CASTAFIOR : Détection automatique de tunnels illégitimes par analyse statistiqueFabien Allard,Mathieu Morel,Paul Gompel,Renaud Dubois

L'établissement de tunnels (HTTP, HTTPs ou apparentés) avec un serveur distant maîtrisé pour y faire passer des flux illégitimes est un des moyens les plus efficaces et les plus utilisés pour contourner la politique de sécurité d'un réseau. Les produits de sécurité actuels (pare-feux, serveurs mandataires, IDS…) sont généralement incapables de détecter ce genre de contournements. Une des solutions proposées dans la littérature consiste à utiliser des outils de classification statistiques pour identifier le protocole encapsulé dans un flux. Nous présentons ces techniques dans cet article et nous évaluons leur faisabilité à travers une preuve de concept. En particulier, un outil original permettant la détection des tunnels illégitimes à partir de quelques paramètres extraits des flux interceptés est décrit. Les résultats de manipulations expérimentales sur des bases de données réelles, présentés à la fin de cet article, montrent la viabilité des techniques utilisées. Un tel outil pourrait être mis en œuvre pour pallier les lacunes des IDPS et serveurs mandataires existants.