SSTIC 2010 - Mercredi matin : 4ème conf

CASTAFIORE

Détection automatique de tunnels illégitimes par analyse statistique par Fabien Allard et Mathieu Morel

C’est la présentation des résultats du stage de Mathieu au sein de Thales qui nous sont présentés.

Le problème avec les flux HTTPS, c’est qu’ils peuvent servir pour comme canal de fuite d’information. Les solutions envisageables à ce problème sont:

  • la cryptanalyse directe du flux (long et couteux)
  • le positionnement d’un composant en coupure du chiffrement
  • l’analyse statistique du flux

C’est cette dernière solution qui à été implémenté dans la preuve de concept CASTAFIOR
Chaque protocole présente une signature statistique (nombre de paquets, fréquence, taille des paquets) qui reste présente lorsqu’on l’observe le flux chiffré.

Je vous épargne les détails sur les méthodes statistiques employées malgré certains noms poétiques (ex : random forest, forêt d’arbres de décision statistique).

Lorsque la base d’apprentissage est large, les résultats sont concluants mais il reste toujours un petit % de faux positifs (inévitable lorsqu’on utilise des méthodes statistiques). L’apprentissage est rapide, la classification met moins de 2ms ce qui est nettement plus performant que l’utilisation d’un composant en coupure.

Le gros problème reste la base d’apprentissage fournie à l’outil.