire ;
tablissement dune politique de scurit gnrique, universelle, pour les particuliers et les organisations, avec possibilit de linstancier pour les diffrentes cibles (particuliers, entreprises, tablissements publics, associations, universits, hpitaux, htels, cybercaf, etc.), et capacit dimplmenter des solutions volutives avec le temps, de lajuster selon la taille de lcosystme numrique (de 1 personne des dizaines de milliers dutilisateurs). Cette politique de scurit sera adapte, ajuste et personnalise par le responsable de la scurit (le titulaire de labonnement, le responsable de ltablissement Responsable RH ou DSI ou RSSI), afin de rpondre de manire plus prcise au contexte local des diverses situations prsentes.
page 15
SPECIFICATION GENERALE
OBJECTIF La mise en uvre dune application conforme SFH devra permettre au titulaire dabonnement un FAI ou de tlphonie mobile : De scuriser sa navigation personnelle et la navigation sur Internet des utilisateurs quil a sous sa responsabilit, afin de rduire notablement les risques dutilisation de son accs Internet des fins de contrefaon ;
De disposer dun outil conforme des spcifications dfinies par lHadopi, dans le cas o le titulaire souhaite pouvoir faire tat des dispositions quil a prises pour scuriser son accs internet.
CARACTERISTIQUES GENERALES Linstallation de ce logiciel est facultative et la dcision dpend du titulaire de labonnement. Linstallation doit tre simple et pouvoir tre faite en quelques clics. Il en va de mme pour la dsinstallation qui doit tre effective 100% (aucun reste informatique aprs dsinstallation). Pour les sites avec un nombre rduit dutilisateurs, chaque copie de lapplication est personnalise et tout ou partie de lapplication doit tre installe sur chacun des ordinateurs utilisant la connexion du titulaire de labonnement internet. La personnalisation de la copie se fera par linsertion dun identifiant propre (driv dune cl publique) au titulaire du compte dans lexcutable mme linstallation (par tlchargement sur le rseau ou en version prinstalle lachat dun Netbook ou PC). Lapplication ne doit pas pouvoir tre usurpe ou remplace. En cas de tentative dusurpation, il doit tre possible de la dtecter, via la personnalisation de lapplication. Dans un contexte o il y a de nombreux utilisateurs (entreprises), lapplication est scurise par des mesures organisationnelles. Lapplication ne doit pas pouvoir tre contourne. En cas de tentative de contournement, le logiciel devra la dtecter.
CADRE TECHNIQUE La spcification repose sur les outils suivants : Les rseaux publics avec leurs piles protocolaires standardises (Ethernet, IP, TCP, UDP, HTTP, etc.) ; Systme dexploitation (Windows, Unix, Linux, etc.) ;
page 16
Spcifications fonctionnelles Hadopi - SFH Primitives cryptographiques (authentification, chiffrement, symtrique et asymtrique, signature lectronique, certificat) ; cryptographie
Infrastructure de Gestion de Cls publiques (IGC), ou PKI en anglais ; Serveur de temps pour lhorodatage ; Systme de base de donnes (pour larchivage des rpertoires des journaux).
INTRODUCTION DES MODULES Les spcifications fonctionnelles peuvent tre regroupes en 4 modules qui comprennent les quatre familles de fonctions principales. Les fonctions dadministration : installation, dsinstallation, mise jour, activation, dsactivation. Le module administration comprend des fonctions techniques (interface graphique personne-machine). Les fonctions dobservation des flux allant sur le rseau ou provenant du rseau (collecte des entits protocolaires, analyse de signatures protocolaires des informations syntaxiques) et les fonctions de dcision prises par linternaute sur les tlchargements. Ce module comprend des fonctions techniques (gestion des listes, analyse protocolaire, moteur de rgles de dcision). Les fonctions de production de journaux des vnements concernant lapplication (mise en marche, arrt, activation, dsactivation), des commandes dadministration des profils (cration de profil, modification) et des vnements caractrisant les dcisions de lutilisateur concernant les tlchargements. Ce module comprend des fonctions techniques (base de donnes, prsentation dcran). Il ne contient pas dhistorique de navigation. Les fonctions de scurit de lapplication (scurit du dispositif et de son contexte dutilisation, scurisation des journaux, scurisation de la liaison entre lapplication et les donnes produites). Ce module comprend aussi les fonctions de paramtrages de la scurit (dfinition de profil, dfinition de la politique de scurit par profil). Ce module comprend enfin des fonctions techniques (primitives cryptographiques). Lapplication sappuie, par ailleurs, sur les fonctions de scurit du systme informatique du titulaire : par exemple, les moyens de scurisation utilisent la scurisation classique de la connexion, cest--dire le protocole cryptographique WPA entre les ordinateurs et le boitier ADSL.
page 17
MODULE 1 : LE MODULE DADMINISTRATION
BUT FONCTIONNEMENT Lapplication conforme SFH comporte un module de gestion du cycle de vie et de gestion de la configuration gnrale, car lapplication est mise jour en temps rel, automatiquement via le rseau. Lorsque lapplication conforme SFH est un systme autonome (dans une entreprise), il est gr par le responsable de scurit. Lorsque lapplication conforme SFH est destine aux particuliers ou aux TPE, les mises jour sont automatiques, sous la responsabilit du titulaire.
ERGONOMIE Le dispositif (matriel et/ou logiciel) est un systme facile installer (et dsinstaller). Il est facile activer (et dsactiver) par ladministrateur. Le dispositif doit pouvoir tre mis jour de manire automatique. Lutilisation par les usagers (internautes, tlphonie mobile) ne demande pas de connaissances techniques, il est prpar de telle manire quaucune configuration ne soit ncessaire pour les options par dfaut. Pour certaines configurations dans les entreprises, le systme est transparent (rien nest install sur le poste des utilisateurs). Pour certaines configurations, le systme est embarqu dans les systmes de communication (modem, routeur, boitier ADSL). Dans ce cas, les prestataires autoriss effectuent les mises jour automatiquement. Lorsque les configurations sont dans les terminaux des utilisateurs, le systme doit pouvoir tre mis jour automatiquement, via le rseau, au dmarrage de lapplication et par la suite intervalles rguliers.
INTERFACE GRAPHIQUE Linterface graphique effectue la liaison entre lutilisateur et lapplication. Cette interface doit tre aussi discrte que possible lorsque la machine a un comportement normal sur le rseau. Mais quand la machine a un comportement risque, linterface doit le signaler clairement lutilisateur. Lutilisateur doit aussi pouvoir dun simple coup dil apprcier le niveau global correspondant au comportement de la machine. Lorsque lanalyse de haut niveau aboutit la dtection danomalies, linterface a les caractristiques suivantes : Semi invisibilit en temps normal (mais avec niveau global visible) ;
page 18
Spcifications fonctionnelles Hadopi - SFH Affichage visible des notifications de haut niveau ; Possibilit de mettre en veille lapplication (en quelques clics) ; Gestion des profils (en quelques clics pour les usagers du grand public, envoi dun message lectronique aux utilisateurs dans les entreprises).
CYCLE DE VIE DE LAPPLICATION INSTALLATION Il est ncessaire dtre administrateur pour installer le logiciel. Certains composants du logiciel seront signs lectroniquement. Linstallation sera automatique pour une configuration standard. Lintervention manuelle sera minimale pour utiliser des profils. linstallation, un couple de cls de cryptographie asymtrique est mis en place, la cl publique pour le titulaire, une cl prive, conserve par un tiers de confiance. FLEXIBILITE, EVOLUTIVITE DES SPECIFICATIONS Les spcifications devront voluer en fonction des diverses mesures qui ont t observes et prises sur le rseau : estimation du volume de tlchargement illgal, dtermination des protocoles les plus utiliss pour tlcharger. MISE A JOUR Lapplication, la manire du contrle parental, des systmes dexploitation et des logiciels antivirus sera mise jour en ligne, automatiquement, partir de sites (FAI, diteurs de logiciels, diteurs de scurit). Ces mises jour prendront en compte lvolution des listes (noires, grises, blanches), lmergence de nouveaux protocoles, de nouveaux logiciels de dtournements, de nouveaux comportements vis--vis du tlchargement illgal. Un certain nombre de composants de lapplication doivent rgulirement tre mis jour. Ces composants sont : Les listes noires, grises ou blanches : Il existe plusieurs sortes de listes, par exemple liste noire des sites web interdits par dcision de justice, la liste grise des applications suspectes, la liste grise des mots-cls suspects, la liste blanche de loffre lgale. Ces listes peuvent tre aussi relatives des ports TCP, dautres entits informatiques. Les dfinitions des rgles de scurit : Il est ncessaire que les dfinitions des rgles de scurit suivent les volutions produites dans le domaine du tlchargement illgal (nouveaux protocoles ou modifications des protocoles existants). La dfinition des notifications et alertes : Les notifications et alertes sont fortement lies aux rgles de scurit. Elles doivent tre mises jour en mme temps que celles-ci.
page 19
Spcifications fonctionnelles Hadopi - SFH Lapplication : Une mise jour de lapplication en entier sera ncessaire chaque nouvelle version de celle-ci. Une frquence de mise jour du logiciel raisonnable est de 6 mois. Les mises jour sont un problme crucial. Elles doivent tre scurises et le service de mise jour ne doit pas pouvoir tre victime dune attaque DDoS (dni de service distribu).
CONFORMITE DE LAPPLICATION Le logiciel doit tre conforme aux spcifications et la documentation. Il ne doit pas comporter de fonctionnalits supplmentaires, surtout en termes dchanges de donnes (pas de portes drobes, etc.).
PERFORMANCES DES APPLICATIONS Au domicile, une application conforme SFH permet de surveiller sur chacun des ordinateurs du foyer, les entres et sorties un dbit de 20 Mgabits par seconde (ADSL), voire 100 Mgabits/s (fibre optique). Une application de type SFH est un logiciel lger, capable de surveiller le trafic de plusieurs connexions Internet ; il est en mesure datteindre les performances ncessaires un trafic important.
page 20
MODULE 2 : LE MODULE DE TRAITEMENT
BUT FONCTIONNEMENT Le module de traitement comprend en fait deux sous-modules : un sous-module danalyse dynamique de flux de rseau et un sous-module danalyse statique de configurations. Le module de traitement utilise plusieurs sortes de triplets de listes : Les listes noires : entits interdites (par exemple, la liste des sites web interdits par dcision de justice) ;
Les listes grises : entits qui peuvent prsenter des risques en matire de contrefaon et qui ncessiteront une action de lutilisateur pour outrepasser la notification du risque ; par exemple la liste grise des applications suspectes, la liste grise de plages de ports ou dadresses qui rentrent en jeu dans certains protocoles ou certaines applications ;
Les listes blanches : entits autorises, par exemple la liste blanche de loffre lgale, la liste blanche de plages de ports ou dadresses.
Les listes sappliquent des entits informatiques : des sites (URLs), des ports de communications, des plages dadresses, des logiciels, etc. Les listes noires, grises et blanches dune entit sont disjointes. Un lment de lensemble (des URL, des ports, des adresses, des logiciels, etc.) peut nappartenir aucune de ces listes (les listes ne sont pas ncessairement une partition de lensemble). Tous les lments qui peuvent tre susceptibles dtre surveills ne sont pas forcment dans une liste. Les lments nappartenant aucune de ces listes sont traits logiquement et croiss avec dautres paramtres, conformment aux rgles. Le titulaire peut modifier ces listes. Ces modifications sont journalises. Lutilisateur peut modifier ces listes. Ces modifications sont journalises. Le titulaire est alert. LE MODULE DANALYSE DYNAMIQUE DE FLUX Le module danalyse dynamique de flux est le module de capture, dobservation, de dtection, danalyse du trafic et de dcision par lutilisateur de la suite donner son action, suite une notification de lapplication. Le but de ce module est dinspecter dynamiquement le contenu entrant et sortant du trafic sur les interfaces du rseau de la machine de lutilisateur. Ce module ralise en temps rel une analyse contextuelle et syntaxique des flux du contenu (sans analyser le contenu smantique des fichiers, dans la mesure o ne sont pas analyss ce jour les attributs de DRM ou les empreintes des contenus des
page 21
Spcifications fonctionnelles Hadopi - SFH fichiers lgaux). Il observe en temps rel et sans enregistrement les flux et protocoles qui transitent par laccs, il bloque, autorise ou prvient lutilisateur selon des critres qui incluent le type de flux ou protocoles, le protocole applicatif, les listes, les caractristiques de formats, les dbits, les volumes, les profils dutilisateurs, les plages horaires. Selon la politique de scurit, dtermine par le responsable, lutilisateur dtermine librement les risques et dcide de la suite poursuivre (passer outre ou arrt) moins que le responsable ait dcid darrter la connexion. Ce module a pour but didentifier de manire prcise les protocoles dapplications, par le biais danalyseurs des interactions entrante et sortante sur les interfaces du rseau par une analyse dtaille des signatures, des formats et de la syntaxe des protocoles de la couche applicative. Ce module gre dynamiquement les protocoles applicatifs et les couches sousjacentes du trafic de communication. Lanalyse protocolaire reconnat les signatures applicatives quel que soit le port utilis pour garantir une identification exhaustive, y compris pour les protocoles dynamiques. Des algorithmes de dtection performants garantissent une qualit de service auprs des utilisateurs finaux. Les actions possibles stendent sur toute la palette des protocoles de lInternet. Le module dtecte et contrle les protocoles rpertoris par lditeur du moyen de scurisation. Dans une organisation ou chez le particulier, ces actions, portant des accs et des contenus permettent de rguler lutilisation dinternet des utilisateurs autoriss conformment aux rgles tablies par le responsable de ltablissement ou le titulaire de labonnement. Lanalyse dynamique du rseau a pour rle danalyser les connexions rseau de lordinateur sur lequel est install le logiciel, de dtecter toutes connexions et le cas chant de gnrer une notification de bas niveau. Le moyen de scurisation prvoit par dfaut une liste non exhaustive des connexions surveiller. Il y aura deux types de dtection et danalyse des connexions suspectes : Analyse en temps rel : Certains protocoles sont identifiables par la signature de leurs paquets, une dtection en temps rel est alors possible. La notification de bas niveau est gnre ds les premiers changes de paquets sur la connexion suspecte. Analyse diffre : Certains protocoles (notamment les protocoles chiffrs) ne peuvent tre dtects qu la suite dune analyse statistique. La notification de bas niveau est, dans ce cas, gnre en diffr. La priode sparant la cration de la connexion suspecte et la gnration de lalerte doit tre aussi courte que possible. La dtection des connexions suspectes est base sur un ensemble de rgles de scurit. Ces rgles sont rgulirement mises jour de faon prendre en compte de nouveaux protocoles ou de nouveaux comportements dlictueux sur le rseau.
Il existe en 2010, environ 150 piles protocolaires utilises sur Internet : par exemple HTTP/TCP/IP est un exemple de pile protocolaire applicative pour consulter
page 22
Spcifications fonctionnelles Hadopi - SFH le Web, Bittorrent/TCP/IP est un exemple de pile protocolaire applicative pour tlcharger des fichiers avec une mthode dite de pair pair. LE MODULE DANALYSE STATIQUE DES CONFIGURATIONS Le module statique danalyse des configurations a pour rle danalyser la configuration de lordinateur sur lequel est installe lapplication, den dduire si cette configuration est risque ou non pour lutilisateur et le cas chant de gnrer une notification de bas niveau et de lui proposer des solutions pour rendre la configuration de son ordinateur compatible avec un usage responsable. Cette analyse doit prendre en considration (entre autres) : Les logiciels installs sur lordinateur. Ces logiciels doivent tre compars avec ceux des listes (noires, grises) des logiciels. En cas de dcouverte dune application suspecte, une notification de bas niveau est gnre au titulaire de labonnement. Cette analyse statique des logiciels est optionnelle. La configuration rseau de lordinateur. Lanalyse doit signaler toutes configurations rseau atypique (utilisation dun proxy douteux, connexion un rseau Wi-Fi non scuris, boot partir dun CD, etc.). En cas de dcouverte dune configuration atypique, une notification de bas niveau est gnre. La configuration du Boitier ADSL/Routeur. Si lutilisateur se connecte Internet par le biais dun Boitier ADSL ou dun routeur (et si ceux-ci permettent une introspection), lanalyse doit vrifier que la configuration du boitier ou du routeur ne facilite pas une ventuelle usurpation de ligne/identit sur internet (pas de scurisation WPA, SSID en clair, routeur avec aucun contrle sur les adresses MAC des appareils se connectant lui, etc.). En cas de dcouverte dune configuration fragile, une notification de bas niveau est gnre. Aprs analyse, lapplication conforme SFH doit conseiller et guider le titulaire dans sa scurisation (ex : choisir une cl WPA plus longue et plus alatoire, complter le contrle daccs par adresse physique), grce un tableau de bord de configuration de rseau, en tenant compte des architectures et des solutions possibles des divers FAI. Lapplication doit aussi conseiller et guider lusager pour les divers appareils qui ne sont pas des ordinateurs (lecteur DVD, Boitier multimdia, etc.) mais qui sont susceptibles de possder des fonctions de tlchargement avec une problmatique de contrefaon.
LE MOTEUR DANALYSE PROTOCOLAIRE Une application conforme SFH possde un moteur de rgles qui permet denchaner en squence les conditions qui sont imposes par la politique de scurit. Le moteur dispose de fonctionnalits multiples de dtection et didentification de piles protocolaires (ventuellement simultanes), de comptage en volume des flux (nombre doctets dun fichier, nombre doctets entrant et sortant, dbit en octets par seconde en entre et en sortie, etc.), de comptage en dure des flux (nombre de secondes ou de minutes de dure de vie dun protocole, etc.) qui lui permettent de filtrer les fichiers changs, bon escient, selon la granularit souhaite. Le moteur de rgles coupl lutilisation de profils selon le degr dge ou de maturit informatique des utilisateurs autorise une flexibilit dans le paramtrage des
page 23
Spcifications fonctionnelles Hadopi - SFH politiques de scurit : gestion selon des quotas en volume, en dure, selon des plages horaires, etc. DECOUPAGE EN DEUX NIVEAUX Une application conforme SFH comprend essentiellement un moteur intelligent danalyse et de dtection de piles protocolaires et de contrle de flux entrant et sortant, en analysant les caractristiques et les attributs des protocoles aux niveaux application, prsentation, session, transport, rseau des couches OSI, dans un poste terminal (ordinateur ouvert, et plus tard dans une version ultrieure, tlphone mobile). La SFH nexamine pas le contenu applicatif des changes. Lanalyse seffectue de manire passive, c'est--dire quelle ne modifie pas les contenus et les attributs du rseau que lapplication traite. Il est toutefois possible, selon la politique de scurit mise en vigueur par le titulaire de labonnement dadopter une attitude plus active et de mettre fin, par prcaution, certaines connexions pour lesquelles des applications seraient problmatiques ou suspectes. Lapplication opre en deux temps : LE MOTEUR DE BAS NIVEAU Dans un premier temps un moteur de bas niveau, lintrieur de lOS, capte la vole le trafic rseau et dcode syntaxiquement les diffrentes couches protocolaires de manire en extraire des caractristiques (motifs distinctifs, signature protocolaire). Cette tape fournit des lments et des vnements qui sont ensuite analyss, en temps rel, selon les rgles de la politique de scurit. Par exemple, lanalyse se fera par la comparaison des URLs des URLs dfinis dans une liste. LE MOTEUR DE HAUT NIVEAU Dans un second temps, un moteur de haut niveau, analyse en lger diffr (comme un serveur mandataire un proxy ), les lments et les vnements gnrs par le premier moteur, et agit selon des rgles de haut niveau dabstraction de la politique de scurit, prenant en compte le contexte. Lidentification des protocoles utiliss, des applications en cours de fonctionnement ou des URLs utiliss, est intressante, mais nest pas ncessairement lie la pile protocolaire. Les volumes des flux entrant et sortant sont des indicateurs prcieux qui permettent de dtecter la smantique de la pile protocolaire relle, en cours dexcution. Ces rgles sont des canevas danalyse qui prennent en compte le contexte statique (la configuration prsente de lordinateur) et le contexte dynamique (les flux entrant et sortant). Ces rgles seront, plus long terme, aprs le dploiement de la solution, mises jour au fil du temps. LANGAGE DE REGLES Une rgle de scurit se compose de : Une combinaison de notifications (bas et haut niveau) couples au contexte dans lequel ces notifications ont t gnres ;
page 24
Spcifications fonctionnelles Hadopi - SFH Une ou plusieurs actions qui permettent de corriger lanomalie pointe du doigt par la rgle ;
Une description pdagogique permettant tout utilisateur de comprendre lanomalie pointe du doigt par la rgle (et ce peu importe son niveau).
Ces rgles doivent tre crites dans une norme commune tous les fournisseurs des applications. Le format de ces rgles reste encore dfinir. Le langage est aussi dfinir. LA NATURE DES REGLES Les moyens de scurisation prviennent lutilisateur que les modes et les outils de communication utiliss (les URLs, les piles protocolaires, les ports, les adresses, etc.) sont potentiellement risque. Pour les rgles, il existe des indices de situation courante, de conduite ordinaire, et des indices de situation remarquable, spcifiques de conduites risque ou anormale. Cette distinction normale-anormale ne spare donc pas lacquisition ou la prsentation dun fichier lgal (tlchargement en P2P dune version de Linux, streaming sur France culture, etc.) de lacquisition ou la prsentation dun fichier illgal. Cette analyse distingue des conduites protocolaires spcifiques, dfinies sur des bases de critres quantitatifs, qui varient au cours de la session. Les rgles et les critres devront voluer avec les usages dans le temps, en fonction des pratiques sur Internet, et tre mis jour. Il sera ncessaire de mesurer limpact des rgles utilises dans les mois passs afin daffiner les rgles venir. Lanalyse anonyme statistique, sur les rseaux des oprateurs de tlcoms, des lments et des vnements permet en effet : De distinguer les piles protocolaires et les attributs spcifiques (apparition de nouveaux protocoles pour tlcharger, tlchargement de type P2P, tlchargement en ligne de type streaming, messagerie avec un attachement trs volumineux, etc.) et
De dcider dun ensemble de conduites risque, (dcrites en termes dvnements et de signatures) et danomalies (VPN chiffr vers des sites problmatiques, prsence de connexions de lutilisateur vers certains services, tentatives de connexions infructueuses, etc.).
LES NOTIFICATIONS ET ALERTES Il y a deux catgories de notifications, les notifications de bas niveau et les notifications de haut niveau. Les notifications de bas niveau sont gnres en cas de dtection dune anomalie dans le comportement de la machine (ou dans ses configurations ordinateur et botier/routeur). chaque anomalie doit correspondre une notification prcise. Ces notifications sont destines lanalyseur haut niveau de lapplication conforme.
Les notifications de haut niveau sont gnres par lanalyseur haut niveau de lapplication conforme. Elles sont destines tre vues
page 25
Spcifications fonctionnelles Hadopi - SFH en temps rel par les utilisateurs. Elles indiquent aux utilisateurs une anomalie importante et un moyen de corriger cette anomalie. Chaque notification dans son contexte doit tre inscrite dans le journal. Lanalyse de haut niveau consiste analyser les diffrentes notifications de bas niveau mises par la partie analyse de configurations et la partie analyse dynamique du rseau, et, en fonction de ces notifications de bas niveau et des rgles de scurit rgulirement mises jour, de gnrer une notification de haut niveau. Le but de cette notification de haut niveau est davertir lutilisateur de lanomalie, de lui proposer de modifier tel ou tel aspect du comportement de la machine ou de la configuration. Une fois averti, lutilisateur conserve le choix, de suivre le conseil propos par lanalyse de haut niveau ou lignorer. Dans les deux cas le choix de lutilisateur est inscrit dans le journal. Les actions proposes lutilisateur par lapplication conforme SFH peuvent tre de : bloquer certaines connexions, la communication rseau de certains programmes, toute une plage de ports, toute une plage dadresses IP ; bloquer toutes les connexions ; proposer des solutions de remplacement.
Cette numration nest pas exhaustive. Dans tous les cas, les actions doivent pouvoir tre appliques en quelques clics. Lapplication conforme doit automatiser toutes les procdures quil propose lutilisateur. Les actions proposes lutilisateur de modifier la configuration de lordinateur, de modifier la configuration du botier/routeur ou de dsinstaller certains programmes, sont ralises en dehors de lapplication conforme SFH. FLEXIBILITE ET MISE A JOUR DES REGLES DU MOTEUR DE HAUT NIVEAU Lapplication conforme utilise pour dcrire ces rgles un langage particulier (on prendra un langage standard) qui permet au logiciel dtre flexible (pour sa mise jour) afin de sadapter rapidement au contexte surveiller. Le moteur de haut niveau devra tre relativement standard entre les diverses solutions proposes par les diffrents acteurs de telle manire quun groupe de veille technique sur les pratiques sur le rseau puisse permettre dchanger rapidement et de diffuser les rgles nouvelles adopter.
page 26
MODULE 3 : LE MODULE DE JOURNALISATION
BUT FONCTIONNEMENT Le but de ce module est de produire des journaux dvnements qui retracent sur une priode denviron une anne, lhistorique de lactivit des diffrents utilisateurs de la ligne Internet. La journalisation consiste en la sauvegarde, chez le titulaire de labonnement (sur chacun des postes, par exemple) de toute lactivit rseau notable, des notifications gnres et des choix de rponse aux notifications de lutilisateur dans un journal. Les vnements seront enregistrs selon le format suivant : Date et Heure : type dvnement (description de lvnement, optionnelle). Ci-dessous se trouvent des exemples dvnements tels quils seront enregistrs dans le journal : Jeudi 20 Mai 2010 18 : 12 : 59 : Notification connexion Bittorrent lance Jeudi 20 Mai 2010 20 : 32 : 10 : Notification recherche avec mots-cls interdits lance Le premier exemple indique quune notification de haut niveau concernant la connexion un protocole sur liste grise a t gnre et signale lutilisateur le jeudi 20 mai 2010 18h12. Le second exemple indique quune notification de haut niveau concernant une recherche contenant les mots-cls interdits a t gnre et signale lutilisateur le jeudi 20 mai 2010 20h32. Un exemple de journal plus dtaill se trouve dans la Figure 3 : Exemple de journal. Les vnements inscrits mettre dans le journal sont les suivants : Mise en route/Arrt du logiciel : Lorsque ladministrateur dcide darrter lapplication conforme SFH, la date et lheure de larrt sont inscrites dans le journal. Il en va de mme pour la mise en marche de lapplication conforme SFH (voir Figure 3 : Exemple de journal, <1>) ; Mise en route/Fermeture de la connexion rseau : La connexion rseau peut dmarrer en diffr par rapport la mise en marche de lapplication conforme SFH. Une interface rseau peut aussi tre ajoute dynamiquement, ces vnements seront inscrits dans le journal (voir Figure 3 : Exemple de journal, <2>) ; Mise/Sortie de pause du logiciel : Ladministrateur peut temporairement dsactiver lapplication conforme SFH, et la ractiver ensuite. Ces vnements sont inscrits dans le journal (voir Figure 3 : Exemple de journal, <3>) ; Changement de profils : Le profil utilisateur courant est modifi en fonction de lutilisateur qui utilise la connexion Internet. Ces modifications sont enregistres dans le journal (voir Figure 3 : Exemple de journal, <4>) ;
page 27
Spcifications fonctionnelles Hadopi - SFH Notifications gnres (bas et haut niveau) : Les notifications gnres par les modules danalyse ou la gestion des profils sont enregistrs dans le journal (voir Figure 3 : Exemple de journal, <5>) ; Rponses aux notifications ou alertes par lutilisateur : la suite dune notification, lutilisateur doit prendre une dcision, suivre les conseils proposs avec la notification ou les ignorer. Ce choix et les actions qui dcoulent de ce choix (blocage ou non dune connexion, etc.) sont enregistrs dans le journal, (voir Figure 3 : Exemple de journal, <6>).
SECURITE DES JOURNAUX ENGENDRES Une application conforme SFH engendre des journaux dtaills, qui sauvegardent les diffrents vnements observs. Les traces doivent enregistrer les vnements comme les dmarrages, les mises jour, les actions de lutilisateur, les arrts, etc. La scurit de lapplication conforme repose donc essentiellement sur lexistence et lintgrit de ce journal pour la date incrimine. La fiabilit des journaux repose sur leur rsistance la falsification, qui doit tre au moins gale la rsistance du logiciel son propre contournement. Un journal (on parle de logs ou de traces, en informatique) pour chaque ordinateur est engendr selon un format standard (heure GMT, on utilise les standards de logs), ventuellement en utilisant le systme de gestion de lOS. Il existe deux sortes de journaux qui sont produits en temps rel dans deux bases de donnes distinctes : Un journal en clair que les utilisateurs et ladministrateur peuvent consulter. Un journal scuris. Ce journal est confidentiel, authentique et infalsifiable. Toute tentative de falsification ventuelle est dtectable. Pour des raisons de scurit, cette seconde version du journal est en mode binaire, compresse, signe lectroniquement, chiffre, et archive pendant une priode dau moins une anne. Ce journal sera accessible en clair la demande du titulaire de labonnement. Il permettra de vrifier, aprs dchiffrement avec la cl prive correspondant au logiciel, laquelle est dtenue par le tiers de confiance, la mise en uvre du logiciel de scurisation une date et heure donne, et lactivit informatique de linternaute concern. Ce journal permet de reflter, sans interfrence possible du titulaire de labonnement, les vnements de laccs Internet considr.
page 28
Exemple de Journal engendr Jeudi Mai 20 12 : 30 : 48 2010 : Mise en marche du logiciel <1> Jeudi Mai 20 12 : 30 : 49 2010 : Lance l'coute de l'interface : \Device\NPF_{A0160E28-0054-4824BB02-3658DA127EAB} 0 : c : 29 : f8 <2> Jeudi Mai 20 12 : 30 : 50 2010 : Rapport (Signale programme sur liste grise : aMule) <5> Jeudi Mai 20 12 : 30 : 50 2010 : Notification programme sur liste grise aMule lance <5> Jeudi Mai 20 12 : 30 : 50 2010 : Rapport (Signale programme sur liste grise : eMule) <5> Jeudi Mai 20 12 : 30 : 50 2010 : Notification programme sur liste grise eMule lance <5> Jeudi Mai 20 12 : 30 : 52 2010 : Continue malgr Notification : programme sur liste grise : eMule <6> Jeudi Mai 20 12 : 30 : 53 2010 : Continue malgr Notification : programme sur liste grise : aMule <6> Jeudi Mai 20 12 : 42 : 50 2010 : Changement de profil : Admin + 19h00-22h00 <4> Jeudi Mai 20 12 : 44 : 09 2010 : Rapport (Signale hors de la plage horaire : 19h00-22h00) <5> Jeudi Mai 20 12 : 44 : 09 2010 : Notification heure hors plage horaire lance <5> Jeudi Mai 20 12 : 44 : 57 2010 : Arrte aprs Notification : heure : hors plage horaire <6> Jeudi Mai 20 12 : 44 : 58 2010 : Bloque les connexions <6> Jeudi Mai 20 12 : 49 : 02 2010 : Changement de profil : Admin + 12h00-17h00 <4> Jeudi Mai 20 12 : 49 : 03 2010 : Dbloque les connexions <6> Jeudi Mai 20 13 : 29 : 28 2010 : Rapport (Signale site sur liste grise) <5> Jeudi Mai 20 13 : 29 : 28 2010 : Notification site sur liste grise lance <5> Jeudi Mai 20 13 : 29 : 28 2010 : Rapport (Signale site sur liste grise) <5> Jeudi Mai 20 13 : 29 : 29 2010 : Rapport (Signale site sur liste grise) <5> Jeudi Mai 20 13 : 29 : 30 2010 : Rapport (Signale site sur liste grise) <5> Jeudi Mai 20 14 : 12 : 56 2010 : Rapport (Signale connexion ed2k) <5> Jeudi Mai 20 14 : 12 : 59 2010 : Notification connexion ed2k lance <5> Jeudi Mai 20 14 : 13 : 03 2010 : Arrte aprs Notification : connexion ed2k <6> Jeudi Mai 20 14 : 13 : 03 2010 : Connexion bloque : ed2k <6> Jeudi Mai 20 14 : 32 : 27 2010 : Rapport (Signale connexion ed2k) <5> Jeudi Mai 20 14 : 32 : 28 2010 : Notification connexion ed2k lance <5> Jeudi Mai 20 14 : 13 : 03 2010 : Continue aprs Notification : connexion ed2k <6> Jeudi Mai 20 14 : 22 : 27 2010 : Rapport (Signale connexion ed2k) <5> Jeudi Mai 20 14 : 22 : 57 2010 : Rapport (Signale connexion ed2k<5> Jeudi Mai 20 14 : 23 : 27 2010 : Rapport (Signale connexion ed2k) <5> Jeudi Mai 20 14 : 23 : 57 2010 : Rapport (Signale connexion ed2k) <5> Jeudi Mai 20 14 : 24 : 27 2010 : Rapport (Signale connexion ed2k) <5> Jeudi Mai 20 14 : 24 : 57 2010 : Rapport (Signale connexion ed2k) <5> Jeudi Mai 20 14 : 25 : 27 2010 : Rapport (Signale connexion ed2k) <5> Jeudi Mai 20 14 : 25 : 32 2010 : Dsactivation du logiciel <3> Jeudi Mai 20 18 : 41 : 28 2010 : Ractivation du logiciel <3> Jeudi Mai 20 18 : 41 : 28 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00) <5> Jeudi Mai 20 18 : 41 : 29 2010 : Notification heure hors plage horaire lance <5> Jeudi Mai 20 18 : 41 : 29 2010 : Continue aprs Notification : heure : hors plage horaire <6> Jeudi Mai 20 18 : 41 : 19 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00) <5> Jeudi Mai 20 18 : 41 : 49 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00) <5> Jeudi Mai 20 18 : 42 : 19 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00) <5> Jeudi Mai 20 18 : 42 : 49 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00) <5> Jeudi Mai 20 18 : 43 : 19 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00) <5> Jeudi Mai 20 18 : 43 : 49 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00) <5> Jeudi Mai 20 18 : 44 : 12 2010 : Changement de profil : Admin + 12h00-22h00 <4> Jeudi Mai 20 18 : 46 : 36 2010 : Rapport (Signale streaming vido) <5> Jeudi Mai 20 18 : 46 : 37 2010 : Notification streaming vido lance <5> Jeudi Mai 20 18 : 46 : 40 2010 : Continue aprs Notification : streaming vido <6> Jeudi Mai 20 18 : 47 : 40 2010 : Rapport (Signale streaming vido) <5> Jeudi Mai 20 18 : 48 : 40 2010 : Rapport (Signale streaming vido) <5> Jeudi Mai 20 18 : 49 : 40 2010 : Rapport (Signale streaming vido) <5> Jeudi Mai 20 18 : 50 : 40 2010 : Rapport (Signale streaming vido) <5> Jeudi Mai 20 18 : 51 : 40 2010 : Rapport (Signale streaming vido) <5> Jeudi Mai 20 18 : 52 : 40 2010 : Rapport (Signale streaming vido) <5> Jeudi Mai 20 18 : 53 : 40 2010 : Rapport (Signale streaming vido) <5> Jeudi Mai 20 18 : 54 : 48 2010 : Mise en veille du logiciel <1>
Signification des tapes
Dtection des programmes sur Liste grise Plage horaire non respecte
Sites sur Liste grise
Connexion P2P
Pause Plage horaire, aprs Pause
Streaming
Figure 3 : Exemple de Journal
page 29
MODULE 4 : LE MODULE DE SECURITE
BUT FONCTIONNEMENT Le but du module de scurit est double. Il permet de protger lapplication, les entres et les sorties issues de lapplication et il permet de construire des politiques de scurit par utilisateur ou par groupe dutilisateurs. Il a premirement pour finalit de scuriser la ligne qui relie le poste de linternaute Internet et de protger lapplication et les rsultats de cette application. Lapplication doit tre disponible (viter les menaces de dnis de service) et intgre (viter les menaces daltration ou de falsification de lapplication). Il a deuximement pour but de dfinir les deux rles dadministrateur (ladministrateur est le titulaire de laccs ou son reprsentant) et dutilisateur de lapplication (ex : les employs dune entreprise, les membres du foyer dun domicile). Le contrle de la ligne permet au titulaire de labonnement Internet ou de tlphonie mobile, grce un dispositif ddi (matriel et/ou logiciel), de surveiller, de restreindre laccs aux utilisateurs sous sa responsabilit, Internet ou aux services rseaux, en le limitant certaines catgories daccs et en bloquant laccs certains sites ou services applicatifs de lInternet ou de la tlphonie mobile. Ce module permet de paramtrer laccs par des plages horaires (surveillance pendant les plages horaires, blocages en dehors de plages horaires), par des dures de type connexion (limites de 15 minutes de streaming), par des volumes de flux (entrant ou sortant) des ordinateurs ou de la ligne.
OBJECTIFS DE SECURITE Lapplication doit viser les objectifs de scurit suivants : INTEGRITE DU CONTEXTE DU POSTE ET DE LA LIGNE RESEAU QUI RELIE LORDINATEUR A INTERNET. Ces vnements se sont passs ici et dans ce contexte-l . Il faut, pour atteindre cet objectif, utiliser des fonctions didentification et dauthentification pour identifier les sujets (login, logiciel en excution, etc.) et les objets en situation (matriel, logiciel, donnes). Il faut mettre en uvre plusieurs fonctions de scurit, notamment lidentification de lapplication conforme SFH qui fonctionne dans un environnement identifi. Prcisment, il ne faut pas prendre trop de paramtres pour identifier le lieu, sinon les modifications de lidentification seront trop frquentes. Un tableau de bord de la configuration du rseau avec les connexions, les adresses physiques et logiques des quipements, avec les caractristiques des liaisons scurises doit, sur demande, conseiller et guider le titulaire pour assurer le confort de sa scurit.
page 30
Spcifications fonctionnelles Hadopi - SFH INTEGRITE ET DISPONIBILITE DE LAPPLICATION Le logiciel fonctionne correctement, il nest pas contourn, ni dtourn . On peut atteindre cet objectif notamment en identifiant chaque logiciel install par un certificat numrique fourni par une IGC (Infrastructure de gestion de cls). Un certificat (nom du logiciel avec sa version et sa date, coupl une cl publique) est distribu avec le logiciel. La cl publique permet de vrifier la signature lectronique du contenu excutable du logiciel. La cl publique est aussi utilise pour chiffrer les journaux. La cl prive, conserve par le tiers de confiance, permettra de dchiffrer les journaux engendrs par ce logiciel. Le tiers, digne de confiance, ne peut pas crer de leurres de journaux. Les listes sont scurises, en particulier, en termes dintgrit et dauthenticit. Le module dispose de fonctions avances journalisant, notifiant et alertant les contournements par les utilisateurs, au moyen de proxys anonymes ou autres accs intermdiaires sophistiqus. Les moyens de scurisation ne doivent pas affaiblir le niveau de scurit des systmes dexploitation, si une partie de lapplication conforme SFH est construite dans le noyau des systmes dexploitation. Les mises jour de lapplication sont scurises, en particulier la mise jour des rgles. La scurit des biens sensibles du logiciel repose aussi sur les meilleures pratiques en termes de scurisation du systme dexploitation sous-jacent SFH et sur labsence de vulnrabilits dans lapplication. CONFIDENTIALITE, AUTHENTICITE ET INTEGRITE DES JOURNAUX AVEC HORODATAGE DES EVENEMENTS Ces journaux sont confidentiels, authentiques, intgres, ont t engendrs par le logiciel donn, et les vnements se sont passs cette date-l . Il sera utilis un ensemble de primitives cryptographiques afin de garantir la confidentialit, lauthenticit, lintgrit et la justesse des journaux, et leur disponibilit lorsquun utilisateur les demandera, et de garantir la conformit et la disponibilit de lapplication qui aura engendr ces journaux. Les journaux sont intgres, signs lectroniquement, enregistrent la chronologie des vnements avec des dates et heures dignes de confiance (horodatage scuris des vnements) et enregistrent le lieu et le contexte des vnements (lieu informatique de lvnement, identification et authentification du contexte informatique - la machine, le logiciel et les journaux engendrs associs). La datation des traces sopre partir dune date et heure rcupre sur un serveur NTP (Network Time Protocol). Le serveur est scuris en redondance avec une bascule, afin dassurer une continuit de service, suite un dysfonctionnement. La connexion au serveur est scurise, par exemple, par SSH.
page 31
Spcifications fonctionnelles Hadopi - SFH Le chiffrement des journaux sopre avec de la cryptographie asymtrique, en utilisant la cl publique fournie, avec le logiciel, par un tiers de confiance. Afin de renforcer le respect de lintimit numrique du titulaire de labonnement, une application conforme SFH peut fournir au titulaire une fonction cryptographique complmentaire afin quil gre lui-mme la confidentialit de ses journaux (chiffrement double pour dchiffrement ncessitant la fois lintervention du tiers de confiance et du titulaire). Il faudra prvoir une application automatique supplmentaire ( proposer par les fournisseurs de solutions de moyens conformes SFH) disposition des titulaires afin de rcuprer des journaux en clair, certifis conforme, dchiffrs partir des secrets correspondant lapplication qui les a engendrs, afin de pouvoir les lire et les tudier.
RISQUES Lapplication SFH doit tre protge notamment contre les risques suivants : Lapplication ne fonctionne pas correctement et les journaux ne sont pas crits et archivs de manire rgulire.
Une personne exploite des failles dans la mise en vigueur de la politique de scurit, usurpe lidentit de lutilisateur autoris et tlcharge son insu.
Une personne exploite un dfaut de scurit dans lenvironnement, exploite une dfaillance du systme. Lenvironnement informatique nest pas scuris : par exemple le lien de rseau sans fil entre les ordinateurs du domicile et le boitier ADSL est vulnrable une intrusion ou bien un pirate sest gliss dans la communication autorise du titulaire, en brisant la scurit WEP du Wi-Fi.
Un utilisateur utilise normalement les moyens de scurisation sur un premier poste en tlchargeant lgalement des fichiers, et tlcharge simultanment et illgalement des fichiers sur un second poste sans moyen de scurisation, simulant ainsi la prsence dune machine pirate.
Lapplication est contourne ou dtourne de son fonctionnement normal par un utilisateur.

Un utilisateur fabrique des leurres de journaux.
Une personne dtruit des journaux ou fabrique des leurres de journaux, linsu du titulaire.
Dni de service sur les serveurs de mise jour et les serveurs de temps.
Lapplication conforme SFH doit contrecarrer ces menaces, grce la politique de scurit mise en vigueur qui comprend des mesures techniques et organisationnelles. Les journaux doivent consigner le strict ncessaire des lments
page 32
Spcifications fonctionnelles Hadopi - SFH pertinents et des vnements saillants de lapplication de la politique de scurit, lesquels tmoignent de la situation informatique hic et nunc.
POLITIQUE DE SECURITE POLITIQUE DE SECURITE DISCRETIONNAIRE Le titulaire est souverain numriquement ; il est responsable de son patrimoine numrique et du comportement numrique des machines des internautes qui dpendent de sa politique de scurit. La politique de scurit de SFH est une politique de scurit discrtionnaire, c'est--dire non obligatoire. Mme install, le titulaire de labonnement peut dsactiver le systme quand bon lui semble. Toutefois, le journal enregistrera le fait que le logiciel a t dsactiv. Lapplication doit tre scurise et digne de confiance : elle doit fonctionner correctement (intgrit et disponibilit). Le responsable (ou ladministrateur) est souverain de son patrimoine numrique et responsable de son comportement. Il doit donc connatre les consquences de ses choix en matire de politique de scurit. Il peut installer lapplication ou pas ; linstallation sera base sur le volontariat. Il peut la dsinstaller.
Il peut lactiver ou la dsactiver sur lun des ordinateurs ou sur tous les ordinateurs, sil le souhaite.
Le logiciel sinstallera, sous le contrle du titulaire de labonnement, par un tlchargement de manire automatique, par exemple via les FAI ou les diteurs de solutions de scurit. Et il sera mis jour automatiquement, galement sous son contrle. Lapplication doit tre identifie dans son environnement informatique, elle doit tre disponible, intgre, infalsifiable. Lapplication doit produire des journaux dvnements. Lapplication et les journaux associs sont lis de manire scurise. Ces journaux ont deux prsentations : L'une en clair que pourra consulter le titulaire de labonnement et lutilisateur.
Lautre prsentation sera en binaire, compresse, signe, chiffre et archive dans une base de donnes locale. Ces journaux seront confidentiels, authentiques, intgres, infalsifiables, lis de manire scurise lenvironnement sur lesquels ils ont t engendrs. Les vnements enregistrs, seront dats selon une heure juste.
ROLES DE CHACUN DANS LA POLITIQUE DE SECURITE Il existe deux rles principaux :
page 33
Spcifications fonctionnelles Hadopi - SFH Ladministrateur : cest la personne qui a accs aux fonctionnalits dadministration du produit ou du service. Il reprsente le titulaire de labonnement auprs du FAI. Cest le responsable de la politique de la scurit ou la personne qui le titulaire de labonnement a dlgu la responsabilit.
Lutilisateur : il sagit dun ou plusieurs utilisateurs autoriss utiliser laccs scuris au FAI via la ligne du titulaire de labonnement. Ce sont les employs dune entreprise ou dune institution, les clients dun htel ou dun cybercaf, qui ont demand un accs internet. Ces personnes ont sign une charte pour lutilisation dInternet. Ce sont les proches ou les membres de la famille du titulaire qui utilisent son accs Internet, sous sa responsabilit.
Il existe un autre rle ddi tiers de confiance : La tierce partie de confiance (ou son reprsentant) : cest la personne qui peut, grce un secret identifiant le moyen de scurisation du titulaire de labonnement dans son environnement informatique et les journaux correspondants, sur demande de ladministrateur, dchiffrer le journal dans sa prsentation scurise pour les intervalles de dates et de temps demands par le titulaire de laccs pour obtenir une copie conforme au journal scuris.
Le titulaire de labonnement est administrateur de la scurit. Il peut dlguer ce rle une personne de confiance. Ladministrateur peut tre alert par courriel, des divers avertissements de tous les postes sous sa responsabilit. Dans ce cas, ces courriels seront scuriss pour esquiver des pourriels intempestifs, par exemple, en utilisant une cryptographie de groupe pour les postes sous la responsabilit du titulaire. Une fois install sur les ordinateurs personnels qui sont reconnus par le botier ADSL, le titulaire de labonnement, administrateur de la politique de scurit, peut configurer la politique de scurit selon des profils dutilisateurs. PROFIL DUTILISATEURS DANS LE CADRE DE LA POLITIQUE DE SECURITE Ladministrateur peut crer ses propres profils selon son contexte particulier dutilisation. Pour les administrateurs confirms, le programme permet de crer des listes personnelles, additionnelles, des profils diffrents par utilisateur, selon des plages horaires, des volumes et dbits de trafic entrant et sortant, etc. Ces ajouts et modifications sont enregistrs dans le journal. Ladministrateur du systme (le titulaire de compte) peut dfinir diffrents profils utilisateurs. Ces profils sont associs un couple identifiant / mot de passe dont le niveau de scurit doit tre satisfaisant, et sont automatiquement slectionns lorsquun utilisateur ouvre une session sur lordinateur de ladministrateur. Les caractristiques dun profil sont, par exemple, les suivantes :
page 34
Spcifications fonctionnelles Hadopi - SFH 1. Plage horaire de fonctionnement pour les utilisateurs autres que ladministrateur : en dehors de cette plage de fonctionnement les connexions internet sont automatiquement bloques et une notification est gnre. Pour ladministrateur, en dehors de cette plage de fonctionnement, une notification est gnre, mais contrairement aux utilisateurs sans droit, il lui est alors propos de dbloquer les connexions malgr tout. 2. IP : pour chaque profil, il existe une liste noire dadresses IP interdites, une liste grise dadresses IP notifier, une liste blanche dadresses IP autorises. Toutes tentatives de connexions ces IP sur liste noire sont bloques et une notification est gnre. Toutes tentatives de connexions ces IP sur liste grise sont notifies lutilisateur et la rponse de lutilisateur est enregistre. 3. Ports : pour chaque profil, il existe une liste grise de ports. Toutes tentatives de connexions via ces ports sont notifies lutilisateur et la rponse de lutilisateur est enregistre. 4. Type de connexions : pour chaque profil, il existe une liste grise de protocoles ou de type de connexions (streaming, P2P, etc.). Toutes tentatives de connexions sont notifies et la rponse de lutilisateur est enregistre. 5. Applications : pour chaque profil, il existe une liste grise dapplications. Les tentatives pour lancer une application sont, ou bien avortes et une notification est enregistre, ou bien une notification est signale lutilisateur qui peut outrepasser lavertissement et la rponse est enregistre. Linterface de gestion des profils doit tre particulirement soigne et simple, de faon que ladministrateur puisse arriver configurer un ensemble de profils et ce quel que soit son niveau de connaissances en informatique. Un ensemble de profils de base doit tre propos avec lapplication. Ce catalogue de profils, est dfini selon lge (de type contrle parental), selon le degr de connaissance informatique des utilisateurs (expriment, novice) et selon le degr de risques souhaits par le responsable de labonnement : aucune prise de risque par filtrage de toutes les situations risque, prise de risque maximale sans notification, et enregistrement silencieux du journal. Ces profils peuvent tre par exemple : Le logiciel dtecte les catgories protocolaires et journalise les catgories incrimines, selon le contexte donn.
Le logiciel dtecte les catgories protocolaires, notifie lutilisateur et/ou alerte ladministrateur, et journalise les lments et les vnements incrimins.
Le logiciel dtecte les catgories protocolaires, notifie lutilisateur et alerte ladministrateur, excute une commande dfinie par ladministrateur, qui peut mettre fin une connexion, qui peut bloquer un ordinateur hte la vole, bloquer les trafics correspondants, et journalise larrt. Dans ce cas, le logiciel se comporte, non pas passivement, mais activement comme un filtre.
page 35
TABLE DES FIGURES

Figure 1 : Architecture informatique chez un particulier : entre internet et les ordinateurs du particulier, le botier de connexion ( box ) fourni par le FAI. La liaison seffectue par Wi-Fi ou par cble Ethernet. .................................................... 10 Figure 2 : Positionnement de SFH par rapport aux fonctions du contrle parental, du pare-feu, de lantivirus et de lantispam. .................................................................... 14 Figure 3 : Exemple de Journal .................................................................................. 29
page 36

Document Spécifications Fonctionnelles Hadopi - Août 2010

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Document Spécifications Fonctionnelles Hadopi - Août 2010

Transféré par

Droits d'auteur :

Formats disponibles

Consultation publique de la Haute Autorit pour la diffusion des uvres et la protection des droits sur internet

Projet de spcifications fonctionnelles des moyens de scurisation

Spcifications fonctionnelles Hadopi - SFH

Marie Franoise Marais Prsidente de la Haute Autorit

Spcifications fonctionnelles Hadopi - SFH

TABLE DES MATIERES

Spcifications fonctionnelles Hadopi - SFH

SYNTHESE DU PROJET DE SPECIFICATIONS FONCTIONNELLES

Spcifications fonctionnelles Hadopi - SFH

Spcifications fonctionnelles Hadopi - SFH

Des profils de navigation, selon les ges ou la maturit.

parent mais un peut dfinir des son foyer. Par dhistorique de

Spcifications fonctionnelles Hadopi - SFH

Contrle parental Antispam

SFH Pare-feu Antivirus

Spcifications fonctionnelles Hadopi - SFH

intgration possible dans tout environnement (y compris le domaine du logiciel libre) ;

mise jour rgulire et obligatoire ;

Spcifications fonctionnelles Hadopi - SFH

Spcifications fonctionnelles Hadopi - SFH

MODULE 1 : LE MODULE DADMINISTRATION

Spcifications fonctionnelles Hadopi - SFH

MODULE 2 : LE MODULE DE TRAITEMENT

Spcifications fonctionnelles Hadopi - SFH

MODULE 3 : LE MODULE DE JOURNALISATION

Spcifications fonctionnelles Hadopi - SFH

Signification des tapes

Sites sur Liste grise

Pause Plage horaire, aprs Pause

Figure 3 : Exemple de Journal

Spcifications fonctionnelles Hadopi - SFH

MODULE 4 : LE MODULE DE SECURITE

Lapplication est contourne ou dtourne de son fonctionnement normal par un utilisateur.

Un utilisateur fabrique des leurres de journaux.

ROLES DE CHACUN DANS LA POLITIQUE DE SECURITE Il existe deux rles principaux :

Spcifications fonctionnelles Hadopi - SFH

TABLE DES FIGURES

Vous aimerez peut-être aussi