FR3120268A1 - Procédé et dispositif de détection du caractère frauduleux d’un courriel. - Google Patents

Procédé et dispositif de détection du caractère frauduleux d’un courriel. Download PDF

Info

Publication number
FR3120268A1
FR3120268A1 FR2101887A FR2101887A FR3120268A1 FR 3120268 A1 FR3120268 A1 FR 3120268A1 FR 2101887 A FR2101887 A FR 2101887A FR 2101887 A FR2101887 A FR 2101887A FR 3120268 A1 FR3120268 A1 FR 3120268A1
Authority
FR
France
Prior art keywords
email
domain name
sender
response
processing step
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR2101887A
Other languages
English (en)
Other versions
FR3120268B1 (fr
Inventor
Bertrand Bouvet
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Priority to FR2101887A priority Critical patent/FR3120268B1/fr
Publication of FR3120268A1 publication Critical patent/FR3120268A1/fr
Application granted granted Critical
Publication of FR3120268B1 publication Critical patent/FR3120268B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

L'invention concerne procédé de détection du caractère frauduleux d’un courriel, ledit procédé étant mis en œuvre par un logiciel de courriels et caractérisé en ce qu’il comprend : une étape d’obtention d’au moins un nom de domaine contenu dans ledit courriel ;une étape de réception d’une réponse à l’émission d’une requête de type Whois, ladite requête comprenant au moins le nom de domaine de l’adresse de courriel de l’expéditeur dudit courriel, et une étape de test d’au moins un champ contenu dans ladite réponse ;une étape de notification en fonction du résultat de ladite au moins une étape de traitement. Figure pour l'abrégé : Figure 2

Description

Procédé et dispositif de détection du caractère frauduleux d’un courriel.
1. Domaine de l'invention
L'invention concerne le domaine des télécommunications et plus particulièrement le domaine des services de messagerie électronique.
2. Art Antérieur
Les technologies de communication connaissent une évolution très rapide ces dernières années. Les utilisateurs sont joignables à tout instant selon différentes modalités (messagerie instantanée, application dédiée, notification, etc.). Bien que ces nouveaux moyens de communication soient de plus en plus utilisés, le courriel reste le moyen de communication privilégié par les établissements commerciaux / institutionnels pour communiquer avec les clients/ usagés.
Outre la réception de courriels légitimes en provenance de ces établissements (courriels personnalisés, publicitaires, etc.), les utilisateurs peuvent recevoir des courriels frauduleux en provenance de cybercriminels (hameçonnage). Concrètement, un cybercriminel reproduit la charte graphique d’un établissement commercial / institutionnel au niveau de ses courriels dans le but de faire croire aux utilisateurs qu’ils se trouvent en présence d’un courriel officiel provenant de l’établissement commercial / institutionnel en question. Lors de la lecture du courriel, le destinataire est par exemple incité à sélectionner un lien (URL) qui redirige vers une page Internet gérée par le cybercriminel aux couleurs de l’établissement afin que le destinataire du courriel renseigne des informations confidentielles (identifiant / mot de passe, coordonnées bancaires, etc.). Ces informations sont alors récupérées par le cybercriminel à son profit (revente, utilisation, etc.). Le cybercriminel peut également inciter le destinataire du courriel à réaliser une action (téléchargement puis exécution d’un logiciel) qui va entrainer une faille de sécurité informatique. Celle-ci peut ensuite être exploitée par le cybercriminel afin d’accéder à des données sensibles du destinataire (fichiers, coordonnées bancaires, etc.) ou bien bloquer un ordinateur / système informatique en échange d’une rançon (« rançongiciel»).
Les fournisseurs d’accès à Internet essayent de répondre à ce problème en vérifiant la présence des liens (URL) du courriel dans une liste noire. Cependant, cette solution ne permet pas d’avoir un contrôle en temps réel. En effet, le cybercriminel peut créer de nouveaux noms de domaine et donc de nouvelles URL à tout moment qui seront alors absentes de la liste noire jusqu’à ce que celles-ci soient détectées comme frauduleuses puis ajoutées.
En corollaire, de peur d’être la cible de cybercriminels, les utilisateurs du service de courriels n’ouvrent finalement que peu de courriels et leur boite de réception se retrouve alors encombrée avec de nombreux courriels non ouverts. Cela se traduit par une consommation énergétique supplémentaire au niveau des serveurs informatiques du fournisseur du service de courriels et la difficulté pour les entreprises « sérieuses » qui utilisent des campagnes de communication par courriels pour se faire connaitre d’avoir des taux d’efficacité / retours significatifs.
Il existe donc un besoin pour limiter les attaques par hameçonnage mais aussi améliorer l’efficacité des compagnes de communication basées sur l’envoi de courriels.
3. Exposé de l'invention
L'invention vient améliorer l'état de la technique et propose à cet effet un procédé de détection du caractère frauduleux d’un courriel, ledit procédé étant mis en œuvre par un logiciel de courriels et caractérisé en ce qu’il comprend :
  • une étape d’obtention d’au moins un nom de domaine contenu dans ledit courriel ;
  • au moins une étape de traitement réalisé avec ledit au moins un nom de domaine ;
  • une étape de notification en fonction du résultat de ladite au moins une étape de traitement.
Avantageusement, selon l'invention, il n’est pas nécessaire au fournisseur du service de courriels du destinataire (généralement le fournisseur d’accès à Internet) de mettre en place une solution anti hameçonnage de type réseau au niveau de ses serveurs. Ainsi, le fournisseur du service de courriels économise en équipement, en énergie, en place au niveau de centre d’hébergement des serveurs et en coût homme/jour.
Le procédé permet, par exemple, lorsqu’un courriel est reçu, de déterminer si celui-ci est frauduleux ou non. Pour cela, le procédé récupère un nom de domaine contenu dans le courriel, par exemple dans l’adresse de courriel de l’émetteur du courriel et/ou dans des liens (URL) présents dans le corps du message, puis réalise un traitement sur la base du/des noms de domaines obtenus. Le résultat du traitement permet de déterminer si le courriel est frauduleux ou non et de notifier l’utilisateur du logiciel de courriels.
On entend par nom de domaine un identifiant de domaine Internet. Concrètement, chaque ordinateur connecté au réseau Internet possède une adresse IP (suite de caractères) permettant de l’identifier. Les adresses IP n’étant pas facile à manipuler au quotidien (abstraites) il a été décidé de faire correspondre à chaque adresse IP un nom différent : le nom de domaine. Cette correspondance est réalisée par le service DNS (Domain Name System). Un nom de domaine est composé d'un nom (composé d'un ensemble de caractères alphanumériques) et d'un suffixe (.com, .fr, .eu, .org…). Par exemple « thecompany.com ». A noter que sa structure est hiérarchique et permet la définition de sous-domaine(s). Par exemple : « support.thecompany.com » pour le sous domaine « support ».
On entend par logiciel de courriels, un logiciel qui permet d’agir sur un ou plusieurs courriels (recevoir, émettre / répondre, rédiger ou consulter un courriel). Ce logiciel peut par exemple et de manière non exhaustive prendre la forme d'un client de messagerie (par exemple exécuté sur un ordinateur ou un smartphone) ou la forme d’une application Internet « webmail » consultable via un navigateur Internet et permettant l'accès aux messages /courriels de l’utilisateur.
Selon un mode de mise en œuvre particulier de l'invention, un procédé tel que décrit ci-dessus est caractérisé en ce que ladite au moins une étape de traitement comprend une recherche dudit au moins un nom de domaine dans un espace de stockage numérique géré par ledit logiciel.
Ce mode de mise en œuvre de l'invention permet de vérifier que le ou les noms de domaine obtenus depuis le courriel sont par exemple déjà présents dans un espace mémoire certifié du logiciel de courriels de l’utilisateur (boite / répertoire de réception, boite / répertoire d’envoi, liste blanche, carnet d’adresses /contacts, liste des sites Internet consultés, etc.). Si c’est le cas, alors le procédé notifie l’utilisateur que le courriel est sûr.
Alternativement, ce mode de mise en œuvre de l'invention permet de vérifier que le ou les noms de domaine obtenus depuis le courriel sont par exemple déjà présents dans un espace mémoire non certifié du logiciel de courriels de l’utilisateur tel que le répertoire de courriels indésirables, une liste noire etc. Si c’est le cas, alors le procédé notifie l’utilisateur que le courriel n’est pas sûr.
On entend par espace mémoire certifié, une zone mémoire dont le contenu est sûr pour l’utilisateur.
On entend par espace mémoire non certifié, une zone mémoire dont le contenu n’est pas sûr pour l’utilisateur.
Selon un mode de mise en œuvre particulier de l'invention, un procédé tel que décrit ci-dessus est caractérisé en ce que ladite au moins une étape de traitement comprend une étape de comparaison entre ledit au moins un nom de domaine obtenu et le nom de domaine de l’adresse de courriel de l’expéditeur dudit courriel.
Ce mode de mise en œuvre de l'invention permet, par exemple, de vérifier que les liens (URL) présents dans le corps du courriel ont le même nom de domaine que celui présent dans l’adresse de courriel de l’émetteur et ainsi de s’assurer de la cohérence du courriel. En effet, si le courriel contient des liens avec des noms de domaine sans rapport avec celui de l’expéditeur, alors il est possible que ces liens renvoient vers des sites Internet frauduleux.
Selon un mode de mise en œuvre particulier de l'invention, un procédé tel que décrit ci-dessus est caractérisé en ce que ladite au moins une étape de traitement comprend la réception d’au moins deux réponses, chaque réponse étant obtenue en retour d’une requête de type Whois, lesdites requêtes comprenant au moins un nom de domaine obtenu, et une étape de comparaison des champs registraire (Registrar) et/ou nom de registrant (Registrant Name) et/ou organisation du registrant (Registrant Organization) compris dans lesdites réponses.
Ce mode de mise en œuvre de l'invention permet par exemple de vérifier que les noms de domaine présents dans le courriel appartiennent au même propriétaire et/ou ont été attribués par le même registraire de nom de domaine.
On rappelle que le protocole Whois est un protocole connu de l’état de l’art et est standardisé par l’IETF (RFC 3912). Ce protocole est un service de recherche permettant d'obtenir des informations associées à une adresse IP ou un nom de domaine (RFC 7485).
Selon un mode de mise en œuvre particulier de l'invention, un procédé tel que décrit ci-dessus est caractérisé en ce que ladite au moins une étape de traitement comprend la réception d’une réponse à l’émission d’une requête de type Whois, ladite requête comprenant au moins le nom de domaine de l’adresse de courriel de l’expéditeur dudit courriel, et une étape de test du champ date de création (Creation Date) contenue dans ladite réponse.
Ce mode de mise en œuvre de l'invention permet de vérifier la date de création du nom de domaine de l’adresse de courriel de l’expéditeur via une requête Whois. En effet, si la date est très récente, alors il est possible que l’adresse de courriel utilisée par l’émetteur soit une adresse d’hameçonnage créée pour l’occasion. Ainsi, plus la date d’enregistrement initiale du nom de domaine est ancienne et plus l’adresse de courriel peut être considérée comme de confiance.
Selon un mode de mise en œuvre particulier de l'invention, un procédé tel que décrit ci-dessus est caractérisé en ce que ladite au moins une étape de traitement comprend la réception d’une réponse à l’émission d’une requête de type Whois, ladite requête comprenant au moins le nom de domaine de l’adresse de courriel de l’expéditeur dudit courriel, et une étape de test du champ date de mise à jour (Updated Date) contenue dans ladite réponse.
Ce mode de mise en œuvre de l'invention permet d’obtenir la date de la dernière mise à jour des informations associées au nom de domaine de l’adresse de courriel de l’expéditeur via une requête Whois. En effet, si les informations concernant le nom de domaine n’ont jamais été mises à jour depuis la date de création initiale du nom de domaine, alors il est possible que l’adresse de courriel utilisée par l’émetteur soit une adresse d’hameçonnage créée pour l’occasion. En effet, lorsqu’un cybercriminel souhaite procéder à une campagne d’hameçonnage, celui-ci crée en général un nom de domaine pour un temps réduit. Ainsi, le nom de domaine est créé pour une durée initiale et n’est plus jamais remis à jour de sorte à limiter, pour les cybercriminels, les coûts de renouvellement du nom de domaine. En outre les cybercriminels préfèrent changer régulièrement de registraire et/ou de nom de domaine afin de complexifier le travail des enquêteurs en cas de plainte.
Selon un mode de mise en œuvre particulier de l'invention, un procédé tel que décrit ci-dessus est caractérisé en ce que ladite au moins une étape de traitement comprend la réception d’une réponse à l’émission d’une requête de type Whois, ladite requête comprenant au moins le nom de domaine de l’adresse de courriel de l’expéditeur dudit courriel, et une étape de test d’au moins un champ concernant le registraire contenu dans ladite réponse.
Ce mode de mise en œuvre de l'invention permet de vérifier les données associées au registraire du nom de domaine de l’adresse de courriel de l’expéditeur du courriel tels que son nom, sa localisation, ses coordonnées afin de s’assurer de son sérieux. En effet, un registraire connu et localisé dans le même pays que le destinataire du courriel sera considéré comme plus sûr qu’un registraire inconnu localisé dans un pays étranger.
Selon un mode de mise en œuvre particulier de l'invention, un procédé tel que décrit ci-dessus est caractérisé en ce que ladite au moins une étape de traitement comprend la réception d’une réponse à l’émission d’une requête de type Whois, ladite requête comprenant au moins le nom de domaine de l’adresse de courriel de l’expéditeur dudit courriel, et une étape de test d’au moins un champ concernant le registrant contenu dans ladite réponse.
Ce mode de mise en œuvre de l'invention permet de vérifier le nom du propriétaire du nom de domaine et ainsi de s’assurer, via une comparaison, que le nom de domaine de l’adresse de courriel de l’expéditeur du courriel est cohérent avec le nom déclaré pour le registrant (par exemple la même société). Ce mode de réalisation permet en outre de vérifier qu’un grand nombre de champs concernant le registrant sont bien renseignés tels que les coordonnées du registrant (adresse de courriel, numéro de téléphone, etc.). Ainsi, plus il y a d’informations concernant le registrant et plus le courriel peut être considéré comme sûr.
Selon un mode de mise en œuvre particulier de l'invention, un procédé tel que décrit ci-dessus est caractérisé en ce que ladite au moins une étape de traitement comprend une étape de vérification que la donnée DISPLAY du champ FROM dudit courriel comprend ledit au moins un nom de domaine obtenu.
Ce mode de mise en œuvre de l'invention permet de vérifier que l’information DISPLAY est bien cohérente avec le nom de domaine de l’adresse de courriel de l’expéditeur du courriel. Par exemple si l’adresse de courriel de l’expéditeur du courriel est bob.smith@thecompany.com et que l’information DISPLAY contient thecompany, alors ce que voit le destinataire du courriel, c’est-à-dire (« thecompany ») est bien cohérent avec le nom de domaine de l’adresse de courriel de l’expéditeur. Ainsi le courriel peut être considéré comme sûr. Dans le cas contraire, il y a une suspicion d’usurpation d’identité, l’expéditeur pouvant par exemple utiliser l’information DISPLAY pour se faire passer pour une autre entreprise. Alternativement, le procédé peut vérifier que la donnée DISPLAY correspond à une partie du nom de domaine. Par exemple « company » qui est la partie la plus significative. Ce mode de mise en œuvre est adapté aux noms de domaine constitués de plusieurs mots accolés.
Selon un mode de mise en œuvre particulier de l'invention, un procédé tel que décrit ci-dessus est caractérisé en ce que l’étape de traitement est suivie d’une étape de test du format d’une pièce jointe présente dans ledit courriel et en ce que l’étape de notification est fonction du résultat dudit test.
Ce mode de mise en œuvre de l'invention permet de vérifier que l’extension d’une pièce jointe du courriel n’est pas une extension à risque (cheval de Troie).
Selon un mode de mise en œuvre particulier de l'invention, un procédé tel que décrit ci-dessus est caractérisé en ce que l’étape de notification est suivie d’une étape d’ajout du nom de domaine de l’adresse de courriel de l’expéditeur dudit courriel à une liste noire ou à une liste blanche.
Ce mode de mise en œuvre de l'invention permet de mémoriser les noms de domaine considérés comme malveillant dans une liste noire de sorte à ne pas refaire certains tests lors de la réception d’un prochain courriel utilisant le même nom de domaine.
Ce mode de mise en œuvre de l'invention permet de mémoriser les noms de domaine considérés comme sûrs dans une liste blanche de sorte à ne pas refaire certains tests lors de la réception d’un prochain courriel utilisant le même nom de domaine.
L'invention concerne également un dispositif de détection du caractère frauduleux d’un courriel, ledit dispositif étant caractérisé en ce qu’il comprend :
  • un module d’obtention d’au moins un nom de domaine contenu dans ledit courriel ;
  • au moins un module de traitement réalisé avec ledit au moins un nom de domaine ;
  • un module de notification en fonction du résultat de ladite au moins une étape de traitement.
Le terme module peut correspondre aussi bien à un composant logiciel qu’à un composant matériel ou un ensemble de composants matériels et logiciels, un composant logiciel correspondant lui-même à un ou plusieurs programmes ou sous-programmes d’ordinateur ou de manière plus générale à tout élément d’un programme apte à mettre en œuvre une fonction ou un ensemble de fonctions telles que décrites pour les modules concernés. De la même manière, un composant matériel correspond à tout élément d’un ensemble matériel (ou hardware) apte à mettre en œuvre une fonction ou un ensemble de fonctions pour le module concerné (circuit intégré, carte à puce, carte à mémoire, etc.).
L'invention concerne également un programme d'ordinateur comportant des instructions pour la mise en œuvre du procédé ci-dessus selon l'un quelconque des modes particuliers de réalisation décrits précédemment, lorsque ledit programme est exécuté par un processeur. Le procédé peut être mis en œuvre de diverses manières, notamment sous forme câblée ou sous forme logicielle. Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable.
L'invention vise aussi un support d'enregistrement ou support d'informations lisible par un ordinateur, et comportant des instructions d'un programme d'ordinateur tel que mentionné ci-dessus. Les supports d'enregistrement mentionnés ci-avant peuvent être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple un disque dur. D'autre part, les supports d'enregistrement peuvent correspondre à un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Les programmes selon l'invention peuvent être en particulier téléchargés sur un réseau de type Internet.
Alternativement, les supports d'enregistrement peuvent correspondre à un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.
Ce dispositif de détection et ce programme d'ordinateur présentent des caractéristiques et avantages analogues à ceux décrits précédemment en relation avec le procédé de détection.
4. Liste des figures
D’autres caractéristiques et avantages de l’invention apparaîtront plus clairement à la lecture de la description suivante de modes de réalisation particuliers, donnés à titre de simples exemples illustratifs et non limitatifs, et des dessins annexés, parmi lesquels :
La présente un exemple d’architecture matérielle d’un dispositif de détection mettant en œuvre l’invention selon un mode particulier de réalisation.
La présente sous forme d’organigramme les principales étapes d’un procédé de détection selon un mode particulier de réalisation.
5. Description d'un mode de réalisation de l'invention
La représente une architecture matérielle d’un dispositif D de détection conforme à l’invention. Dans le mode de réalisation décrit ici, ce dispositif a l’architecture matérielle d’un ordinateur. Il comprend notamment un processeur PROC, une mémoire vive MV, une mémoire morte MEM et une mémoire flash non volatile MF. De tels moyens sont connus en soi et ne sont pas décrits plus en détail ici. La mémoire morte constitue un support d’enregistrement conforme à l’invention, lisible par le processeur PROC et sur lequel est enregistré ici un programme d’ordinateur PG conforme à l’invention, ce programme comportant des instructions pour mettre en œuvre les étapes du procédé de détection tel que décrit précédemment, lorsque le programme est exécuté par le processeur PROC.
A l'initialisation, les instructions de code du programme d'ordinateur PG sont par exemple chargées dans une mémoire avant d'être exécutées par le processeur PROC. Le processeur PROC de l'unité de traitement UT met notamment en œuvre les étapes du procédé de fourniture selon l'un quelconque des modes particuliers de réalisation décrits en relation avec la , selon les instructions du programme d'ordinateur PG.
Le dispositif D comprend également un module d’obtention (OBT) apte à obtenir au moins un nom de domaine contenu dans un courriel. Le dispositif D comprend également un module de traitement (TREAT) apte à réaliser un traitement avec le ou les noms de domaine obtenus via le module OBT. Le dispositif D comprend en outre un module de notification (NOTIF) apte à notifier un utilisateur.
Selon un mode particulier de réalisation de l'invention, le dispositif D peut aussi comprendre un module de comparaison (non représenté) apte à comparer entre eux des noms de domaines obtenus via le module OBT. Ce module peut également permettre de comparer un champ de données contenu dans une réponse à une requête Whois avec un champ de données compris dans une autre réponse à une requête Whois.
Selon un mode particulier de réalisation de l'invention, le dispositif D peut comprendre aussi un module de recherche (non représenté) apte à rechercher un nom de domaine obtenu via le module OBT dans un espace de stockage numérique.
Selon un mode particulier de réalisation de l'invention, le dispositif D peut comprendre aussi un module de test (non représenté) apte à tester qu’une donnée contenue dans une réponse à une requête Whois n’est pas nulle (Registrar, Registrant Name, Registrant Organization, Creation Date, Updated Date, etc.). Ce module de test peut également tester la valeur de la donnée et la comparer avec une valeur de référence.
Selon un mode particulier de réalisation de l'invention, le dispositif D peut comprendre aussi un module de génération de chaînes de caractères (non représenté) apte à générer un ou plusieurs noms de domaines proches du nom de domaine obtenu via le module OBT.
La illustre des étapes du procédé de détection selon un mode particulier de réalisation de l'invention.
Le procédé de détection est mis en œuvre par un logiciel de courriels et est exécuté au niveau d’un dispositif de détection tel qu’un ordinateur, un serveur, un terminal mobile (par exemple un smartphone), un décodeur TV, une console de jeux, une télévision, ou tout appareil apte à exécuter un logiciel de courriels.
Selon un mode particulier de réalisation de l'invention, le logiciel de courriels peut être utilisé à distance, par exemple via un navigateur Internet, ou localement lorsque celui-ci est exécuté, par exemple, sur un ordinateur personnel.
Au cours de l’étape 200 le logiciel de courriels reçoit un nouveau courriel. De manière connue (RFC 5322), un courriel comprend un en-tête et un corps (contenu du message). L’en-tête comporte des informations telles que :
  • l’adresse de courriel de l’expéditeur du message. Cette adresse respecte un format particulier de type userpart@domain. Le paramètre « userpart » correspond à l’identifiant d’une boite de courriels pour le nom de domaine « domain ». Le plus souvent le paramètre « userpart » est constitué comme ceci « prénom.nom » ;
  • une information DISPLAY qui peut être vide ou contenir n’importe quel contenu sans formatage précis. A noter que, selon le logiciel de courriels du destinataire du courriel, cette information peut être affichée en lieu et place de l’adresse de courriel de l’expéditeur. Dans certains cas les deux informations sont visibles du destinataire.
Chaque ligne d’un en-tête commence par un mot-clé (From, To, Cc,…) suivi de deux points puis d’un contenu. Par exemple, la ligne comprenant le champ « From » qui détermine l’expéditeur du courriel peut avoir ce format :
  • From : « DISPLAY » < userpart@domain >
L’en-tête du courriel peut également comprendre des informations / lignes « received » qui contiennent des informations concernant la traçabilité des courriels. Ces lignes sont générées par les serveurs de messagerie qui se chargent de la transmission des messages. Ainsi, grâce à ces informations il est possible de connaitre l’adresse du serveur de messagerie impliqué dans l’envoi du courriel.
Lors de l’étape 200 le procédé de détection récupère le ou les noms de domaine contenus dans le courriel reçu, selon ce mode de réalisation. Ces noms de domaines peuvent être le nom de domaine de l’adresse de courriel de l’expéditeur, un nom de domaine contenu dans un lien (URL), ou bien plus généralement n’importe quel nom de domaine présent soit dans l’en-tête soit dans le corps du courriel.
A l’étape 201, le procédé de détection réalise un traitement sur au moins un nom de domaine obtenu lors de l’étrape 200. Le procédé peut par exemple vérifier que le nom de domaine de l’adresse de courriel de l’expéditeur est déjà présent dans un répertoire dit « certifié » (c’est-à-dire de confiance) du logiciel de courriels (boite d’émission, carnet d’adresses et/ou de contacts, liste blanche). Le procédé peut également vérifier que le nom de domaine de l’adresse de courriel de l’expéditeur est déjà présent dans un répertoire non certifié du logiciel de courriels tel que le répertoire de courriels indésirables ou une liste noire. A noter que le procédé peut également consulter des répertoires d’autres comptes de courriels gérés par le logiciel de courriels. Par exemple, si le logiciel de courriels gère trois comptes de courriels (A, B, C), chaque compte appartenant à un membre différent d’une même famille, alors le procédé pourra rechercher un nom de domaine contenu dans le courriel émis sur le compte A, dans les répertoires certifiés et non certifiés des comptes B et C afin de déterminer si le nom de domaine, et par conséquent le courriel, est de confiance. A noter que les noms de domaine certifiés peuvent également être obtenus dans la liste des URL consultées/mémorisées par l’utilisateur, par exemple si le logiciel de courriels est de type « webmail » c’est-à-dire une messagerie consultable via un navigateur Internet.
A l’étape 202, le procédé de détection notifie l’utilisateur du logiciel de courriels que le courriel reçu est sûr ou non. Cette notification peut se faire de plusieurs manières. Le contenu du courriel (corps du message et/ou pièce(s) jointe(s)) peut être supprimé / désactivé puis remplacé par un message d’information à l’attention de l’utilisateur. La notification peut également se faire via une icône présente au niveau de l’aperçu du courriel ou au niveau du courriel lui-même lors de sa visualisation. L’icône est par exemple une marque rouge pour indiquer que le courriel n’est pas sûr ou verte pour indiquer le contraire. La notification peut également se faire via une boite de dialogue ou une infobulle. La notification peut en outre contenir une notation / pourcentage indiquant la probabilité du risque. Par exemple, un courriel dont la notation est de 4 sur 5 (80%) signifie qu’il y a un fort risque d’hameçonnage. A l’inverse, un courriel dont la notation est de 1 sur 5 signifie que le risque d’hameçonnage est faible. Concrètement, pour établir la note / pourcentage, le procédé va se baser sur l’ensemble des résultats des traitements réalisés lors de l’étape 201. Le procédé peut également déplacer le courriel dont l’indice de confiance est faible (probabilité forte d’hameçonnage) vers un répertoire spécifique.
Alternativement ou cumulativement, l’étape 201 peut comprendre une étape de comparaison du nom de domaine de l’adresse de courriel de l’expéditeur avec les noms de domaine des liens (URL) présents dans le corps du courriel. Lorsque les noms de domaine sont identiques alors le courriel peut être présumé sûr. Par exemple lorsqu’un lien / URL contient le sous-domaine « support.thecompany.com » et que l’adresse de l’expéditeur du courriel contient le nom de domaine « thecompany.com », le courriel peut être présumé sûr car les noms de domaine sont identiques « thecompany.com ». En effet, ce mode particulier de réalisation permet de s’assurer que l’utilisateur ne sera pas redirigé vers un service Internet frauduleux qui ne serait pas en lien avec l’expéditeur (cas lorsque le courriel provient d’une adresse de courriel piratée). A noter que cette étape de comparaison peut être conditionnée au résultat d’un ou plusieurs traitements réalisés lors de l’étape 201 comme par exemple la présence ou non du nom de domaine de l’adresse de courriel de l’expéditeur dans un répertoire certifié du logiciel de courriels.
Alternativement ou cumulativement, l’étape 201 peut comprendre l’émission d’une ou de plusieurs requêtes de type Whois comprenant un nom de domaine contenu dans le courriel. Les réponses aux requêtes Whois sont ensuite analysées sur la base de critères prédéfinis avec par exemple un mécanisme de pondération pour chacun des critères pris en compte. Concrètement, une réponse à une requête Whois, comprend plusieurs champs comme le « Registrar », le « Registrant Name », le « Registrant Organization », le « Creation Date », l’« Updated Date », etc. Ainsi, lorsque le procédé émet une requête Whois comprenant le nom domaine de l’adresse de courriel de l’expéditeur, alors les informations contenues dans la réponse permettent de s’assurer du sérieux de l’expéditeur. Par exemple, plus la date d’enregistrement initiale du nom de domaine (« Creation Date ») est ancienne et plus le niveau de confiance dans le courriel est élevé (probabilité d’un courriel d’hameçonnage faible). En effet, cela signifie que le nom de domaine n’a pas été créé récemment dans le but de réaliser une compagne d’hameçonnage. De même, la date d’expiration / renouvellement (« Updated Date ») de la réponse permet là aussi d’affiner le niveau de confiance attribué au courriel. Plus la durée est longue et plus le niveau de confiance est élevé. Ce champ permet de vérifier que le nom de domaine n’a pas été créé pour un temps limité en relation avec une campagne d’hameçonnage qui a le plus souvent une durée faible. C’est notamment dû au fait que les cybercriminels limitent les coûts associés (coûts de réservation du nom de domaine pour une durée donnée) au strict minimum pour leur campagne d’hameçonnage. Le procédé de détection peut également se baser sur les champs du registraire de noms de domaine (nom du registraire, localisation, classification en fonction du volume de noms de domaine pris en charge, aptitude du registraire à exiger et à renseigner des informations certifiées lors de la demande de création d’un nom de domaine par son registrant, etc.). Ainsi, la réputation et la localisation du registraire peut permettre d’affiner un peu plus le niveau / indice de confiance attribué au courriel. Les informations liées au registrant (propriétaire du nom de domaine) peuvent également aider à affiner le niveau/indice de confiance du courriel. Le procédé de détection peut par exemple vérifier que le nom et/ou les coordonnées du propriétaire du nom de domaine sont présents dans une liste blanche ou noire. De manière générale, le procédé peut juste s’assurer que tous les champs de la réponse ou une grande proportion d’entre eux (par exemple 75%) sont remplis. En effet, un cybercriminel qui déclare un nom de domaine pour une campagne d’hameçonnage ne remplit que très peu d’informations en particulier pour éviter de se faire démasquer. Le procédé peut en outre comparer plusieurs réponses Whois entre elles. Par exemple, dans le cas où le nom de domaine de l’adresse de courriel de l’expéditeur est différent de celui d’un lien (URL) présent dans le corps du courriel, alors le procédé peut vérifier que le registrant est le même pour les deux noms de domaine. Cela permet d’augmenter le niveau de confiance du courriel en évacuant le cas dans lequel la boite de courriels de l’expéditeur a été piratée. A noter que ces étapes de traitement des réponses à des requêtes Whois peuvent être conditionnées au résultat d’un ou plusieurs traitements réalisés lors de l’étape 201 comme par exemple la présence ou non du nom de domaine de l’adresse de courriel de l’expéditeur dans un répertoire certifié du logiciel de courriels et/ou la comparaison du nom de domaine de l’adresse de courriel de l’expéditeur avec les noms de domaine des liens (URL) présents dans le corps du courriel.
Alternativement ou cumulativement, l’étape 201 peut comprendre une étape de comparaison d’une donnée contenue dans une des lignes « received » du courriel reçu avec une donnée reçue d’une réponse à une requête Whois. Ce mode de réalisation permet, par exemple, de vérifier que l’adresse du serveur qui a émis le courriel est bien la même que celle déclarée pour un nom de domaine contenu dans le courriel. Plus concrètement, cette étape de comparaison permet de s’assurer que le courriel reçu a bien été expédié par le serveur de courriels déclaré au niveau du serveur Whois pour le nom de domaine en question. Le serveur de courriels est généralement celui de l’entreprise (REGISTRAN) dans le cas des moyennes/grandes entreprises, celles-ci disposant de moyens informatiques en propre, ou celui du REGISTRAR (par exemple OVH, Orange, etc.) pour les entreprises plus petites ne disposant pas de leurs propres moyens informatiques. Ainsi, si le serveur de courriels émetteur du courriel reçu est celui du REGISTRAN, alors la probabilité qu’il s’agisse d’un courriel d’hameçonnage est plus faible. A l’inverse, si le serveur de courriels émetteur du courriel reçu n’est ni celui du REGISTRAN ni celui du REGISTRAR, le risque d’hameçonnage est plus important. A noter que cette étape peut être conditionnée aux résultats d’un ou plusieurs traitements réalisés lors de l’étape 201.
Alternativement ou cumulativement, l’étape 201 peut comprendre une étape de vérification que l’information DISPLAY comprend tout ou partie d’un nom de domaine contenu dans le courriel. A noter que cette étape peut être conditionnée aux résultats d’un ou plusieurs traitements réalisés lors de l’étape 201.
Alternativement ou cumulativement, l’étape 201 peut comprendre une étape de vérification que le contenu du courriel et/ou le nom de domaine de l’adresse de courriel de l’expéditeur du courriel ne contient pas une trop grande proportion de caractères spéciaux (par ex supérieur à 10%). En effet, cela peut être un signe que le logiciel client émetteur du courriel et / ou l’adresse de l’expéditeur du courriel ne sont pas sûrs.
Selon un mode particulier de réalisation de l'invention, à l’issue des différents traitements réalisés lors de l’étape 201, si le procédé détermine que le courriel est de confiance alors le nom de domaine de l’adresse de courriel de l’expéditeur du courriel est considéré comme étant « certifié » et est mémorisé dans une liste blanche stockée dans la mémoire non volatile du logiciel de courriels.
Selon un mode particulier de réalisation de l'invention, à l’issu des différents traitements réalisés lors de l’étape 201, si le procédé détermine que le courriel n’est pas de confiance alors le nom de domaine de l’adresse de courriel de l’expéditeur du courriel est considéré comme étant « non certifié » et est mémorisé dans une liste noire stockée dans la mémoire non volatile du logiciel de courriels.
Selon un mode particulier de réalisation de l'invention, dans le cas où le nom de domaine de l’adresse de courriel de l’expéditeur du courriel reçu est différent du nom de domaine du/des liens (URL) présents dans le corps du courriel reçu, alors le procédé peut appliquer un algorithme de recherche de chaînes de caractères approximative/floue sur la base par exemple du nom de domaine de l’adresse de courriel de l’expéditeur du courriel. Ainsi, l’algorithme va générer des noms de domaine ayant des chaînes de caractères proches de celle du nom de domaine de l’adresse de courriel de l’expéditeur. Le procédé peut ensuite comparer ces chaînes de caractères dites proches avec des noms de domaine d’établissements commerciaux/ institutionnels connus et/ou ayant une forte exposition médiatique afin de s’assurer qu’un cybercriminel n’essaie pas d’usurper leur identité. Par exemple si une société connue dispose du nom de domaine thecompany.com et que le pirate utilise le nom de domaine theconpany.com qui est proche d’un point de vue chaîne de caractères, alors le procédé peut déterminer qu’il y a un risque d’usurpation de l’identité thecompany.com grâce à l’algorithme de recherche de chaîne de caractères approximative/floue. A noter que les noms de domaine d’établissements commerciaux / institutionnels connus peuvent être obtenus via par exemple l’envoi d’une requête à destination d’une base de données située et gérée au niveau du dispositif de détection ou bien au niveau d’un serveur situé dans le réseau.
Selon un mode particulier de réalisation de l'invention, le procédé de détection peut afficher tout ou partie des informations reçues en réponse aux requêtes Whois à l’utilisateur. Par exemple, le procédé peut afficher lors de l’étape 202 une infobulle avec le nom du registrant associé au nom de domaine de l’adresse de courriel de l’expéditeur du courriel reçu.
Selon un mode particulier de réalisation de l’invention, le procédé de détection peut vérifier, à la suite de l’étape de traitement (201), dans le cas ou au moins une pièce jointe est comprise dans le courriel reçu, si le type du fichier est sans risque (par exemple un format de fichier « .pdf ») ou à risque (par exemple un format de fichier « .exe » ou « .bat », etc.). En outre, le logiciel de courriels peut intégrer au moins un module logiciel permettant la prévisualisation de pièces jointes (Excel, Word,…) tout en détectant et désactivant la présence de code informatique à risque (ex : macro-commande Visual Basic). Ainsi, ce mode de réalisation permet de sécuriser au maximum la visualisation d’une pièce jointe. A noter que le niveau de risque détecté en lien avec la pièce jointe peut être notifié à l’utilisateur lors de l’étape 202.
Selon un mode particulier de réalisation de l'invention, le procédé de détection est exécuté sur réception d’un nouveau courriel. Dans ce cas, seul le nouveau courriel est traité par le procédé de détection.
Selon un mode particulier de réalisation de l'invention, le procédé de détection est exécuté lorsque l’utilisateur sélectionne un courriel pour le lire. Dans ce cas, la restitution (vocale, visuelle ou braille) du courriel peut être conditionnée aux résultats des étapes de traitement du procédé de détection.
Selon un mode particulier de réalisation de l'invention, le procédé de détection est déclenché par le logiciel de courriels à intervalle de temps régulier. Dans ce cas, le procédé va traiter l’ensemble des courriels reçus durant l’intervalle de temps.
Selon un mode particulier de réalisation de l'invention, le procédé de détection est déclenché par le logiciel de courriels à son initialisation et traite l’ensemble des courriels contenus dans le ou les espaces mémoire gérés par le logiciel de courriel. Ce mode de réalisation permet par exemple de détecter des courriels frauduleux dans un fichier de données (archive) de courriels.
A noter qu’un annonceur d’une compagne officielle de communication basée sur l’envoi de courriels doit créer ses courriels et renseigner les informations associées aux noms de domaine de façon à ce que ses courriels ne soient pas détectés comme des courriels indésirables (hameçonnage) par le procédé de détection au niveau des logiciels de courriels de ses prospects. Concrètement, lors de la création de ses courriels, l’annonceur doit choisir une information DISPLAY en lien avec le nom de l’adresse de courriel utilisée pour émettre les courriels ou encore insérer dans ses courriels des liens (URL) ayant le même nom de domaine que celui de l’adresse de courriel de l’émetteur du courriel. Dans le cas où des noms de domaine différents de celui présent dans l’adresse de courriel de l’expéditeur du courriel sont insérés dans le corps du courriel, la technique de redirection via une réponse 3XX HTTP/HTTPS peut être utilisée. Cette technique consiste à créer sur le serveur web de l’annonceur des ressources accessibles depuis son propre nom de domaine et redirigeant vers les ressources du ou des autres noms de domaine.
Il va de soi que le mode de réalisation qui a été décrit ci-dessus a été donné à titre purement indicatif et nullement limitatif, et que de nombreuses modifications peuvent être facilement apportées par l’homme de l’art sans pour autant sortir du cadre de l’invention.

Claims (13)

  1. Procédé de détection du caractère frauduleux d’un courriel, ledit procédé étant mis en œuvre par un logiciel de courriels et caractérisé en ce qu’il comprend :
    - une étape d’obtention d’au moins un nom de domaine contenu dans ledit courriel ;
    - au moins une étape de traitement électronique dont le résultat est fonction dudit au moins un nom de domaine, ledit traitement comprenant au moins une étape choisie parmi une étape de recherche, de comparaison, de réception, de vérification, de test, d’ajout ;
    - une étape de notification en fonction du résultat de ladite au moins une étape de traitement.
  2. Procédé selon la revendication 1 dans lequel ladite au moins une étape de traitement comprend une recherche dudit au moins un nom de domaine dans un espace de stockage numérique gérée par ledit logiciel.
  3. Procédé selon la revendication 1 dans lequel ladite au moins une étape de traitement comprend une étape de comparaison entre ledit au moins un nom de domaine obtenu et le nom de domaine de l’adresse de courriel de l’expéditeur dudit courriel.
  4. Procédé selon la revendication 1 dans lequel au moins une étape de traitement comprend la réception d’au moins deux réponses, chaque réponse étant obtenue en retour d’une requête de type Whois, lesdites requêtes comprenant au moins un nom de domaine obtenu, et une étape de comparaison des champs registraire (Registrar) et/ou nom de registrant (Registrant Name) et/ou organisation du registrant (Registrant Organization) compris dans lesdites réponses.
  5. Procédé selon la revendication 1 dans lequel ladite au moins une étape de traitement comprend la réception d’une réponse à l’émission d’une requête de type Whois, ladite requête comprenant au moins le nom de domaine de l’adresse de courriel de l’expéditeur dudit courriel, et une étape de test du champ date de création (Creation Date) contenue dans ladite réponse.
  6. Procédé selon la revendication 1 dans lequel ladite au moins une étape de traitement comprend la réception d’une réponse à l’émission d’une requête de type Whois, ladite requête comprenant au moins le nom de domaine de l’adresse de courriel de l’expéditeur dudit courriel, et une étape de test du champ date de mise à jour (Updated Date) contenue dans ladite réponse.
  7. Procédé selon la revendication 1 dans lequel ladite au moins une étape de traitement comprend la réception d’une réponse à l’émission d’une requête de type Whois, ladite requête comprenant au moins le nom de domaine de l’adresse de courriel de l’expéditeur dudit courriel, et une étape de test d’au moins un champ concernant le registraire contenu dans ladite réponse.
  8. Procédé selon la revendication 1 dans lequel ladite au moins une étape de traitement comprend la réception d’une réponse à l’émission d’une requête de type Whois, ladite requête comprenant au moins le nom de domaine de l’adresse de courriel de l’expéditeur dudit courriel, et une étape de test d’au moins un champ concernant le registrant contenu dans ladite réponse.
  9. Procédé selon la revendication 1 dans lequel ladite au moins une étape de traitement comprend une étape de vérification que la donnée DISPLAY du champ FROM dudit courriel comprend ledit au moins un nom de domaine obtenu.
  10. Procédé selon la revendication 1 dans lequel l’étape de traitement est suivie d’une étape de test du format d’une pièce jointe présente dans ledit courriel et en ce que l’étape de notification est fonction du résultat dudit test.
  11. Procédé selon la revendication 1 dans lequel l’étape de notification est suivie d’une étape d’ajout du nom de domaine de l’adresse de courriel de l’expéditeur dudit courriel à une liste noire ou à une liste blanche.
  12. Dispositif de détection du caractère frauduleux d’un courriel, ledit dispositif étant caractérisé en ce qu’il comprend :
    - un module d’obtention d’au moins un nom de domaine contenu dans ledit courriel ;
    - au moins un module de traitement électronique dont le résultat est fonction dudit au moins un nom de domaine, ledit traitement comprenant au moins une étape choisie parmi une étape de recherche, de comparaison, de réception, de vérification, de test, d’ajout ;
    - un module de notification en fonction du résultat de ladite au moins une étape de traitement.
  13. Programme d'ordinateur comportant des instructions pour la mise en œuvre du procédé selon l'une quelconque des revendications 1 à 11, lorsque le programme est exécuté par un processeur.
FR2101887A 2021-02-26 2021-02-26 Procédé et dispositif de détection du caractère frauduleux d’un courriel. Active FR3120268B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR2101887A FR3120268B1 (fr) 2021-02-26 2021-02-26 Procédé et dispositif de détection du caractère frauduleux d’un courriel.

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2101887 2021-02-26
FR2101887A FR3120268B1 (fr) 2021-02-26 2021-02-26 Procédé et dispositif de détection du caractère frauduleux d’un courriel.

Publications (2)

Publication Number Publication Date
FR3120268A1 true FR3120268A1 (fr) 2022-09-02
FR3120268B1 FR3120268B1 (fr) 2024-03-08

Family

ID=76730624

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2101887A Active FR3120268B1 (fr) 2021-02-26 2021-02-26 Procédé et dispositif de détection du caractère frauduleux d’un courriel.

Country Status (1)

Country Link
FR (1) FR3120268B1 (fr)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090089859A1 (en) * 2007-09-28 2009-04-02 Cook Debra L Method and apparatus for detecting phishing attempts solicited by electronic mail
US20100042687A1 (en) * 2008-08-12 2010-02-18 Yahoo! Inc. System and method for combating phishing
US20160337394A1 (en) * 2015-05-11 2016-11-17 The Boeing Company Newborn domain screening of electronic mail messages
US20190141077A1 (en) * 2017-11-06 2019-05-09 Mimecast Services Ltd. Systems and methods for detecting domain impersonation

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090089859A1 (en) * 2007-09-28 2009-04-02 Cook Debra L Method and apparatus for detecting phishing attempts solicited by electronic mail
US20100042687A1 (en) * 2008-08-12 2010-02-18 Yahoo! Inc. System and method for combating phishing
US20160337394A1 (en) * 2015-05-11 2016-11-17 The Boeing Company Newborn domain screening of electronic mail messages
US20190141077A1 (en) * 2017-11-06 2019-05-09 Mimecast Services Ltd. Systems and methods for detecting domain impersonation

Also Published As

Publication number Publication date
FR3120268B1 (fr) 2024-03-08

Similar Documents

Publication Publication Date Title
US10530806B2 (en) Methods and systems for malicious message detection and processing
Ramzan Phishing attacks and countermeasures
US8776224B2 (en) Method and apparatus for identifying phishing websites in network traffic using generated regular expressions
US9413716B2 (en) Securing email communications
US9344449B2 (en) Risk ranking referential links in electronic messages
TWI593266B (zh) 惡意訊息之偵測及處理
Stringhini et al. The harvester, the botmaster, and the spammer: On the relations between the different actors in the spam landscape
Gupta et al. Emerging phishing trends and effectiveness of the anti-phishing landing page
US20130333030A1 (en) Verifying source of email
US9654431B1 (en) Automated email account verification
CN101346711B (zh) 使用安全rss捕集器提供安全rss馈入
Liu et al. How many eyes are spying on your shared folders?
FR3120268A1 (fr) Procédé et dispositif de détection du caractère frauduleux d’un courriel.
US8443192B2 (en) Network security method
EP3206149B1 (fr) Procede de controle d&#39;un parametre indicatif d&#39;un niveau de confiance associe a un compte utilisateur d&#39;un service en ligne
Kropotov et al. The Hacker Infrastructure and Underground Hosting: Services Used by Criminals
McDonald SpamAssassin: A practical guide to integration and configuration
EP4115582A1 (fr) Procede et dispositif de detection de l&#39;usage d&#39;un serveur de noms de domaine non certifie
FR3103072A1 (fr) procédé de configuration d’accès à un service Internet
FR3124299A1 (fr) procédé et dispositif de transmission d’un identifiant d’un utilisateur lors d’un paiement électronique réalisé par l’utilisateur.
FR3074935A1 (fr) Procede de detection d&#39;une attaque informatique contre une base de donnees, produit programme d&#39;ordinateur et systeme de detection associes
FR3146738A1 (fr) Procédé et dispositif de paiement confidentiel sur chaîne de blocs
FR3155331A1 (fr) Procédé de gestion de la navigation sur Internet d’un terminal
FR3145814A1 (fr) Procede de securisation d’un acces a une ressource
Kamran Privacy in the age of social networking

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20220902

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 6