WO2023083771A1 - Procédés de contrôle, de vérification et de configuration, et entités configurées pour mettre en œuvre ces procédés - Google Patents

Procédés de contrôle, de vérification et de configuration, et entités configurées pour mettre en œuvre ces procédés Download PDF

Info

Publication number
WO2023083771A1
WO2023083771A1 PCT/EP2022/081047 EP2022081047W WO2023083771A1 WO 2023083771 A1 WO2023083771 A1 WO 2023083771A1 EP 2022081047 W EP2022081047 W EP 2022081047W WO 2023083771 A1 WO2023083771 A1 WO 2023083771A1
Authority
WO
WIPO (PCT)
Prior art keywords
entity
service
verification
data
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/EP2022/081047
Other languages
English (en)
Inventor
Mohamed Boucadair
Christian Jacquenet
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Priority to EP22813297.3A priority Critical patent/EP4430812A1/fr
Priority to US18/708,788 priority patent/US20250007795A1/en
Publication of WO2023083771A1 publication Critical patent/WO2023083771A1/fr
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5041Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the time relationship between creation and deployment of a service
    • H04L41/5054Automatic deployment of services triggered by the service manager, e.g. service implementation by automatic configuration of network components
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/52Network services specially adapted for the location of the user terminal

Definitions

  • the invention belongs to the general field of telecommunications.
  • a communication network eg IP network (for "Internet Protocol” in English)
  • a client equipment eg a user terminal or CPE (Customer Premises Equipment
  • a service provided by a second device such as a server or service platform.
  • the sensitive data with which the invention is concerned are more specifically information which contributes to the identification of an individual, referred to here as "identification information", as defined in particular in section 5.2.2 of the document RFC 6973 edited by the IETF and entitled “Privacy Considerations for Internet Protocols", July 2013.
  • identifying information may be linked to a particular individual and may be used, alone or in combination with other elements, to infer or recognize the identity of that individual. They can be of various and varied natures; these may include identifiers strictly speaking of the user or of the equipment used by the latter, but also other data such as his location or the location of neighbors of equipment (e.g. terminal) of this user, user logs on one or more websites, particular message fields characteristic of communication protocols, etc. A lot of information is indeed likely to provide information on the identity of the user, alone or in combination with other information.
  • telemetry data generally refers to the data thus collected and shared.
  • the collection of telemetry data is not limited to data useful for the proper functioning of an application or service but may also include identification information disclosing sensitive elements relating to the privacy of users. Likewise, it is not limited to certain applications but also concerns most operating systems (or OS for “Operating System”) installed on user terminals.
  • OS operating systems
  • the operating systems installed on mobile devices send the following telemetry data to infrastructures managed by the suppliers of the operating systems in question: IMEI identifier (for "International Mobile Equipment Identity"), number serial number, serial number of the SIM card (for "Subscriber Identity Module” in English), public telephone number, local IP address, MAC address (for "Medium Access Control” in English) of the terminal, MAC addresses of the terminals available at proximity and other unique identifiers.
  • IMEI identifier for "International Mobile Equipment Identity"
  • number serial number serial number of the SIM card (for "Subscriber Identity Module” in English)
  • public telephone number for "local IP address
  • MAC address for "Medium Access Control” in English
  • the telemetry data sent by the operating system(s) of a terminal can make it possible to recognize the identity of the user of the terminal, or even disclose information that infringes to his privacy or that of other individuals who do not even use these services.
  • collecting the MAC addresses of terminals near a user's terminal makes it possible to build a kind of network over time that gives indications of social relationships, interests, and other sensitive information. and user characteristics.
  • the telemetry data reported by a given terminal can be used to trace other terminals even if they do not support a given operating system.
  • a terminal H connected to a local network, and having an operating system OS#1 configured to inform, for example, an OSCloud infrastructure located in the cloud of the presence of a terminal vH neighboring terminal H, supporting another operating system OS#2.
  • the terminal H can thus reveal the MAC address (mac@1) of vH, transmit data relating to its location, etc.
  • the terminals connected to this other network and equipped with the same operating system OS#1 inform the OSCloud infrastructure of the presence of the vH terminal and its MAC address (@ mac1), transmit data relating to its location, etc.
  • the identification of the vH terminal can then be done easily by the OSCloud infrastructure by correlating all the information received: MAC addresses and/or any other telemetry data(s) reported by the terminals equipped with the OS#1 operating system.
  • a service can involve a complex infrastructure, also called service realm (or "Service Realm”), which is not limited to authoritative servers.
  • This complex infrastructure may include, but is not limited to, front-end servers, load balancers, servers terminating secure connections (e.g. TLS (Transport Layer Security) connections), data retention (or “logging"), content distribution servers, etc.
  • service delivery may be distributed and involve, for example, anycast cluster, cache servers, etc.
  • Some service providers also offer Domain Name System (DNS) service, tracking service, etc.
  • DNS Domain Name System
  • a connection established to an authoritative server as a service referred to here as “main connection” is therefore most often supplemented by a set of sub-connections to other servers, referred to here as “secondary connections”: in other words, access to a service is the result of the combination of a plurality of connections including the main connection and one or more secondary connections. Each of these secondary connections can itself give rise to the establishment of other connections.
  • the information collected by all the servers with which these different connections have been established can be correlated and used for profiling, identification, or user tracking purposes, etc. Auditing the authoritative service(s) of a service is therefore insufficient to assess compliance with the confidentiality clauses of a service.
  • the invention proposes a solution making it possible to carry out a verification of the telemetry data conveyed on a network while taking into account the complexity of the service infrastructures.
  • the coordination entity is for example hosted by the infrastructure offering the service. It controls the elements involved in the provision of the service, and is thus able to configure the service, on command from the control entity, so that all or part of the data conveyed on the main and secondary connections pass through one or more verification entities selected by the control entity to analyze this data and determine in particular whether it contains information identifying the user.
  • identification information when detected by the verification entity(ies) carried out by the control entity, is recorded by the latter(s) in a digital identity of the user associated with the service (which reflects the digital identity of the user maintained by the service). It should be noted, as previously underlined with reference to document RFC 6973, that the notion of identification information within the meaning of the invention does not only include information which alone unambiguously identifies the user.
  • This concept also includes other information which induces (for example because of their order of appearance in the messages sent by the user's client equipment) details of the user's identity or which, correlated between they or with other elements make it possible to obtain such precision.
  • identification information consists for example of the identification of an access network to which the user's client equipment is connected, the location of the user's client equipment, a MAC address of a neighboring customer equipment, etc.
  • the digital identity supplied by the verification entity or entities may include not only the identification information extracted directly from the data analyzed by this or the latter, but also the details provided by this identification information or obtained by correlation of this information. identification (possibly with other elements), which as such also constitute identification information within the meaning of the invention.
  • the invention therefore proposes a collaborative solution based on a control entity controlling one or more verification entities located on paths taken by the data of the main connection and by those of the secondary connections established on the margins of this main connection, and on a coordination entity, capable of configuring the service so that the data conveyed during access to the service pass through the verification entities in question to be analyzed.
  • the digital identity fed by the verification entities from the data that they analyze of the user's identification information makes it possible to correlate the results of the analyzes carried out if necessary by each of the verification entities and to detect possible flaws concerning this identification information during the provision of the service, likely to be detrimental to the user (eg revelation of sensitive information).
  • the coordination entity is then informed, and can quickly take measures to remedy these flaws and/or inform the user (for example by adapting its general conditions of use).
  • the correlation permitted by the invention via the constitution of the digital identity of the user can reveal practices such as the delegation of subdomains to third parties by means of traffic redirection (a technique known as "CNAME (Canonical NAME) cloaking”.
  • This practice allows third parties to place "cookies" on the user's device, which are considered to be “first party” cookies (i.e. allowing preferences or an identifier to be stored, for example ("login in English) of the user when accessing a site), which makes it possible to avoid possible blockages set up by browsers.
  • Such a practice opens the door to a major security breach, because, de facto , it allows third parties to access authentication tokens stored in cookies.
  • the invention therefore offers the possibility of dynamically carrying out (i.e. on demand) a global audit (i.e. a verification) of the service making it possible to identify the sensitive information relating to a user and shared between the various infrastructures involved. in or requested when invoking the service and to characterize the processing of this sensitive information.
  • the global audit proposed by the invention is therefore an audit whose results will allow a user of the service to better protect his private life (which can also be referred to for the sake of simplification as "privacy protection audit" ).
  • the invention is not limited to auditing the authoritative server involved in the provision of the service ("on-site audit"), but also makes it possible to carry out off-site audits allowing to have a global view of the identification information of the user conveyed and shared when invoking the service.
  • the invention makes it possible in particular to detect undue exposure of this sensitive information, such as exposure that does not comply with the general conditions of use accepted by the user and/or with regulatory provisions.
  • the invention can be advantageously coupled with an on-site audit mechanism, which for its part makes it possible to evaluate certain practices such as data storage, "scripts" such as data extraction algorithms activated on the authoritative server etc., so as to make the conclusions of the audit carried out thanks to the invention more reliable.
  • the triggering step is conditional on prior acceptance by the coordination entity to proceed with the analysis of said data.
  • This prior acceptance can take different forms, such as verifying that the control entity is authorized to trigger such an analysis in accordance with a static audit agreement previously concluded between the service provider and the audit service provider (i.e. the entity that manages the control entity and the verification entities), or a dynamic exchange set up between the coordination entity and the control entity using the CPNP protocol (for "Connectivity Provisioning Negotiation Protocol") defined in RFC 8921 edited by the IETF in October 2020, etc.
  • This agreement or this prior dynamic exchange makes it possible to delimit the scope of the privacy protection audit carried out by the control entity and the verification entities, and in particular the data flows to be analyzed (e.g.
  • control method comprises a step of selecting said at least one verification entity according to at least one service constraint predetermined or transmitted by the coordination entity.
  • Such a constraint is for example a maximum authorized detour time, a geographical area, an Autonomous System (or AS) number, etc. This advantageously makes it possible to ensure that the audit or verification process is transparent for the user or at least to minimize its impact on the quality of experience as perceived by the user.
  • the step of triggering the control method comprises supplying said coordination entity with information on the reachability of said at least one verification entity.
  • Such reachability information is for example an IP address or a domain name corresponding to said at least one verification entity. It allows the coordinating entity to program the service chain to include the verification entity(ies) in the data path that is intended to be analyzed by this verification entity(ies).
  • DNS domain name resolution chain
  • various solutions can be envisaged: modification of the domain name resolution chain (DNS) so that the reachability information of the verification entity(ies) is communicated to the first device, activation of a chaining mechanism (or SFC for "Service Function Chaining" in English) so that the verifying entity or entities are invoked in the paths taken by the data intended to be analyzed by them, redirecting the data intended to be analyzed to the verification entities, etc.
  • DNS domain name resolution chain
  • the invention is based on the control entity, but also on the verification entity or entities selected by the control entity for the processing of data.
  • the updating of the digital identity is carried out only if the identification information or information detected, where applicable, in the data are not already contained in the digital identity collected by the verification entities and associated with that service.
  • the verification entity and the processing method according to the invention benefit from the same advantages mentioned above as the control entity and the control method according to the invention.
  • the processing method further comprises a step of analyzing the data received to determine whether they convey (explicitly or implicitly (in this case; the analysis of the observed data makes it possible to deduce information from additional identification) at least one piece of user identification information, said analysis step using at least one parameter with which said verification entity has been previously configured and/or which it has acquired via an execution of a machine learning algorithm.
  • the verification entity can be configured beforehand with a set of determined parameters allowing it to recognize identification information among the analyzed data.
  • parameters can be, for example, particular headers of messages to be searched for such as those used by an operating system, or specific identification information (determined in advance, such as an MSISDN identifier (for "Mobile Station ISDN Number in English) or IMEI (for "International Mobile Equipment Identity”), a serial number, etc.), or an ordered sequence of certain data in a data packet.
  • the verification entity can dynamically acquire such parameters, via a machine learning algorithm which, for example, is able to detect persistent identifiers involved in a service-related exchange.
  • This machine learning algorithm can be configured by the supplier of the audit service, for example in compliance with the contractual information that defines its relationship with its customers (for example a regulatory authority can be at the origin of the audit to verify compliance with the commitments made by the service provider to its customers) or by another actor, such as the user. It should be noted that the results of the algorithm may differ depending on the nature of the parameterization and the entity that performs this parameterization.
  • a procedure is implemented to secure this configuration and ensure that it is indeed authorized (for example sharing of a unique identifier between the actor and the control entity, which communicates this identifier to the coordination entity in order to be able to subsequently identify the actor).
  • the verification entity is responsible for analyzing the digital identity of the user collected in accordance with the invention during access to the service by the user, and for determining whether it complies with what is expected (ie as declared by the service provider or by the providers of ancillary services invoked on the secondary connections when accessing the service). Otherwise, the verification entity reports it to different entities according to several variants: this signaling can be done by sending, for example, a notification to the control entity, which is responsible for relaying it to the coordination entity by example or to the user, or to the supplier of the audit service or to all of these entities.
  • the verifying entity can add an indicator in the digital identity that the verifying entity or the user can access.
  • this analysis be entrusted to an entity other than a verification entity.
  • This may be particularly relevant when several verification entities are instructed by the control entity to analyze the data conveyed when the user accesses the service. Therefore, it must be ensured that this other entity has access to the digital identity collected by the verification entity or entities.
  • This can be the control entity (which manages the plurality of verification entities and has access to the digital identity) or a third party entity.
  • the processing method comprises a step of sending to the first device a header comprising information on the reachability of said at least one verification entity, said header indicating to said first device that it must send its domain name resolution requests to said at least one verification entity.
  • this embodiment proposes a dynamic DNS configuration of the first device, adapted to the implementation of the invention. It advantageously makes it possible to ensure that the verification entity traces all the secondary connections established on the margins of the main connection in the context of access to the service by the user.
  • the invention also relates, according to a third aspect, to a coordination entity and the method implemented by this coordination entity.
  • the invention relates to a method for configuring a service provided to a first device by a second device via a so-called main connection established between the first and the second device, said method of configuring being intended to be implemented by a coordination entity and comprising, at the request of a control entity, a step of configuring the service so that data carried on said main connection and on at least one secondary connection established on the margins of said main connection for the provision of the service pass through at least one verification entity selected by said control entity to analyze said data.
  • the invention also relates to a coordination entity capable of configuring a service provided to a first device by a second device via a so-called main connection established between the first and the second device, said coordination entity comprising a configuration module, activated at the request of a control entity and programmed to configure said service so that data conveyed on said main connection and on at least one secondary connection established on the margins of said main connection for the provision of the service pass through at least one verification entity selected by said control entity to analyze said data.
  • the coordination entity and the configuration method according to the invention benefit from the same advantages mentioned above as the control entity, the verification entity, the control method and the processing method according to the invention.
  • the configuration step is preceded by a verification step which consists in verifying whether said control entity is authorized to trigger an analysis of said data by said at least one verification entity.
  • the configuration method comprises a step of transmitting to said control entity at least one constraint of said service to be taken into account to select said at least one verification entity.
  • the triggering of a modification of a domain name resolution mechanism comprises the sending to the first device of a header comprising said reachability information of said at least one verification entity, said header indicating to said first device that it must send its domain name resolution requests to said at least one verification entity.
  • the triggering of a modification of a domain name resolution mechanism comprises an activation at the level of an entity involved in the provision of the service of a sending to the first device of a header comprising said reachability information of said at least one verification entity, said header indicating to said first device that it must send all or part of its domain name resolution requests to said at least one entity of verification.
  • control, processing and/or configuration methods are implemented by a computer.
  • the invention also relates to a computer program on a recording medium, this program being able to be implemented in a computer or more generally in a control entity in accordance with the invention and comprises instructions adapted to the implementation of a control method as described above.
  • the invention also relates to a computer program on a recording medium, this program being able to be implemented in a computer or more generally in a verification entity in accordance with the invention and comprises instructions adapted to the implementation of a processing method as described above.
  • the invention also relates to a computer program on a recording medium, this program being able to be implemented in a computer or more generally in a coordination entity in accordance with the invention and comprises instructions adapted to the implementation of a configuration method as described above.
  • Each of these programs may use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in partially compiled form, or in any what other desirable form.
  • the invention also relates to an information medium or a recording medium readable by a computer, and comprising instructions of a computer program as mentioned above.
  • the information or recording medium can be any entity or device capable of storing programs.
  • the medium may comprise a storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or else a magnetic recording means, for example a hard disk, or a flash memory.
  • the information or recording medium may be a transmissible medium such as an electrical or optical signal, which may be routed via an electrical or optical cable, by radio link, by wireless optical link or by other ways.
  • the program according to the invention can in particular be downloaded from an Internet-type network.
  • the information or recording medium may be an integrated circuit in which a program is incorporated, the circuit being adapted to execute or to be used in the execution of the management, recording and communication methods according to the 'invention.
  • the invention also relates to a verification system comprising at least one control entity, at least one verification entity and at least one coordination entity in accordance with the invention.
  • control, processing and configuration methods as well as the control, verification and coordination entities, and the verification system according to the invention to present in combination all or part of the aforementioned characteristics.
  • the verification system 1 offers a mechanism (also referred to here as a service or procedure DYOS, for “DYnamic Off-Site IP privacy assessment procedure” in English) advantageously making it possible to carry out global verification operations (also sometimes referred to as operations of privacy protection audit or operations in this document), compliance by a service S offered by a service provider SP via the Internet, with the protection of the privacy of its users and in particular with confidentiality of their personal data.
  • the verification carried out can be generic and relate to the whole of the service S, or on the contrary be more specific and relate only to a given category of flows exchanged during access to this service by a user (e.g. those generated by a particular application or operating system, those associated with a particular operator, etc.).
  • Such verification can advantageously be triggered dynamically on demand, for example at the request of a user of the service S, or of the supplier SP of the service S, or else of a third party.
  • the service provider SP relies on a service infrastructure hosted in a service domain SR (or “Service Realm”).
  • the service domain SR comprises an authoritative server 2 (or "authoritative server” in English) (second device within the meaning of the invention) with which, to access the service S, a user U establishes a so-called main connection (C1) via at least one user equipment 3 (first device within the meaning of the invention).
  • C1 main connection
  • the user U uses a single user equipment 3 to access the service S.
  • this assumption is not limiting in itself.
  • the user equipment 3 can be connected directly to an operator's network (eg cellular access network or PLMN (for “Public Land Mobile Network”) as illustrated in there , or via a local network (or LAN for "Local Area Network” in English) such as a home network, a corporate network, etc., via dedicated equipment designated by CPE (for "Customer Premises Equipment” in English).
  • PLMN Public Land Mobile Network
  • CPE Customer Premises Equipment
  • a service domain SR comprising a plurality of servers (eg authoritative server, cache servers, load balancers, etc.) hosted in a single structure (for example a cloud computing infrastructure) or a single piece of equipment, or in several structures or several pieces of equipment.
  • a service S can be a service involving an operating system installed on the user equipment 3, or an application installed on the user equipment 3 (eg HTTP web service, or SIP voice over IP, or WebRTC), or a service provided by a network operator, etc.
  • the service S can also be located in a network other than the Internet network, for example in an operator's network or in a public infrastructure (eg public cloud or "public cloud" in English).
  • the user equipment 3 used by the user U to access the service S may be fixed or mobile equipment such as for example a smart telephone ( or "smartphone” in English), a laptop or desktop computer, a digital tablet, etc.
  • the user U can be either a natural person or a legal person (eg company) or a group of individuals (eg individuals attached to the same household).
  • the user equipment 3 can have a plurality of communication interfaces enabling it to access the network in which the service domain SR is located.
  • the invention applies both to single-interface and multi-interface user equipment 3, regardless of the nature of these interfaces (eg LAN, WLAN, 3G/4G/5G).
  • a CPE device can be connected to several operator networks (context known as "multi-homing").
  • These telemetry data include service data, but also identification information which may relate to the user equipment 3, its attachment network, its IP neighbors, its default router, the operator of the network to which it is connected , etc. and which used individually or correlated with each other can induce or reveal details about the identity of the user U.
  • identification information can be injected into the data packets transmitted by the user equipment 3 by entities of the various networks traversed by these packets (eg access network) on the main (C1) and secondary (C2), (C2′), etc. connections, without the user U of the user equipment 3 having necessarily consented thereto.
  • This identification information can be added in particular at the application level, for example in HTTP headers such as the proprietary HTTP headers HTTP_MSISDN, HTTP_X_UP_CALLING_LINE_ID, HTTP_X_NOKIA_MSISDN, HTTP_X_HTS_CLID, HTTP_X_MSP_CLID, HTTP_X_NX_CLID, HTTP__RAPMIN, HTTP_X_WAP_MSISDN, HTTP_COOKIE, HTTP_X_UP_LSID , HTTP_X_H3G_MSISDN, HTTP_X_NETWORK_INFO, etc. ., in TCP options (for "Transmission Control Protocol” in English), in IPv4 options, in IPv6 extension headers (or “extension headers” in English), etc.
  • control entity 4 and all or part of the verification entities 5 can be co-located or, on the contrary, hosted in separate hardware or software equipment.
  • verification entities 5 can be deployed in various places, such as for example in the Internet network, in the access network to the Internet network used by the user equipment 3 to access the authoritative server 2, in the domain of service SR associated with service S, in authoritative server 2, etc.
  • These may be virtual instances (i.e. software) activated on demand, this activation preferably being done using secure mechanisms (with authentication of the virtual instances) and/or integrity checks.
  • a known mechanism such as TEEP (for "Trusted Execution Environment Provisioning" in English) or RATS (for "Remote Attestation Procedures Architecture” in English) can be used for this purpose.
  • control entity 4, the verification entity 5 and the coordination entity 6 have the hardware architecture of a computer 7 as shown in , or, in the case of virtual instances, are hosted by hardware equipment having such a hardware architecture and exploit the elements of this hardware architecture.
  • the computer 7 comprises in particular a processor 8, a random access memory 9, a read only memory 10, a non-volatile memory 11, and communication means 12 allowing in particular the entities of the verification system 1 to communicate with each other and with other entities such as for example with the user equipment 3 or with entities requested when accessing the service S by the user equipment 3.
  • the ROM 10 of the computer 7 constitutes a recording medium in accordance with the invention, readable by the processor 8 and on which is recorded a computer program in accordance with the invention.
  • the ROM 10 of the computer 7 comprises, when the latter is or hosts a control entity 4 in accordance with the invention, a recording of a computer program PROG4, comprising instructions defining the main steps of a control method according to the invention.
  • the digital identity IDNUM(U) of the user U is stored here in a storage space 13 shared by the control entity 4 and by the verification entity or entities 5. It may be a digital file (eg a database) comprising all the identification information relating to the user U detected by the verification entities 5 on the main and secondary connections to which it is desired to apply the procedure DYOS.
  • This identification information can be extracted by the telemetry data verification entities 5 inserted into the data packets from the user equipment U as part of its access to the service S and conveyed over the connections analyzed by the entities 5 verification, as described in more detail later. It can be, as mentioned above, any type of information likely to contribute to the identification of the user, as defined in particular in section 5.2.2 of the document RFC 6973 previously cited.
  • Such identifying information may be linked to a particular individual or group of individuals and be used, alone or in combination with other elements, to infer or recognize the identity of that individual or group of individuals. . They can be of various and varied natures; it can be in particular identifiers strictly speaking of the user or of the equipment used by the latter, but also other data such as his location or the location of neighbors of this user, logs of the user on one or more sites, particular fields of messages characteristic of the activation of communication protocols, etc. A lot of information is indeed likely to provide information on the identity of the user, alone or in combination with other information (eg GPS location, network used, etc.).
  • the digital identity IDNUM(U) can also be fed by the precisions on the identity of the user induced by the identification information detected in the data analyzed by the verification entities 5 and/or resulting from the correlation of these identifying information with each other or with other elements.
  • Such details constitute identification information within the meaning of the invention which can be stored by the entity which obtains them (verification entity 5, control entity 4 or third-party entity) in the digital identity IDNUM (U) of user U.
  • the digital identity IDNUM(U) of a user can result from the analysis of the main and secondary connections of several user equipments associated with the same user U and used concomitantly by this user to access the service S.
  • the storage space 13 can be dedicated to a single user U or alternatively group together the digital identities of several distinct users, for example users connected to the same local or access network, and thus allow to derive, from these distinct digital identities, a digital identity of the network in question.
  • the digital identity IDNUM can also include identification information obtained from the identification information extracted by the verification entities (eg induced by them or obtained by correlating them with each other). or with other elements).
  • modules 4A to 4C of the control entity 4 are further detailed later with reference to the steps of the control method according to the invention.
  • the ROM 10 of the computer 7 comprises a recording of a computer program PROG5 comprising instructions defining the main steps of a method verification according to the invention.
  • each verification entity 5 involved in the DYOS procedure The functions of the modules 5A to 5E of each verification entity 5 involved in the DYOS procedure are further detailed later with reference to the steps of the verification method according to the invention.
  • the ROM 10 of the computer 7 comprises a recording of a computer program PROG6 comprising instructions defining the main steps of a method configuration according to the invention.
  • modules 6A and 6B of the entity 6 for coordinating the service S are further detailed later with reference to the steps of the configuration method according to the invention.
  • This procedure solicits each entity of the verification system 1 and more particularly triggers the execution, by the control entity 4, of a control method according to the invention (steps E00 to E60), by each selected verification entity 5 by the control entity 4, of a verification method according to the invention (steps G10 to G70), and by the coordination entity 6, of a configuration method according to the invention (steps F10 to F40) .
  • step E00/F00 it is assumed that during a preliminary phase of activation of the DYOS service (step E00/F00), an agreement has been put in place between the provider of the DYOS service, which manages in particular the entity 4 of control and verification entities 5, and the provider SP of the service S.
  • This agreement can be static or implemented using a known mechanism such as CPNP.
  • the table 14 lists for the service S the control entity 4 (PAPc 4) of verification system 1. It is accessible by the coordination entity 6 of the verification system 1 (or by the coordination entities 6 if there are several of them).
  • the control entity or entities authorized to implement the DYOS procedure maintain a table or equivalently a database (referenced by 15 on the ) listing the coordinating entity(ies) to interface with for each service to be audited.
  • a table or equivalently a database listing the coordinating entity(ies) to interface with for each service to be audited.
  • the table 15 lists for the service S the coordination entity 6 (CAS 6) of the verification system 1 and that this table 15 is accessible by the control entity 4 responsible for implementing the DYOS procedure for the S service.
  • Table 15 also contains various information descriptive of the coordination entity(ies) of the service S, such as in particular one or more reachability information (e.g. IP addresses), one or more domain names to which the coordination entity(ies) are attached , one or more transport protocols supported by the coordination entity(ies) (e.g. TCP (for “Transmission Control Protocol”), TLS, QUIC, DTLS (for “Datagram TLS”), etc.), a or several application layer protocols of the OSI model supported by the coordination entity(ies) (eg HTTP, etc.), etc.
  • TCP for “Transmission Control Protocol”
  • TLS Transmission Control Protocol
  • QUIC for “Datagram TLS”
  • DTLS for “Datagram TLS”
  • the purpose of this information is to enable the control entity 4 to guarantee that the DYOS procedure is executed under the conditions of supply of the service S.
  • control entity 4 designated to implement the DYOS procedure selects the connections (Cx) to be audited involved in the supply of the service S to the user U via his user equipment 3 (step E10).
  • This selection can be made randomly or in a targeted manner, depending in particular on the access network used to access the service (e.g. the autonomous system number to which the access network belongs), the geographical area in which the user equipment U is located, etc. It can be scheduled or triggered by an explicit request from the administrator of the control entity (eg DYOS service provider), or an external event such as notification of a change in the general conditions of use (CGU ) of the S service.
  • the access network used to access the service e.g. the autonomous system number to which the access network belongs
  • the geographical area in which the user equipment U is located etc. It can be scheduled or triggered by an explicit request from the administrator of the control entity (eg DYOS service provider), or an external event such as notification of a change in the general conditions of use (CGU ) of the S service.
  • CGU general conditions of use
  • step E10 the main connection (C1) and all of the secondary connections (C2), (C2'), ... established on the sidelines of the main connection (C1) when accessing the service S by the user U via his user equipment 3, are selected by the control entity 4 to be the subject of the DYOS procedure.
  • control entity 4 determines the coordination entity or entities with which to interface to implement the DYOS procedure in view of the selected connections (step E20). To this end, the control entity 4 here consults the table 15 and the information characterizing the available service S coordination entities listed in this database, according to the characteristics of the connections to be audited (e.g. transport protocol, application layer, etc). It is assumed here that at the end of step E20, the control entity 4 selects the coordination entity 6 of the service S.
  • the control entity 4 then sends to the service S coordination entity 6, using the reachability information and the other information recorded in the table 15 (e.g. transport protocol, application layer protocol, etc. ), a connection request REQ aimed at setting up the DYOS procedure for the connections selected during step E10 (step E30).
  • the service S coordination entity 6 uses the reachability information and the other information recorded in the table 15 (e.g. transport protocol, application layer protocol, etc. ), a connection request REQ aimed at setting up the DYOS procedure for the connections selected during step E10 (step E30).
  • the coordination entity 6 receives via its communication module 6A the connection request REQ from the control entity 4 and processes it (step F10). More particularly, during this processing, the communication module 6A checks in the table 14 if the control entity 4 is authorized to implement the DYOS procedure for the service S. Authentication of the control entity 4 can by elsewhere be implemented according to the conditions provided, where applicable, during the preliminary phase E00/F00 (for example using certificates exchanged during this preliminary phase or other known mechanisms such as PSK (for "Pre-Shared Keys”)). If the authorization and/or authentication of the control entity 4 fails, the REQ connection request from the control entity 4 is rejected by the coordination entity 6.
  • E00/F00 for example using certificates exchanged during this preliminary phase or other known mechanisms such as PSK (for "Pre-Shared Keys"
  • the control entity 4 is listed in the table 14 as being authorized to implement the DYOS procedure for the service S.
  • the coordination entity 6 therefore accepts the request REQ formulated by the control entity 4 to proceed according to the DYOS procedure to the analysis of the data conveyed during access to the service S by the user equipment 3 (step F20). It can also, when accepting the REQ request, provide the control entity 4 with one or more constraints of the service S to be taken into account for the execution of the DYOS procedure.
  • a constraint is for example a maximum authorized detour time, a geographical area in which the verification entities involved in the DYOS procedure must be deployed, the number of the autonomous system in which the verification entities involved in the DYOS procedure must be located , etc.
  • this or these service constraints when accepting the request is optional. As a variant, this or these service constraints can be exchanged with the service provider S during the preliminary phase E00/F00 of activating the DYOS service.
  • the acceptance by the coordination entity 6 of the implementation of the DYOS procedure triggers at the level of the control entity 4 the selection of one or more verification entities 5 to carry out the DYOS procedure, and more particularly to analyze the data exchanged on the connections selected during step E10 (step E40).
  • This selection is made by the selection module 4A of the control entity 4 taking into account the service constraint(s) transmitted by the coordination entity 6 during step F20 or preconfigured during the preliminary phase E00/ Enable F00. It is assumed here for the sake of simplification, that a single verification entity 5 is selected to process the data conveyed on the main connection (C1) and on the secondary connections (C2), (C2'), ...
  • verification entities 5 verifying the service constraints of the service S can be selected, such as, for example, a distinct verification entity per connection to be audited.
  • verification entities can be deployed in various places of the network(s) crossed by the connections to be audited (eg as close as possible to the user equipment 3 or to certain networks, close to the authoritative server 2, etc.)
  • the control entity 4 communicates in a message addressed to the coordination entity 6 at least information on the reachability of this verification entity 5, such as as its IP address and a corresponding domain name (e.g. "example.com”) (step E50).
  • This domain name can be advantageously used for authentication purposes, in particular to issue security certificates as described below.
  • Coordinating Entity 6 can then, based on this information, delegate (provide) a "subdomain” name (e.g. "audit.example.com”) and issue a certificate for the selected Audit Entity 5 (which can be used for example to decipher the data to be analyzed if necessary, to secure its exchanges with the infrastructures involved during the provision of the service S, or to verify that the data which reaches it for analysis is indeed eligible for the DYOS procedure) .
  • this step is optional.
  • the reception of the message from the control entity 4 also triggers the configuration by the coordination entity 6, via its configuration module 6B, of the service chain involved in the provision of the service S to the user equipment 3 to include the verification entity 5 selected by the control entity 4 (or, where applicable, the selected verification entities), in the path of the data exchanged during access to the service S by the user equipment 3 and which must be audited via the DYOS procedure (step F30).
  • the configuration module 6B which can be required to configure different entities involved directly or indirectly in the provision of the service S, such as for example the authoritative server 2, the nominal DNS server used by user equipment 3, user equipment 3, etc.
  • modification of the domain name resolution chain (DNS) to include reachability information e.g.
  • IP address IP address
  • activation of a service chaining SFC mechanism involving the verification entity redirection of the data carried by the connections to be audited to the verification entity 5 (for example configuring the nominal DNS server of the user equipment 3 so that it includes the reachability information of the verification entity 5 in its responses to DNS queries sent by the user equipment 3), routing to the source via the verification entity 5, etc.;
  • the modification of the DNS chain aims to include the verification entity 5 in the DNS chain, so that the verification entity 5 can identify the secondary connections (C2), (C2'), ... established on the margins of the main connection (C1) and audit the data transmitted via these secondary connections.
  • the coordination entity 6 can, in a particular embodiment, communicate to the authoritative server 2 (entity involved in the provision of the service within the meaning of the invention) the reachability information (eg IP address) of the verification entity 5, so that it indicates to the user equipment 3, for example in response to a service invocation message S issued by the user equipment 3 (request for access to the service or request sent later during the consumption of the service itself), to send its domain name resolution requests within the framework of the service S to the entity associated with this reachability information, in other words with the verification entity 5 .
  • This indication can be transmitted in a dedicated header of the response message, for example in a header called DNS_RESOLVER defined for the purposes of the invention.
  • the verification entity 5 is able to receive the secondary connections (C2), (C2'), ... established on the sidelines of the main connection (C1) in order to be able to analyze the data conveyed on these secondary connections.
  • the DNS_RESOLVER header contains the reachability information for each of the designated verification entities, possibly supplemented by an indication concerning the DNS requests to be sent to such or such verification entity.
  • the user equipment 3 sends a DNS query, designated by QUERY(2), to its nominal DNS server DNS-NAME in order to access the service S provided by the authoritative server 2 (step H10).
  • the nominal DNS server DNS-NAME responds to it by providing an IP address, denoted @IP5, of the verification entity 5 (step H20).
  • the user equipment 3 then sends an HTTP POST request for access to the service S intended for the authoritative server 2 (given for example in the SNI field (for "Server Name Indication") or ESNI when the TLS protocol is used to establish connections within the framework of the service S) using as destination address the IP address @IP5 which was transmitted to it (step H30).
  • This makes it possible to ensure that the associated HTTP POST request passes through the verification entity 5 which can then analyze the data conveyed via this connection (including the POST request).
  • This request is then relayed by the verification entity 5 to its original recipient, namely here the authoritative server 2 (step H40).
  • the authoritative server 2 processes and responds to the access request from the user equipment 3, in a manner known per se. It also inserts into this response the DNS_RESOLVER header containing the IP address @IP5 of the verification entity 5 and indicating to the user equipment 3 to send its future DNS requests to the verification entity 5 associated with this IP address @IP5; this response passes through the verification entity 5 (steps H50 and H60).
  • the user equipment 3 Upon receipt of this indication, the user equipment 3 sends its future DNS requests (QUERY(X)) sent within the framework of the service S to the verification entity 5 (and no longer to its nominal DNS server DNS-NAME), which can thus ensure that it is cut off from the flow of the secondary connections established by the user equipment 3 within the framework of this service (steps H70, H80).
  • QUERY(X) future DNS requests
  • the verification entity 5 and no longer to its nominal DNS server DNS-NAME
  • it may be another entity that communicates the DNS_RESOLVER header to the user equipment, such as, for example, the verification entities themselves when they receive data associated with the user equipment 3, continued appropriate configuration of this equipment, for example by the DYOS service provider.
  • the verification entity 5 is on the paths taken by the data associated with the main and secondary connections of the user equipment 3 covered by the DYOS procedure. In other words, all the data transmitted by the user equipment 3 in the context of these connections now pass through the verification entity 5.
  • the verification entity 5 Upon receipt of a data packet (step G10), the verification entity 5 verifies whether the data packet in question indeed belongs to a connection that it must analyze (for example, from the "source address" field of the package) (step G20). If not, the data packet is discarded.
  • the verification entity 5 proceeds, via its analysis module 5B, to the analysis of the data contained in the packet according to the settings with which it was configured for the service S, and to the search for identification information among these data or that can be derived from these data (step G30). It can if necessary during this step proceed to the decryption of the data contained in the packet if these are encrypted.
  • the analysis module 5B searches, for example, for the identifiers with which it has been configured, or whether new data collection platforms are involved, or even provides its machine learning algorithm with the data of the package for the search and identification of persistent identifiers among this data.
  • the analysis of the data contained in the packet conducted by the analysis module 5B obviously depends on its configuration.
  • the module 5B can also, depending on this setting, identify data-induced identification information, or correlate data with each other or with other elements to identify such identification information, etc.
  • a procedure is implemented to secure this setting and ensure that said actor is authorized to make this setting.
  • SHA Secure Hash Algorithm
  • the control entity 4 communicates this unique identifier ID to the coordination entity 6 during step E50 described above, which triggers during step F30 the configuration of the service chain involved in the provision of the service S for the client equipment 3 identified by this unique identifier ID.
  • This unique identifier ID is also used by each main and secondary connection to identify the client equipment 3.
  • step G30 of analyzing the data conveyed in the received packet if the analysis module 5B identifies user U identification information (eg specific identifiers of his user equipment 3 or other sensitive data, location, etc. extracted from the data or induced by the latter), the update module 5C of the verification entity 5 then updates the digital identity IDNUM (U) according to the identification information detected (step G40). More particularly, in the embodiment described here, it consults the digital identity IDNUM(U) of the user U to determine if the detected identification information is already present in the digital identity IDNUM(U), and if this is not the case, it adds to the digital identity IDNUM(U) the new identification information detected.
  • user U identification information eg specific identifiers of his user equipment 3 or other sensitive data, location, etc. extracted from the data or induced by the latter
  • the update module 5C of the verification entity 5 updates the digital identity IDNUM (U) according to the identification information detected (step G40). More particularly, in the embodiment described here, it consults the digital identity
  • the verification entity 5 via its transmission module 5D, relays the data packet received and analyzed to the destination entity of this packet (authoritative server 2 if it is a packet sent on the main connection (C1) or X server if it is a packet sent on a secondary connection (C2), (C2'), ...) (step G50). This makes it possible to ensure that the intervention of the verification entity 5 is transparent for the service S.
  • an encapsulation of the data may prove necessary by the 5D transmission module, typically when a tunnel is activated between the verification entity 5 and the recipient of the data packet.
  • This encapsulation can be based on various procedures known to those skilled in the art, such as for example IPsec, TLS, QUIC, GRE (for “Generic Routing Encapsulation”), DTLS, etc.
  • the verification entity 5 is also responsible, via its verification module 5E, for verifying whether the newly detected identification information and/or the digital identity IDNUM(U) does not include events that should be reported to the DYOS service provider, via the control entity 4.
  • the verification module 5E Upon detection of such an event, the verification module 5E sends a report of the event to the DYOS service provider and more particularly here, to the control entity 4.
  • the verification entity 5 via its verification module 5E, is also configured to examine the identification information carried on each secondary connection that it manages (that is to say that it audits) and to determine whether these identification information and the treatment made of them by the infrastructures collecting this information from identification comply with the declarations made by the operators of these infrastructures, in other words comply with the information collection and processing policies announced by these operators.
  • policies are published using a "well-known" type URI as described in the document IETF RFC 8615, and called for example here "telemetry-claims”.
  • the verification module 5E is then able to retrieve, by sending a request (eg HTTP GET request) to this URI, said policies in question for each service ancillary to the service S invoked in a secondary connection (C2), (C2' ), ..., established on the sidelines of the main connection (C1), and thus obtain the list of identification information and the processing carried out, if applicable, according to these policies.
  • a request eg HTTP GET request
  • the body of the response message targeting said URI comprises an object structured according to a JSON format (for "JavaScript Object Notation” in English), identified by a new identifier "media-type called for example "application/telemetry-claims", and indicating the data collected and used by the infrastructure of the ancillary service concerned, what processing(s) is/are applied, if any, to the data ( whether this data is recorded), etc.
  • the JSON object can also indicate whether an audit body has already certified these indications, and if so, give the identity of the body in question as well as a link to the audit report drawn up by this body.
  • the organization in question may be the provider of the DYOS service itself, in which case the verification entity 5 has direct access to the audit report in the embodiment described here.
  • the audit in question can be an on-site audit (eg at the level of an X server depending on the connection considered) or a DYOS procedure previously executed and involving the infrastructure of the ancillary service considered.
  • the verification module 5E then verifies, for each connection for which it is responsible, the conformity of the identification information conveyed on this connection with the identification information and the processing declared that it has obtained by targeting the "well-known" URIs. ". If there is no compliance, it reports it to the control entity 4.
  • the 5E verification module can also correlate the declarations and the identification information it has detected with the audits previously carried out if necessary and report any deviation from the declarations. He can also, if an audit has already been carried out under the DYOS procedure, dynamically modify and/or complete the corresponding audit report. It can also locally record an alarm for this service.
  • the control entity 4 relays each report received from the verification entity 5 to the coordination entity 6 (step E60), so that measures are taken if necessary according to the signaled event (eg information from the user U, (step F40).
  • the signaled event eg information from the user U, (step F40).
  • the verifications carried out within the framework of the audit are implemented by the module 5E of the verification entity 5.
  • all or part of these verifications can be implemented by another entity of the verification system 1, such as for example the control entity 4.
  • Such an embodiment is advantageous in particular when the verification system 1 comprises several verification entities 5 supplying the digital identity IDNUM(U) and managed by the same control entity 4.
  • the DYOS procedure which has just been described makes it possible to carry out an audit not only of the main connection established to access a service, but also the secondary connections established on the margins of this main connection, and this, at different points of these connections. It can be combined with an on-site audit, carried out for example at the level of the authoritative server providing the service in question.
  • the DYOS procedure proposed by the invention thus allows a global audit of the service S making it possible to validate or invalidate the respect by this service and by the underlying services (annexes) requested to access this service, of the personal data of an user.
  • the DYOS procedure can be implemented recursively.
  • the procedure which has just been described also applies to each secondary connection established in addition to (that is to say on the sidelines) of the main connection, for the connections established in addition to said secondary connection (hereinafter referred to as by higher-level connections), then from each higher-level connection established in addition to each secondary connection, etc.
  • level N connection hereinafter refers to the main connection and "level N+1 connections” to the secondary connections established in addition to the main connection, then "level N+ connections”. 2", the secondary connections established in addition to each level N+1 connection, etc. and more generally “level N+x connections” connections established in addition to level N+(x-1) connections.
  • the procedure which has just been described can be recursively applied to a connection of level N+(x-1) (considered as the main connection) and to the connections of level N+x established in addition of this connection (considered in the DYOS procedure as secondary connections of the main connection of level N+(x-1)).
  • the audit mechanism proposed by the DYOS procedure can thus advantageously be applied to all connections (i.e., all connections from level N to level N+(x-1)).
  • the digital identity of the user taken into account for the audit carried out by the DYOS procedure can then take into account all the identification information collected at all the levels considered.
  • an architecture of verification system 1 based on a coordination entity and on a control entity has been considered. However, it is also possible to have several coordination entities and several control entities. Moreover, the same verification entity can be managed by several control entities.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Le procédé de contrôle d'une vérification opérée sur des données véhiculées dans un réseau lors d'un accès par un premier dispositif d'un utilisateur à un service fourni par un deuxième dispositif via une connexion principale, est mis en œuvre par une entité de contrôle et comprend: - le déclenchement auprès d'une entité de coordination d'une configuration du service pour que des données véhiculées sur ladite connexion principale et sur au moins une connexion secondaire établie en marge de ladite connexion principale pour fournir le service transitent par une entité de vérification sélectionnée par ladite entité de contrôle pour analyser lesdites données; - la notification de ladite entité de coordination si un événement est détecté dans une identité numérique dudit utilisateur véhiculée lors de l'accès audit service et comprenant des informations d'identification de l'utilisateur obtenues à partir desdites données analysées par ladite entité de vérification.

Description

Procédés de contrôle, de vérification et de configuration, et entités configurées pour mettre en œuvre ces procédés
L’invention appartient au domaine général des télécommunications.
Elle concerne plus particulièrement la gestion de données sensibles véhiculées sur un réseau de communication (ex. réseau IP (pour « Internet Protocol » en anglais)) lors d’un accès par un premier dispositif, tel qu’un équipement client (ex. un terminal d’un utilisateur ou un CPE (pour « Customer Premises Equipment » en anglais)), à un service fourni par un deuxième dispositif, tel qu’un serveur ou une plateforme de service.
Les données sensibles auxquelles s’intéresse l’invention sont plus spécifiquement des informations qui contribuent à l’identification d’un individu, désignées ici par « informations d’identification », telles que définies notamment en section 5.2.2 du document RFC 6973 édité par l’IETF et intitulé « Privacy Considerations for Internet Protocols », juillet 2013. De telles informations d’identification peuvent être liées à un individu particulier et être utilisées, seules ou en combinaison avec d’autres éléments, pour déduire ou reconnaître l’identité de cet individu. Elles peuvent être de natures diverses et variées ; il peut s’agir notamment d’identifiants à proprement parler de l’utilisateur ou de l’équipement utilisé par ce dernier, mais également d’autres données comme sa localisation ou la localisation de voisins d’un équipement (ex. terminal) de cet utilisateur, de logs de l’utilisateur sur un ou plusieurs sites web, de champs particuliers de messages caractéristiques de protocoles de communication, etc. De nombreuses informations sont en effet susceptibles d’apporter des indications sur l’identité de l’utilisateur, seules ou en combinaison avec d’autres informations.
Comme le souligne le document RFC 6973, dans certains contextes, il est parfaitement légitime d’identifier des individus (auteurs d’attaques par déni de service ou DDoS (pour « Distributed Denial of Service » en anglais), par exemple). Toutefois, dans d’autres contextes, une telle identification peut être problématique, par exemple parce qu’elle empêche l’individu de bénéficier d’un anonymat nécessaire à son activité ou à une opération à laquelle il participe, ou parce qu’elle divulgue des éléments pouvant porter atteinte à la vie privée de l’individu ou à celle d’autres individus, ou encore parce qu’elle donne la possibilité d’exercer un contrôle sur l’individu en question ou un traitement différencié, etc.
Aujourd’hui, l’utilisation massive des moyens de communication, la prolifération des applications logicielles installées sur les terminaux des utilisateurs (ex. téléphones intelligents ou « smartphones » en anglais, ordinateurs portables, tablettes) et la sophistication des briques technologiques sous-jacentes, conduisent à une collecte toujours plus importante de données qui peuvent être partagées avec diverses plateformes, telles que des plateformes de service ou d’autres infrastructures sollicitées lors de l’accès à des services (ex. plateforme de publicité ou de traçage web (aussi connu sous le nom de « web tracking » en anglais)), et ce généralement à l’insu des utilisateurs. On désigne dans la suite de façon générale par « données de télémétrie », ces données ainsi collectées et partagées.
La collecte de données de télémétrie ne se restreint pas aux données utiles pour le bon fonctionnement d’une application ou d’un service mais peut comprendre également des informations d’identification divulguant des éléments sensibles relevant de la vie privée des utilisateurs. De même, elle ne se limite pas à certaines applications mais concerne également la plupart des systèmes d’exploitation (ou OS pour « Operating System », en anglais) installés sur les terminaux des utilisateurs. Par exemple, les systèmes d’exploitation installés sur les terminaux mobiles envoient les données de télémétrie suivantes vers des infrastructures gérées par les fournisseurs des systèmes d’exploitation en question : identifiant IMEI (pour « International Mobile Equipment Identity » en anglais), numéro de série, numéro de série de la carte SIM (pour « Subscriber Identity Module » en anglais), numéro de téléphone public, adresse IP locale, adresse MAC (pour « Medium Access Control » en anglais) du terminal, adresses MAC des terminaux disponibles à proximité, ainsi que d’autres identifiants uniques. Ces pratiques ne sont toutefois pas spécifiques aux terminaux mobiles.
Les données de télémétrie remontées par le ou les systèmes d’exploitation d’un terminal, corrélées avec des données d’accès à certains services, peuvent permettre de reconnaître l’identité de l’utilisateur du terminal, voire divulguer des informations qui portent atteinte à sa vie privée ou à celle d’autres individus qui n’utilisent même pas lesdits services.
Par exemple, la collecte des adresses MAC des terminaux à proximité du terminal d’un utilisateur permet de construire dans le temps une sorte de réseau qui donne des indications sur les relations sociales, les centres d’intérêt, ainsi que d’autres informations sensibles et caractéristiques de l’utilisateur.
En effet, les données de télémétrie remontées par un terminal donné peuvent être utilisées pour tracer d’autres terminaux même s’ils ne supportent pas un système d’exploitation donné. A titre illustratif, supposons un terminal H, connecté à un réseau local, et ayant un système d’exploitation OS#1 configuré pour informer par exemple une infrastructure OSCloud située dans le cloud de la présence d’un terminal vH voisin du terminal H, supportant un autre système d’exploitation OS#2. Le terminal H peut ainsi révéler l’adresse MAC (mac@1) de vH, transmettre des données relatives à sa localisation, etc. Lorsque le terminal vH se connecte à un autre réseau, les terminaux connectés à cet autre réseau et équipés du même système d’exploitation OS#1, informent à leur tour l’infrastructure OSCloud de la présence du terminal vH et son adresse MAC (@mac1), transmettent des données relatives à sa localisation, etc. L’identification du terminal vH peut alors se faire aisément par l’infrastructure OSCloud en corrélant l’ensemble des informations reçues : adresses MAC et/ou toute(s) autre(s) donnée(s) de télémétrie rapportée(s) par les terminaux équipés du système d’exploitation OS#1.
A priori, la grande majorité des utilisateurs ne disposent pas de moyens pour détecter (et empêcher) l’envoi de telles données de télémétrie et éviter leur partage avec des entités externes. Il convient de noter que l’activation du mode « privé » offert par certaines applications (comme par exemple, certains navigateurs Web) n’empêche pas l’envoi de données de télémétrie par ces applications.
On peut envisager de mettre en place des mécanismes de certification et d’audit pour vérifier les données de télémétrie collectées par une infrastructure de service et s’assurer que les données de télémétrie ainsi collectées sont nécessaires pour la fourniture de ce service. Ces mécanismes peuvent être mis en œuvre notamment par des serveurs dit autoritaires (ou « authoritative servers », en anglais) avec lesquels les terminaux des utilisateurs du service établissent des connexions pour accéder au service, récupérer un contenu, etc. De tels mécanismes ont pour objectifs d’une part, de s’assurer que les données de télémétrie collectées sont compatibles avec les conditions générales d’utilisation (ou CGU) du service et d’autre part, de vérifier qu’elles n’enfreignent pas les dispositions législatives/réglementaires en vigueur (par exemple en Union Européenne, le règlement général sur la protection des données ou RGPD). Ces mécanismes peuvent être mis en place à la demande du fournisseur du service, d’une autorité de régulation locale, ou tout autre organisme.
Toutefois, auditer localement le ou les serveurs autoritaires d’une infrastructure de service n’est pas suffisant pour tirer des conclusions quant au respect des dispositions couvertes par l’audit. En effet, un service peut impliquer une infrastructure complexe, aussi appelée domaine de service (ou « Service Realm » en anglais), qui ne se résume pas aux serveurs autoritaires. Cette infrastructure complexe peut impliquer notamment des serveurs frontaux, des répartiteurs de charge (ou « load balancers » en anglais), des serveurs terminant les connexions sécurisées (ex. connexions TLS (pour « Transport Layer Security » en anglais)), des serveurs de rétention de données (ou « logging » en anglais), des serveurs de distribution de contenus, etc. De plus, la livraison du service peut être distribuée et impliquer, par exemple, un cluster anycast, des serveurs cache, etc. Certains fournisseurs de service offrent aussi un service DNS (pour « Domain Name System » en anglais), un service de traçage, etc.
Plusieurs serveurs peuvent donc être sollicités pour la fourniture d’un même service, y compris lorsque ce service est un « simple » accès à un site web. Une connexion établie vers un serveur autoritaire au titre d’un service, désignée ici par « connexion principale », est donc le plus souvent complétée d’un ensemble de sous-connexions vers d’autres serveurs, désignées ici par « connexions secondaires » : autrement dit, l’accès à un service est le résultat de la combinatoire d’une pluralité de connexions incluant la connexion principale et une ou plusieurs connexions secondaires. Chacune de ces connexions secondaires peut elle-même donner lieu à l’établissement d’autres connexions. Les informations collectées par tous les serveurs avec lesquels ces différentes connexions ont été établies peuvent être corrélées et utilisées à des fins de profilage, d’identification, ou de suivi des utilisateurs, etc. Auditer le ou les services autoritaires d’un service est donc insuffisant pour apprécier le respect des clauses de confidentialité d’un service.
L’invention propose une solution permettant d’opérer une vérification des données de télémétrie véhiculées sur un réseau tout en tenant compte de la complexité des infrastructures de service.
Plus particulièrement, l’invention concerne selon un premier aspect, un procédé de contrôle d’une vérification opérée sur des données véhiculées dans au moins un réseau de communication lors d’un accès par un premier dispositif d’un utilisateur à un service fourni par un deuxième dispositif via une connexion dite principale établie entre le premier et le deuxième dispositif, ce procédé étant destiné à être mis en œuvre par une entité de contrôle et comprenant :
  • une étape de déclenchement, auprès d’une entité de coordination, d’une configuration du service pour que des données véhiculées sur la connexion principale et sur au moins une connexion secondaire établie en marge (c’est-à-dire en complément) de cette connexion principale pour la fourniture du service transitent par au moins une entité de vérification sélectionnée par l’entité de contrôle pour analyser ces données ; et
  • une étape de notification de l’entité de coordination, si un événement déterminé est détecté dans une identité numérique de l’utilisateur véhiculée lors de l’accès au service et comprenant des informations d’identification de l’utilisateur obtenues à partir des données analysées par ladite au moins une entité de vérification.
Corrélativement, l’invention vise également une entité de contrôle d’une vérification opérée sur des données véhiculées dans au moins un réseau de communication lors d’un accès par un premier dispositif d’un utilisateur à un service fourni par un deuxième dispositif via une connexion dite principale établie entre le premier et le deuxième dispositif, cette entité de contrôle comprenant :
  • un module de déclenchement, configuré pour déclencher auprès d’une entité de coordination, une configuration du service pour que des données véhiculées sur la connexion principale et sur au moins une connexion secondaire établie en marge de cette connexion principale pour la fourniture du service transitent par au moins une entité de vérification sélectionnée par l’entité de contrôle pour analyser ces données ; et
  • un module de notification, configuré pour notifier l’entité de coordination, si un événement déterminé est détecté dans une identité numérique de l’utilisateur véhiculée lors de l’accès au service et comprenant des informations d’identification de l’utilisateur obtenues à partir des données analysées par ladite au moins une entité de vérification.
L’entité de coordination est par exemple hébergée par l’infrastructure offrant le service. Elle contrôle les éléments impliqués lors de la fourniture du service, et est ainsi en mesure de configurer le service, sur commande de l’entité de contrôle, pour que tout ou partie des données véhiculées sur les connexions principale et secondaires transitent via une ou plusieurs entités de vérification sélectionnées par l’entité de contrôle pour analyser ces données et déterminer notamment si elles contiennent des informations d’identification de l’utilisateur. De telles informations d’identification, lorsqu’elles sont détectées par la ou les entités de vérification diligentées par l’entité de contrôle, sont consignées par cette ou ces dernières dans une identité numérique de l’utilisateur associée au service (qui reflète l’identité numérique de l’utilisateur maintenue par le service). Il convient de noter, comme souligné précédemment en référence au document RFC 6973, que la notion d’informations d’identification au sens de l’invention n’inclut pas seulement des informations qui à elles seules identifient sans ambiguïté l’utilisateur. Cette notion comprend également d’autres informations qui induisent (par exemple du fait de leur ordre d’apparition dans les messages émis par l’équipement client de l’utilisateur) des précisions sur l’identité de l’utilisateur ou qui, corrélées entre elles ou avec d’autres éléments, permettent d’obtenir de telles précisions. De telles informations d’identification consistent par exemple en l’identification d’un réseau d’accès auquel est connecté l’équipement client de l’utilisateur, la localisation de l’équipement client de l’utilisateur, une adresse MAC d’un équipement client voisin, etc. L’identité numérique alimentée par la ou les entités de vérification peut comprendre non seulement les informations d’identification extraites directement des données analysées par cette ou ces dernières, mais également les précisions apportées par ces informations d’identification ou obtenues par corrélation de ces informations d’identification (éventuellement avec d’autres éléments), qui constituent en tant que telles également des informations d’identification au sens de l’invention.
En fonction du contenu de l’identité numérique collectée par les entités de vérification, l’entité de contrôle peut être amenée à notifier l’entité de coordination. Par exemple, une telle notification peut être déclenchée sur détection d’au moins un événement par une dite entité de vérification parmi :
  • une nouvelle plateforme de collecte de données impliquée dans l’accès audit service ;
  • un niveau d’exposition d’informations d’identification de l’utilisateur supérieur à un seuil donné ;
  • une nouvelle information d’identification de l’utilisateur détectée par ladite au moins une entité de vérification dans lesdites données analysées ;
  • une information d’identification de l’utilisateur transmise à une entité tierce qui ne respecte pas des conditions d’utilisation dudit service approuvées par ledit utilisateur.
L’invention propose donc une solution collaborative s’appuyant sur une entité de contrôle commandant une ou plusieurs entités de vérification situées sur des chemins empruntés par les données de la connexion principale et par celles des connexions secondaires établies en marge de cette connexion principale, et sur une entité de coordination, apte à configurer le service pour que les données véhiculées lors de l’accès au service transitent par les entités de vérification en question pour être analysées. L’identité numérique alimentée par les entités de vérification à partir des données qu’elles analysent des informations d’identification de l’utilisateur, permet de corréler les résultats des analyses menées le cas échéant par chacune des entités de vérification et de détecter d’éventuelles failles concernant ces informations d’identification lors de la fourniture du service, susceptibles d’être préjudiciables à l’utilisateur (ex. révélation d’informations sensibles). L’entité de coordination en est alors informée, et peut prendre rapidement des mesures pour remédier à ces failles et/ou en informer l’utilisateur (en adaptant par exemple ses conditions générales d’utilisation).
Par exemple, la corrélation permise par l’invention via la constitution de l’identité numérique de l’utilisateur peut révéler des pratiques telles que la délégation de sous-domaines à des tiers moyennant une redirection du trafic (technique dite de « CNAME (Canonical NAME) cloaking », en anglais). Cette pratique permet à des tiers de déposer sur le dispositif de l’utilisateur des « cookies » qui sont considérés comme des cookies « first party » (c’est-à-dire permettant de sauvegarder par exemple des préférences ou un identifiant (« login » en anglais) de l’utilisateur lors de l’accès à un site), ce qui permet d’éviter d’éventuels blocages mis en place par les navigateurs. Une telle pratique ouvre la porte à une faille sécuritaire importante, car, de facto, elle permet à des tiers d’accéder à des jetons d’authentification stockés dans les cookies.
L’invention offre donc la possibilité de réaliser dynamiquement (c’est-à-dire à la demande) un audit (i.e. une vérification) global du service permettant d’identifier les informations sensibles relatives à un utilisateur et partagées entre les différentes infrastructures impliquées dans ou sollicitées lors de l’invocation du service et de caractériser le traitement qui est fait de ces informations sensibles. L’audit global proposé par l’invention est donc un audit dont les résultats permettront à un utilisateur du service de mieux protéger sa vie privée (que l’on peut aussi désigner par souci de simplification par « audit de protection de la vie privée »). L’invention ne se limite pas à auditer le serveur autoritaire impliqué dans la fourniture du service (« audit sur site »), mais permet également de diligenter des audits hors site permettant de disposer d’une vue globale des informations d’identification de l’utilisateur véhiculées et partagées lors de l’invocation du service. L’invention permet en particulier de détecter une exposition indue de ces informations sensibles, telle qu’une exposition non conforme à des conditions générales d’utilisation acceptées par l’utilisateur et/ou à des dispositions réglementaires.
L’invention peut être avantageusement couplée à un mécanisme d’audit sur site, qui permet pour sa part d’évaluer certaines pratiques comme le stockage des données, des « scripts » tels que des algorithmes d’extraction de données activés sur le serveur autoritaire etc., de sorte à fiabiliser davantage les conclusions de l’audit conduit grâce à l’invention.
Dans un mode particulier de réalisation, l’étape de déclenchement est conditionnée par une acceptation préalable de l’entité de coordination de procéder à l’analyse desdites données.
Cette acceptation préalable peut prendre différentes formes, comme par exemple la vérification que l’entité de contrôle est autorisée à déclencher une telle analyse conformément à un accord d’audit statique conclu préalablement entre le fournisseur du service et le fournisseur du service d’audit (c’est-à-dire l’entité qui gère l’entité de contrôle et les entités de vérification), ou un échange dynamique mis en place entre l’entité de coordination et l’entité de contrôle en utilisant le protocole CPNP (pour « Connectivity Provisioning Negotiation Protocol ») défini dans le document RFC 8921 édité par l’IETF en octobre 2020, etc. Cet accord ou cet échange dynamique préalable permet de délimiter le périmètre de l’audit de protection de la vie privée réalisé par l’entité de contrôle et les entités de vérification, et notamment les flux de données à analyser (ex. tous les flux, quelle que soit leur origine ou une ou plusieurs catégories spécifiques de flux), le ou les utilisateurs concernés, les connexions à auditer (sélection aléatoire ou ciblée, résultant d’une demande explicite d’un administrateur ou exécutée en fonction d’événements externes, comme par exemple le changement de règles générales d’utilisation), etc.
Dans un mode particulier de réalisation, le procédé de contrôle comprend une étape de sélection de ladite au moins une entité de vérification en fonction d’au moins une contrainte du service prédéterminée ou transmise par l’entité de coordination.
Une telle contrainte est par exemple un délai de détour maximum autorisé, une zone géographique, un numéro de système autonome (ou AS pour « Autonomous System »), etc. Ceci permet avantageusement de s’assurer que le processus d’audit ou de vérification est transparent pour l’utilisateur ou tout du moins de minimiser son impact sur la qualité d’expérience telle que perçue par l’utilisateur.
Dans un mode particulier de réalisation, l’étape de déclenchement du procédé de contrôle comprend une fourniture à ladite entité de coordination d’une information de joignabilité de ladite au moins une entité de vérification.
Une telle information de joignabilité est par exemple une adresse IP ou un nom de domaine correspondant à ladite au moins une entité de vérification. Elle permet à l’entité de coordination de programmer la chaîne de service pour inclure la ou les entités de vérification dans le chemin des données qui sont destinées à être analysées par cette ou ces entités de vérification. A cet effet, différentes solutions peuvent être envisagées : modification de la chaîne de résolution de noms de domaine (DNS) pour que l’information de joignabilité de la ou des entités de vérification soit communiquée au premier dispositif, activation d’un mécanisme de chaînage de service (ou SFC pour « Service Function Chaining » en anglais) pour que la ou les entités de vérification soient invoquées dans les chemins empruntés par les données destinées à être analysées par ces dernières, redirection des données destinées à être analysées vers la ou les entités de vérification, etc.
Comme il apparaît au vu de ce qui précède, l’invention s’appuie sur l’entité de contrôle, mais également sur la ou les entités de vérification sélectionnées par l’entité de contrôle pour le traitement des données.
Ainsi, selon un deuxième aspect, l’invention vise également un procédé de traitement, par une entité de vérification, de données véhiculées sur au moins un réseau de communication lors d’un accès par un premier dispositif d’un utilisateur à un service fourni par un deuxième dispositif via une connexion dite principale établie entre le premier et le deuxième dispositif, au moins une connexion dite secondaire étant établie en marge de ladite connexion principale lors de la fourniture dudit service, ledit procédé comprenant :
  • une étape de réception de données véhiculées via ladite connexion principale et/ou au moins une dite connexion secondaire ;
  • si au moins une information d’identification de l’utilisateur est obtenue à partir desdites données reçues, en fonction de ladite au moins une information d’identification obtenue, une étape de mise à jour d’une identité numérique de l’utilisateur véhiculée lors de l’accès audit service ; et
  • une étape de relai desdites données reçues vers un destinataire desdites données.
Corrélativement, l’invention concerne aussi une entité de vérification de données véhiculées sur au moins un réseau de communication lors d’un accès par un premier dispositif d’un utilisateur à un service fourni par un deuxième dispositif via une connexion dite principale établie entre le premier et le deuxième dispositif, au moins une connexion dite secondaire étant établie en marge de ladite connexion principale lors de la fourniture dudit service, ladite entité de vérification comprenant :
  • un module de réception, configuré pour recevoir des données véhiculées via ladite connexion principale et/ou au moins une dite connexion secondaire ;
  • un module de mise à jour, activé si au moins une information d’identification de l’utilisateur est obtenue à partir desdites données, et configuré pour mettre à jour une identité numérique de l’utilisateur véhiculée lors de l’accès audit service en fonction de ladite au moins une information d’identification obtenue ; et
  • un module de transmission configuré pour relayer lesdites données reçues vers un destinataire desdites données.
Ainsi, préférentiellement, la mise à jour de l’identité numérique n’est réalisée que si la ou les informations d’identification détectées le cas échéant dans les données ne sont pas déjà contenues dans l’identité numérique collectée par les entités de vérification et associée audit service.
L’entité de vérification et le procédé de traitement selon l’invention bénéficient des mêmes avantages cités précédemment que l’entité de contrôle et le procédé de contrôle selon l’invention.
Dans un mode particulier de réalisation, le procédé de traitement comprend en outre une étape d’analyse des données reçues pour déterminer si elles véhiculent (de manière explicite ou implicite (dans ce cas ; l’analyse des données observées permet de déduire des informations d’identification supplémentaires) au moins une information d’identification de l’utilisateur, ladite étape d’analyse utilisant au moins un paramètre avec lequel ladite entité de vérification a été préalablement configurée et/ou qu’elle a acquis via une exécution d’un algorithme d’apprentissage machine (ou « machine learning » en anglais).
Ainsi, différentes options sont possibles pour détecter des informations sensibles (qui peuvent être mises en œuvre de façon alternative ou complémentaire) véhiculées par les données transmises sur les connexions principale et secondaires. Selon une première option, l’entité de vérification peut être configurée préalablement avec un ensemble de paramètres déterminés lui permettant de reconnaître des informations d’identification parmi les données analysées. De tels paramètres peuvent être par exemple des entêtes particuliers de messages à rechercher tels que ceux utilisés par un système d’exploitation, ou des informations d’identification spécifiques (déterminées à l’avance, comme un identifiant MSISDN (pour « Mobile Station ISDN Number » en anglais) ou IMEI (pour « International Mobile Equipment Identity » en anglais), un numéro de série, etc.), ou une séquence ordonnée de certaines données dans un paquet de données. Selon une deuxième option, l’entité de vérification peut acquérir dynamiquement de tels paramètres, via un algorithme d’apprentissage machine qui, par exemple, est en mesure de détecter des identifiants persistants impliqués dans un échange lié au service. Cet algorithme d’apprentissage machine peut être paramétré par le fournisseur du service d’audit, par exemple dans le respect des informations contractuelles qui définissent sa relation avec ses clients (par exemple une autorité de régulation peut être à l’origine de l’audit pour vérifier le respect des engagements pris par le fournisseur de service auprès de ses clients) ou par un autre acteur, comme par exemple l’utilisateur. Il convient de noter que les résultats de l’algorithme peuvent différer selon la nature du paramétrage et l’entité qui effectue ce paramétrage. Si un acteur autre que le fournisseur du service d’audit est envisagé, alors préférentiellement une procédure est mise en œuvre pour sécuriser ce paramétrage et s’assurer qu’il est bien autorisé (par exemple partage d’un identifiant unique entre l’acteur et l’entité de contrôle, qui communique cet identifiant à l’entité de coordination pour pouvoir identifier ultérieurement l’acteur).
Dans un mode de réalisation particulier, le procédé de traitement comprend en outre :
  • une étape d’obtention d’une liste d’informations d’identification déclarées comme étant véhiculées lors de l’accès audit service et/ou un ou des traitements appliqués à ladite liste d’informations d’identification ;
  • une étape de vérification de la conformité de l’identité numérique de l’utilisateur à ladite liste et/ou auxdits traitements obtenus ; et
  • une étape de signalement en cas de non-conformité.
En d’autres termes, l’entité de vérification est chargée d’analyser l’identité numérique de l’utilisateur collectée conformément à l’invention lors de l’accès au service par l’utilisateur, et de déterminer si elle est conforme à ce qui est attendu (c’est-à-dire telle que déclarée par le fournisseur du service ou par les fournisseurs des services annexes invoqués sur les connexions secondaires lors de l’accès au service). Dans le cas contraire, l’entité de vérification le signale à différentes entités selon plusieurs variantes : ce signalement peut se faire en envoyant par exemple une notification à l’entité de contrôle, qui se charge de la relayer vers l’entité de coordination par exemple ou vers l’utilisateur, ou encore vers le fournisseur du service d’audit ou vers l’ensemble de ces entités. En variante, l’entité de vérification peut ajouter un indicateur dans l’identité numérique auquel l’entité de contrôle ou l’utilisateur peut accéder.
Dans un autre mode de réalisation, on peut envisager que cette analyse soit confiée à une autre entité qu’à une entité de vérification. Cela peut être pertinent notamment lorsque plusieurs entités de vérification sont chargées par l’entité de contrôle d’analyser les données véhiculées lors de l’accès au service par l’utilisateur. Dès lors, on doit s’assurer que cette autre entité ait accès à l’identité numérique collectée par la ou les entités de vérification. Il peut s’agir de l’entité de contrôle (qui gère la pluralité d’entités de vérification et a accès à l’identité numérique) ou à une entité tierce.
Dans un mode particulier de réalisation, le procédé de traitement comprend une étape de signalement à une entité de contrôle d’au moins un événement détecté par l’entité de vérification parmi :
  • une nouvelle plateforme de collecte de données impliquée dans l’accès audit service ;
  • un niveau d’exposition d’informations d’identification de l’utilisateur supérieur à un seuil donné ;
  • une nouvelle information d’identification de l’utilisateur détectée par ladite au moins une entité de vérification dans lesdites données analysées ;
  • une information d’identification de l’utilisateur transmise à une entité tierce qui ne respecte pas des conditions d’utilisation dudit service approuvées par ledit utilisateur.
Cette liste n’est bien entendu pas exhaustive. Ainsi, d’autres analyses peuvent être conduites par l’entité de vérification ou l’autre entité (entité de contrôle ou entité tierce) à partir de l’identité numérique de l’utilisateur collectée lors de l’accès au service.
Dans un mode particulier de réalisation, le procédé de traitement comprend une étape d’envoi au premier dispositif d’un entête comprenant une information de joignabilité de ladite au moins une entité de vérification, ledit entête indiquant audit premier dispositif qu’il doit envoyer ses requêtes de résolution de noms de domaine vers ladite au moins une entité de vérification.
Autrement dit, ce mode de réalisation propose une configuration DNS dynamique du premier dispositif, adaptée à la mise en œuvre de l’invention. Elle permet en effet avantageusement de s’assurer que l’entité de vérification trace toutes les connexions secondaires établies en marge de la connexion principale dans le cadre de l’accès au service par l’utilisateur.
Comme évoqué précédemment, l’invention concerne également selon un troisième aspect, une entité de coordination et le procédé mis en œuvre par cette entité de coordination.
Plus particulièrement, l’invention vise un procédé de configuration d’un service fourni à un premier dispositif par un deuxième dispositif via une connexion dite principale établie entre le premier et le deuxième dispositif, ledit procédé de configuration étant destiné à être mis en œuvre par une entité de coordination et comprenant, sur requête d’une entité de contrôle, une étape de configuration du service pour que des données véhiculées sur ladite connexion principale et sur au moins une connexion secondaire établie en marge de ladite connexion principale pour la fourniture du service transitent par au moins une entité de vérification sélectionnée par ladite entité de contrôle pour analyser lesdites données.
Corrélativement, l’invention concerne aussi une entité de coordination apte à configurer un service fourni à un premier dispositif par un deuxième dispositif via une connexion dite principale établie entre le premier et le deuxième dispositif, ladite entité de coordination comprenant un module de configuration, activé sur requête d’une entité de contrôle et programmé pour configurer ledit service pour que des données véhiculées sur ladite connexion principale et sur au moins une connexion secondaire établie en marge de ladite connexion principale pour la fourniture du service transitent par au moins une entité de vérification sélectionnée par ladite entité de contrôle pour analyser lesdites données.
L’entité de coordination et le procédé de configuration selon l’invention bénéficient des mêmes avantages cités précédemment que l’entité de contrôle, l’entité de vérification, le procédé de contrôle et le procédé de traitement selon l’invention.
Dans un mode particulier de réalisation, l’étape de configuration est précédée d’une étape de vérification qui consiste à vérifier si ladite entité de contrôle est autorisée à déclencher une analyse desdites données par ladite au moins une entité de vérification.
Ceci permet de s’assurer d’une collaboration entre l’entité de contrôle et l’entité de coordination du service.
Comme évoqué précédemment, dans un mode particulier de réalisation, le procédé de configuration comprend une étape de transmission à ladite entité de contrôle d’au moins une contrainte dudit service à tenir compte pour sélectionner ladite au moins une entité de vérification.
Dans un autre mode de réalisation, l’étape de configuration comprend un déclenchement :
  • d'une modification d’un mécanisme de résolution de noms de domaine pour inclure une information de joignabilité de ladite au moins une entité de vérification ; ou
  • d’une activation d’un mécanisme de chaînage de service impliquant ladite au moins une entité de vérification ; ou
  • d’un mécanisme de routage à la source ; ou
  • d’une redirection des données vers ladite au moins une entité de vérification.
Ceci permet de s’assurer que les données de la connexion principale et des connexions secondaires transitent via la ou les entités de vérification désignées pour analyser les données.
Dans un mode particulier de réalisation, le déclenchement d’une modification d’un mécanisme de résolution de noms de domaine comprend l’envoi au premier dispositif d’un entête comprenant ladite information de joignabilité de ladite au moins une entité de vérification, ledit entête indiquant audit premier dispositif qu’il doit envoyer ses requêtes de résolution de noms de domaine vers ladite au moins une entité de vérification.
Dans un mode particulier de réalisation du procédé de configuration selon l’invention, le déclenchement d’une modification d’un mécanisme de résolution de noms de domaine comprend une activation au niveau d’une entité impliquée dans la fourniture du service d’un envoi au premier dispositif d’un entête comprenant ladite information de joignabilité de ladite au moins une entité de vérification, ledit entête indiquant audit premier dispositif qu’il doit envoyer tout ou partie de ses requêtes de résolution de noms de domaine vers ladite au moins une entité de vérification.
Dans un mode particulier de réalisation, les procédés de contrôle, de traitement et/ou de configuration sont mis en œuvre par un ordinateur.
L’invention vise également un programme d’ordinateur sur un support d’enregistrement, ce programme étant susceptible d’être mis en œuvre dans un ordinateur ou plus généralement dans une entité de contrôle conforme à l’invention et comporte des instructions adaptées à la mise en œuvre d’un procédé de contrôle tel que décrit ci-dessus.
L’invention vise également un programme d’ordinateur sur un support d’enregistrement, ce programme étant susceptible d’être mis en œuvre dans un ordinateur ou plus généralement dans une entité de vérification conforme à l’invention et comporte des instructions adaptées à la mise en œuvre d’un procédé de traitement tel que décrit ci-dessus.
L’invention vise aussi un programme d’ordinateur sur un support d’enregistrement, ce programme étant susceptible d’être mis en œuvre dans un ordinateur ou plus généralement dans une entité de coordination conforme à l’invention et comporte des instructions adaptées à la mise en œuvre d’un procédé de configuration tel que décrit ci-dessus.
Chacun de ces programmes peut utiliser n’importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n’importe quelle autre forme souhaitable.
L’invention vise aussi un support d'information ou un support d’enregistrement lisibles par un ordinateur, et comportant des instructions d’un programme d'ordinateur tel que mentionné ci-dessus.
Le support d'information ou d’enregistrement peut être n'importe quelle entité ou dispositif capable de stocker les programmes. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple un disque dur, ou une mémoire flash.
D'autre part, le support d'information ou d’enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par lien radio, par lien optique sans fil ou par d'autres moyens.
Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.
Alternativement, le support d'information ou d’enregistrement peut être un circuit intégré dans lequel un programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution des procédés de gestion, d’enregistrement et de communication selon l’invention.
Selon un quatrième aspect, l’invention vise aussi un système de vérification comprenant au moins une entité de contrôle, au moins une entité de vérification et au moins une entité de coordination conformes à l’invention.
On peut également envisager, dans d'autres modes de réalisation, que les procédés de contrôle, de traitement, et de configuration ainsi que les entités de contrôle, de vérification et de coordination, et le système de vérification selon l’invention présentent en combinaison tout ou partie des caractéristiques précitées.
D’autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures :
la représente, dans son environnement, un système de vérification conforme à l’invention, dans un mode particulier de réalisation ;
la représente schématiquement l’architecture matérielle d’un ordinateur pouvant héberger l’une quelconque des entités selon l’invention appartenant au système de vérification de la ;
la représente les différentes étapes des procédés de contrôle, de vérification et de configuration selon l’invention dans un mode particulier de réalisation dans lequel ils sont mis en œuvre par les entités du système de vérification de la  ;
la illustre un exemple de modification d’une chaîne de résolution de noms de domaine permettant de mettre en œuvre l’invention.
Description de l’invention
La représente un système 1 de vérification selon l’invention, dans un mode particulier de réalisation.
Dans l’exemple envisagé à la , le système 1 de vérification offre un mécanisme (aussi désigné ici par service ou procédure DYOS, pour « DYnamic Off-Site IP privacy assessment procedure » en anglais) permettant avantageusement d’effectuer des opérations de vérification globale (aussi désignées parfois par opérations d’audit ou opérations d’audit de protection de la vie privée dans ce document), du respect par un service S proposé par un fournisseur de service SP via le réseau Internet, de la protection de la vie privée de ses utilisateurs et en particulier de la confidentialité de leurs données personnelles . La vérification opérée peut être générique et porter sur l’ensemble du service S, ou au contraire être plus spécifique et porter seulement sur une catégorie donnée de flux échangés lors de l’accès à ce service par un utilisateur (ex. ceux générés par une application ou un système d’exploitation particulier, ceux associés à un opérateur particulier, etc.). Une telle vérification peut être avantageusement déclenchée dynamiquement à la demande, par exemple sur requête d’un utilisateur du service S, ou du fournisseur SP du service S, ou encore d’un tiers.
Pour fournir le service S, le fournisseur de service SP s’appuie sur une infrastructure de service hébergée dans un domaine de service SR (ou « Service Realm » en anglais). Par souci de simplification, on considère ici que le domaine de service SR comprend un serveur autoritaire 2 (ou « authoritative server » en anglais) (deuxième dispositif au sens de l’invention) avec lequel, pour accéder au service S, un utilisateur U établit une connexion dite principale (C1) via au moins un équipement utilisateur 3 (premier dispositif au sens de l’invention). Par souci de simplification, dans l’exemple envisagé et décrit par la , on considère que l’utilisateur U utilise un unique équipement utilisateur 3 pour accéder au service S. Toutefois, cette hypothèse n’est pas limitative en soi.
Comme évoqué précédemment, plusieurs serveurs référencés par X dans la , distincts du serveur autoritaire 2, peuvent être par ailleurs sollicités pour la fourniture du service S ; ces serveurs X sont impliqués lors de l’accès au service S dans des connexions dites secondaires (C2), (C2’), … établies avec l’équipement utilisateur 3 en marge de la connexion principale (C1) entre l’équipement utilisateur 3 et le serveur autoritaire 2, pour fournir des services dits « annexes » au service S (ex. résolution de noms de domaine, traçage web). Il en résulte que la connexion établie à proprement parler par l’équipement utilisateur 3 au titre du service S est la combinatoire d’une connexion principale (C1) vers le serveur autoritaire 2 et d’un ensemble de connexions secondaires (C2), (C2’), … vers ces autres serveurs X assurant ces services annexes au service S. Il convient de noter que l’établissement des connexions secondaires est réalisé souvent de manière transparente pour l’utilisateur U.
Pour accéder au réseau Internet et au service S, l’équipement utilisateur 3 peut être connecté directement à un réseau d’un opérateur (ex. réseau d’accès cellulaire ou PLMN (pour « Public Land Mobile Network » en anglais) comme illustré sur la , ou via un réseau local (ou LAN pour « Local Area Network » en anglais) tel qu’un réseau domestique, un réseau d’entreprise, etc., par l’intermédiaire d’un équipement dédié désigné par CPE (pour « Customer Premises Equipment » en anglais). 
Aucune hypothèse n’est faite quant à la nature du service S, qui peut par ailleurs s’appuyer sur un domaine de service SR comprenant une pluralité de serveurs (ex. serveur autoritaire, serveurs cache, répartiteurs de charge, etc.) hébergés dans une seule structure (par exemple une infrastructure d’informatique en nuage ou « cloud computing » en anglais) ou un seul équipement, ou dans plusieurs structures ou plusieurs équipements. Un tel service S peut être un service impliquant un système d’exploitation installé sur l’équipement utilisateur 3, ou une application installée sur l’équipement utilisateur 3 (ex. service web HTTP, ou SIP de voix sur IP, ou WebRTC), ou encore un service fourni par un opérateur de réseau, etc. Le service S peut également se trouver dans un autre réseau que le réseau Internet, par exemple dans un réseau d’un opérateur ou dans une infrastructure publique (ex. cloud public ou « public cloud » en anglais).
En outre, aucune limitation n’est attachée à la nature de l’équipement utilisateur 3 utilisé par l’utilisateur U pour accéder au service S. Il peut s’agir d’un équipement fixe ou mobile tel que par exemple un téléphone intelligent (ou « smartphone » en anglais), un ordinateur portable ou fixe, une tablette numérique, etc. Il convient de noter que l’utilisateur U peut être indifféremment une personne physique ou une personne morale (ex. entreprise) ou encore un groupe d’individus (ex. individus rattachés à un même foyer).
Par ailleurs, l’équipement utilisateur 3 peut disposer d’une pluralité d’interfaces de communication lui permettant d’accéder au réseau dans lequel se trouve le domaine de service SR. L’invention s’applique aussi bien à des équipements utilisateur 3 mono-interface que multi-interfaces, quelle que soit la nature de ces interfaces (ex. LAN, WLAN, 3G/4G/5G). De même, un équipement CPE peut être connecté à plusieurs réseaux d’opérateur (contexte dit « multi-homing » en anglais).
On suppose ici qu’un système d’exploitation OS et une ou plusieurs applications APP#i, i=1,…,N, N désignant un entier supérieur ou égal à 1, sont installés et activés sur l’équipement utilisateur 3, et qu’au moins l’une d’entre elles est sollicitée pour accéder au service S. Comme évoqué précédemment, le système d’exploitation OS et/ou la ou les applications APP#i, i=1,…,N, peuvent collecter et partager différents types de données dites de télémétrie ici avec des infrastructures de service impliquées lors la fourniture du service S, que ce soit sur la connexion principale établie par l’équipement utilisateur 3 ou sur les connexions secondaires (C2), (C2’), … établies en marge de cette connexion principale (C1). Ces données de télémétrie comprennent des données de service, mais également des informations d’identification qui peuvent concerner l’équipement utilisateur 3, son réseau d’attachement, ses voisins IP, son routeur par défaut, l’opérateur du réseau auquel il est connecté, etc. et qui exploitées individuellement ou corrélées entre elles peuvent induire ou révéler des précisions sur l’identité de l’utilisateur U.
En outre, d’autres données (assimilées également ici à des données de télémétrie) incluant des informations d’identification peuvent être injectées dans les paquets de données émis par l’équipement utilisateur 3 par des entités des différents réseaux traversés par ces paquets (ex. réseau d’accès) sur les connexions principale (C1) et secondaires (C2), (C2’), …, et ce, sans que l’utilisateur U de l’équipement utilisateur 3 y ait nécessairement consenti. Ces informations d’identification peuvent être ajoutées notamment au niveau applicatif, par exemple dans des entêtes HTTP tels que les entêtes HTTP propriétaires HTTP_MSISDN, HTTP_X_UP_CALLING_LINE_ID, HTTP_X_NOKIA_MSISDN, HTTP_X_HTS_CLID, HTTP_X_MSP_CLID, HTTP_X_NX_CLID, HTTP__RAPMIN, HTTP_X_WAP_MSISDN, HTTP_COOKIE, HTTP_X_UP_LSID, HTTP_X_H3G_MSISDN, HTTP_X_NETWORK_INFO, etc., dans des options TCP (pour « Transmission Control Protocol » en anglais), dans des options IPv4, dans des entêtes d’extension IPv6 (ou « extension headers » en anglais), etc. Il convient de noter que certaines de ces informations d’identification devraient être normalement supprimées par les réseaux traversés, mais les inventeurs ont constaté qu’en pratique, ce n’est pas toujours le cas, et que de telles informations d’identification peuvent être partagées avec des infrastructures tierces (ex. serveurs X introduits précédemment) au même titre que les informations d’identification incluses dans les paquets de données par l’équipement utilisateur 3 lui-même (ex. par son système d’exploitation OS ou par les applications APP#i, i=1,…,N).
Pour auditer le service S (i.e. vérifier que l’usage qui en est fait respecte la vie privée et en particulier la confidentialité des données personnelles de l’utilisateur U), autrement dit pour mettre en œuvre la procédure DYOS proposée par l’invention, le système 1 de vérification s’appuie sur plusieurs entités, à savoir sur :
  • une entité 4 de contrôle ou PAPc 4 (pour « Privacy Assessment Point control plane » en anglais), conforme à l’invention, et hébergée dans le domaine du service DYOS ;
  • une ou plusieurs entités 5 de vérification ou PAPd 5 (pour « PAP data plane » en anglais), conformes à l’invention ; et
  • une entité 6 de coordination du service S ou CAS 6 (pour « Cooperative Audit Server »), conforme à l’invention, et hébergée dans le domaine de service SR. Cette entité 6 de coordination est configurée notamment pour s’interfacer avec l’entité 4 de contrôle et avec l’entité ayant requis l’exécution de la procédure DYOS pour le service S.
Il convient de noter que l’entité 4 de contrôle et tout ou partie des entités 5 de vérification peuvent être co-localisées ou au contraire, hébergées dans des équipements matériels ou logiciels distincts. En outre, des entités 5 de vérification peuvent être déployées en divers endroits, comme par exemple dans le réseau Internet, dans le réseau d’accès au réseau Internet utilisé par l’équipement utilisateur 3 pour accéder au serveur autoritaire 2, dans le domaine de service SR associé au service S, dans le serveur autoritaire 2, etc. Il peut s’agir d’instances virtuelles (i.e. logicielles) activées à la demande, cette activation se faisant préférentiellement en utilisant des mécanismes sécurisés (avec authentification des instances virtuelles) et/ou de contrôle d’intégrité. On peut notamment utiliser à cet effet un mécanisme connu tel que TEEP (pour « Trusted Exécution Environment Provisioning » en anglais) ou RATS (pour « Remote Attestation Procedures Architecture » en anglais).
Dans le mode de réalisation décrit ici, l’entité 4 de contrôle, l’entité 5 de vérification et l’entité 6 de coordination ont l’architecture matérielle d’un ordinateur 7 telle que représentée à la , ou, lorsqu’il s’agit d’instances virtuelles, sont hébergées par des équipements matériels ayant une telle architecture matérielle et exploitent les éléments de cette architecture matérielle.
L’ordinateur 7 comprend notamment un processeur 8, une mémoire vive 9, une mémoire morte 10, une mémoire non volatile 11, et des moyens de communication 12 permettant notamment aux entités du système 1 de vérification de communiquer entre elles et avec d’autres entités comme par exemple avec l’équipement utilisateur 3 ou encore avec des entités sollicitées lors de l’accès au service S par l’équipement utilisateur 3.
La mémoire morte 10 de l’ordinateur 7 constitue un support d’enregistrement conforme à l’invention, lisible par le processeur 8 et sur lequel est enregistré un programme d’ordinateur conforme à l’invention.
Plus spécifiquement, la mémoire morte 10 de l’ordinateur 7 comprend, lorsque ce dernier est ou héberge une entité 4 de contrôle conforme à l’invention, un enregistrement d’un programme d’ordinateur PROG4, comportant des instructions définissant les principales étapes d’un procédé de contrôle selon l’invention.
Ce programme PROG4 définit des modules fonctionnels de l’entité 4 de contrôle qui s’appuient sur ou commandent les éléments matériels 8 à 12 de l’ordinateur 7 cités précédemment. Ces modules comprennent notamment, dans le mode de réalisation décrit ici :
  • un module 4A de sélection d’au moins une entité 5 de vérification pour analyser tout ou partie des données véhiculées lors de l’accès au service S par l’équipement utilisateur 3. La façon dont est opérée cette sélection est décrite plus en détail ultérieurement en référence aux étapes du procédé de contrôle selon l’invention. On note que plusieurs entités 5 de vérification peuvent être déployées et sélectionnées par l’entité 4 de contrôle pour optimiser l’acheminement des données lors de l’accès au service S mais également leur traitement par les entités de vérification. Par exemple, on peut envisager d’activer une entité 5 de vérification au plus près de l’équipement utilisateur 3 et/ou au plus près du serveur autoritaire 2. En outre, les entités 5 de vérification peuvent être génériques (c-à-d. être configurées pour traiter tout type de service) ou être spécialisées dans le traitement de certains services seulement (et des données de télémétrie relatives à ces services), comme par exemple des entités de vérification spécialisées dans le traitement de données de services impliquant le système d’exploitation OS, ou des entités de vérification spécialisées dans le traitement de données de services impliquant une application APP#i, i=1,…,N (ex. services web HTTP, SIP de voix sur IP, WebRTC), ou encore des entités de vérification spécialisées dans le traitement de données de services offerts par des opérateurs de réseau (et des données de télémétrie injectées par les opérateurs de réseau d’accès), etc. Des mécanismes d’authentification mutuelle comme par exemple TLS (pour « Transport Layer Security » en anglais) peuvent être mis en œuvre entre l’entité 4 de contrôle et la ou les entités 5 de vérification qu’elle a sélectionnées pour l’audit des données émises lors de l’accès au service S par l’utilisateur U ;
  • un module 4B de déclenchement, configuré pour déclencher auprès de l’entité 6 de coordination du service S, une configuration de ce dernier pour que les données véhiculées sur la connexion principale (C1) et sur au moins une connexion secondaire (C2), (C2’), … établie en marge de cette connexion principale pour la fourniture du service S transitent par la ou les entités 5 de vérification sélectionnées par l’entité 4 de contrôle pour leur permettre d’analyser ces données ; et
  • un module 4C de notification, configuré pour notifier l’entité 6 de coordination, si un événement déterminé est détecté dans une identité numérique IDNUM(U) de l’utilisateur 3 véhiculée lors de l’accès au service S et comprenant des informations d’identification de l’utilisateur 3 obtenues à partir des données que la ou les entités 5 de vérification ont analysées. L’événement en question peut être par exemple la détection d’une nouvelle information d’identification ou d’une exposition des informations d’identification de l’utilisateur U dépassant un seuil donné, ou encore d’une indication sur l’identité de l’utilisateur résultant de la corrélation de plusieurs informations d’identification mémorisées dans l’identité numérique IDNUM(U). Il peut être détecté par l’entité 4 de contrôle elle-même en examinant l’identité numérique IDNUM(U), ou être signalé à cette dernière par une entité 5 de vérification ou encore par une entité tierce ayant accès à l’identité numérique IDNUM(U) (par exemple, en cas de pluralité d’entités de vérification impliquées dans l’analyse des données émises par l’équipement utilisateur 3, comme évoqué ci-après).
L’identité numérique IDNUM(U) de l’utilisateur U est mémorisée ici dans un espace de stockage 13 partagé par l’entité 4 de contrôle et par la ou les entités 5 de vérification. Il peut s’agir d’un fichier numérique (ex. une base de données) comprenant toutes les informations d’identification relatives à l’utilisateur U détectées par les entités 5 de vérification sur les connexion principale et secondaires auxquelles on souhaite appliquer la procédure DYOS. Ces informations d’identification peuvent être extraites par les entités 5 de vérification des données de télémétrie insérées dans les paquets de données issus de l’équipement utilisateur U dans le cadre de son accès au service S et véhiculés sur les connexions analysées par les entités 5 de vérification, comme décrit plus en détail ultérieurement. Il peut s’agir, comme évoqué précédemment, de tout type d’informations susceptibles de contribuer à l’identification de l’utilisateur, telles que définies notamment en section 5.2.2 du document RFC 6973 précédemment cité. De telles informations d’identification peuvent être liées à un individu particulier ou un groupe d’individus et être utilisées, seules ou en combinaison avec d’autres éléments, pour déduire ou reconnaître l’identité de cet individu ou de ce groupe d’individus. Elles peuvent être de natures diverses et variées ; il peut s’agir notamment d’identifiants à proprement parler de l’utilisateur ou de l’équipement utilisé par ce dernier, mais également d’autres données comme sa localisation ou la localisation de voisins de cet utilisateur, de logs de l’utilisateur sur un ou plusieurs sites, de champs particuliers de messages caractéristiques de l’activation de protocoles de communication, etc. De nombreuses informations sont en effet susceptibles d’apporter des indications sur l’identité de l’utilisateur, seules ou en combinaison avec d’autres informations (ex. localisation GPS, réseau emprunté, etc.).
On note par ailleurs que l’identité numérique IDNUM(U) peut en outre être alimentée par les précisions sur l’identité de l’utilisateur induites par les informations d’identification détectées dans les données analysées par les entités 5 de vérification et/ou résultant de la corrélation de ces informations d’identification entre elles ou avec d’autres éléments. De telles précisions constituent des informations d’identification au sens de l’invention qui peuvent être mémorisées par l’entité qui les obtient (entité 5 de vérification, entité 4 de contrôle ou entité tierce) dans l’identité numérique IDNUM(U) de l’utilisateur U.
Il convient en outre de noter que l’identité numérique IDNUM(U) d’un utilisateur peut résulter de l’analyse des connexions principale et secondaires de plusieurs équipements utilisateur associés à un même utilisateur U et utilisés concomitamment par celui-ci pour accéder au service S. Par ailleurs, l’espace de stockage 13 peut être dédié à un unique utilisateur U ou en variante regrouper les identités numériques de plusieurs utilisateurs distincts, par exemple des utilisateurs connectés à un même réseau local ou d’accès, et permettre ainsi de dériver, à partir de ces identités numériques distinctes, une identité numérique du réseau en question.
A titre illustratif, l’identité numérique IDNUM(U) de l’utilisateur U peut comprendre par exemple tout ou partie des informations d’identification suivantes :
  • la liste des entités sollicitées lors de l’accès au service S par l’équipement utilisateur 3 pour la connexion principale et les connexions secondaires (incluant les entités de l’infrastructure de service supportant le service S, mais également des autres entités sollicitées lors de cet accès au service, comme par exemple les serveurs X évoqués précédemment) ;
  • la ou les localisations (ex. GPS (pour Global Positioning System)) de l’équipement utilisateur 3 ;
  • l’identifiant IMSI (pour « International Mobile Subscriber Identity » en anglais) attribué à l’utilisateur U ;
  • l’identifiant MSISDN attribué à l’utilisateur U ;
  • l’identifiant IMEI attribué à l’utilisateur U ;
  • un identifiant du réseau local auquel l’équipement utilisateur 3 est connecté le cas échéant (ex. adresse MAC de l’équipement CPE) ;
  • l’identité des visiteurs d’un réseau ;
  • la ou les adresses IP allouées à l’équipement utilisateur 3 ;
  • la ou les adresses MAC de l’équipement utilisateur 3 ;
  • le numéro de la carte SIM associée le cas échéant à l’équipement utilisateur 3 ;
  • le ou les opérateurs du ou des réseaux d’accès utilisés par l’équipement utilisateur 3 ;
  • toute autre donnée de télémétrie insérée dans les données issues de l’équipement utilisateur 3 et partagée avec les entités impliquées lors de l’accès au service, et considérée comme étant une information d’identification de l’utilisateur U.
Cette liste n’est bien entendu pas exhaustive, et d’autres éléments peuvent être inclus dans l’identité numérique IDNUM collectée par les entités 5 de vérification. Par exemple, comme évoqué précédemment, l’identité numérique IDNUM peut également comprendre des informations d’identification obtenues à partir des informations d’identification extraites par les entités 5 de vérification (ex. induites par celles-ci ou obtenues en les corrélant entre elles ou avec d’autres éléments).
Les fonctions des modules 4A à 4C de l’entité 4 de contrôle sont détaillées davantage ultérieurement en référence aux étapes du procédé de contrôle selon l’invention.
Lorsque l’ordinateur 7 est ou héberge une entité 5 de vérification conforme à l’invention, la mémoire morte 10 de l’ordinateur 7 comprend un enregistrement d’un programme d’ordinateur PROG5 comportant des instructions définissant les principales étapes d’un procédé de vérification selon l’invention.
Ce programme PROG5 définit des modules fonctionnels de l’entité 5 de vérification qui s’appuient sur ou commandent les éléments matériels 8 à 12 de l’ordinateur 7 cités précédemment. Ces modules comprennent notamment, dans le mode de réalisation décrit ici :
  • un module 5A de réception, configuré pour recevoir des données véhiculées via la connexion principale (C1) établie entre l’équipement utilisateur 3 et le serveur autoritaire 2 et/ou au moins une dite connexion secondaire (C2), (C2’), … établie en marge de la connexion principale (C1), en fonction des données à analyser confiées à l’entité 5 de vérification ;
  • un module 5B d’analyse, configuré pour analyser les données reçues afin de déterminer si ces données véhiculent (de manière explicite ou implicite) une ou plusieurs informations d’identification de l’utilisateur U. Différentes configurations du module 5B d’analyse peuvent être envisagées à cet effet de manière alternative ou complémentaire. Ainsi, le module 5B d’analyse peut être configuré préalablement par le fournisseur du service DYOS (typiquement, dans le respect des informations contractuelles qui définissent sa relation avec ses clients) ou par un tiers (par exemple par l’utilisateur de l’équipement client ou par le fournisseur du service S) avec un ensemble de paramètres spécifiques caractérisant des informations d’identification susceptibles d’être véhiculées dans les données échangées lors de l’accès au service S par l’utilisateur U, autrement dit de reconnaître parmi les données analysées de telles informations d’identification ou d’exploiter les données permettant de les obtenir. Par exemple, de tels paramètres peuvent être des entêtes de messages HTTP tels que ceux utilisés par un système d’exploitation (ex. X-Apple-I-SRL-NO, X-Mme-Device-Id, X-Mme-Country, X-Apple-seid) ou des types d’identifiants pouvant être inclus dans le corps des messages véhiculant les données (ex. numéro de série, IMSI, IMEI, identifiant de dispositif ou « device id » en anglais). En variante, le module 5B d’analyse peut être configuré avec des paramètres acquis via l’exécution d’un algorithme d’apprentissage machine (et dont l’exécution peut reposer sur la production et l’exploitation d’un réseau de neurones) permettant de détecter l’existence d’identifiants persistants dans un échange lié au service S, et fournissant pour caractériser la durée de persistance et le type de chaque identifiant persistant ainsi détecté. Les types d’identifiants persistants peuvent être explicitement indiqués dans les messages présentant ces identifiants persistants ou déduits par comparaison avec d’autres types connus d’identifiants (ex. adresse MAC), ou encore résulter d’une configuration par le fournisseur du service DYOS, ou par l’utilisateur de l’équipement client, etc. On note que, quelle que soit la configuration retenue, aucune hypothèse n’est faite quant à l’encodage des informations d’identification recherchées par le module 5B d’analyse ;
  • un module 5C de mise à jour, activé si le module 5B d’analyse détecte qu’au moins une information d’identification de l’utilisateur U peut être obtenue à partir des données reçues par le module 5A de réception. Le module 5C de mise à jour est configuré pour, en fonction de la ou des informations d’identification obtenues le cas échéant, mettre à jour l’identité numérique IDNUM(U) de l’utilisateur U. Par exemple, le module 5C ajoute les informations d’identification détectées le cas échéant dans les données reçues dans l’identité numérique IDNUM(U) de l’utilisateur U si celles-ci ne sont pas déjà comprises dans l’identité numérique IDNUM(U) ou avec des informations d’identification dérivées par le module 5B d’analyse (ex. induites par les données analysées ou obtenues par corrélation comme évoqué précédemment) ;
  • un module 5D de transmission configuré pour relayer les données reçues vers leur destinataire (ex. serveur autoritaire 2 pour la connexion principale, ou serveur X pour une connexion secondaire), afin de rendre transparente l’intervention de l’entité 5 de vérification vis-à-vis de l’exécution du service S ; et
  • un module 5E de vérification (optionnel), configuré pour vérifier si les informations d’identification contenues dans l’identité numérique IDNUM(U) sont conformes à ce qui est attendu pour le service S en termes de confidentialité. Différents contrôles peuvent être mis en œuvre par le module 5E de vérification, par exemple le contrôle de la conformité des informations contenues dans l’identité numérique IDNUM(U) avec les conditions générales d’utilisation (CGU) du service S approuvées par l’utilisateur U, et/ou les contraintes en la matière imposées par la réglementation en vigueur (ex. règlement RGPD de l’Union Européenne), ou encore les déclarations faites par les fournisseurs du service S et des services annexes au service S, fournis via les connexions secondaires, etc. Le module 5E de vérification est avantageusement configuré pour signaler, par exemple à l’entité 4 de contrôle, s’il détecte une non-conformité.
Les fonctions des modules 5A à 5E de chaque entité 5 de vérification impliquée dans la procédure DYOS sont détaillées davantage ultérieurement en référence aux étapes du procédé de vérification selon l’invention.
Lorsque l’ordinateur 7 est ou héberge une entité 6 de coordination conforme à l’invention, la mémoire morte 10 de l’ordinateur 7 comprend un enregistrement d’un programme d’ordinateur PROG6 comportant des instructions définissant les principales étapes d’un procédé de configuration selon l’invention.
Ce programme PROG6 définit des modules fonctionnels de l’entité 6 de coordination du service S qui s’appuient sur ou commandent les éléments matériels 8 à 12 de l’ordinateur 7 cités précédemment. Ces modules comprennent notamment, dans le mode de réalisation décrit ici :
  • un module 6A de communication lui permettant de s’interfacer avec l’entité 4 de contrôle selon l’invention ; et
  • un module 6B de configuration, activé sur réception d’une requête de l’entité 4 de contrôle reçue par le module 6A de communication, et programmé pour configurer le service S et plus particulièrement l’infrastructure de service supportant le service S et/ou l’équipement client 3, pour que les données éligibles à la procédure DYOS et véhiculées sur la connexion principale (C1) et sur la ou les connexions secondaires (C2), (C2’),… établies en marge de la connexion principale (C1), transitent par la ou les entités 5 de vérification sélectionnées par l’entité 4 de contrôle pour analyser ces données. Le module 6B de configuration peut, pour inclure une telle entité 5 de vérification dans le chemin des données émises par l’utilisateur U, procéder de différentes façons. Il peut par exemple déclencher une modification d’un mécanisme de résolution de noms de domaine (mécanisme DNS) pour y inclure une information de joignabilité (ex. adresse IP) de l’entité 5 de vérification en question. Il peut également activer (dans le réseau) un mécanisme de chaînage de service (ou SFC) invoquant l’entité 5 de vérification en question dans le chemin des données échangées lors de l’accès au service S par l’utilisateur U. Il peut aussi rediriger les données relatives aux connexions concernées vers l’entité 5 de vérification ou activer un mécanisme de routage à la source (c’est-à-dire à partir de l’équipement client 3) vers l’entité 5 de vérification (ex. l’équipement client 3 est configuré par le module 6B de configuration pour inclure parmi les entités intermédiaires traversées par les messages qu’il envoie la ou les entités 5 de vérification). Ces mécanismes peuvent être utilisés de façon alternative ou complémentaire.
Les fonctions des modules 6A et 6B de l’entité 6 de coordination du service S sont détaillées davantage ultérieurement en référence aux étapes du procédé de configuration selon l’invention.
Nous allons maintenant décrire, en référence à la , la procédure (service) DYOS telle qu’elle est mise en œuvre par le système 1 de vérification de la , dans un mode particulier de réalisation. Cette procédure sollicite chaque entité du système 1 de vérification et plus particulièrement déclenche l’exécution, par l’entité 4 de contrôle, d’un procédé de contrôle selon l’invention (étapes E00 à E60), par chaque entité 5 de vérification sélectionnée par l’entité 4 de contrôle, d’un procédé de vérification selon l’invention (étapes G10 à G70), et par l’entité 6 de coordination, d’un procédé de configuration selon l’invention (étapes F10 à F40).
Dans le mode de réalisation décrit ici, on suppose que durant une phase préliminaire d’activation du service DYOS (étape E00/F00), un accord a été mis en place entre le fournisseur du service DYOS, qui gère notamment l’entité 4 de contrôle et les entités 5 de vérification, et le fournisseur SP du service S. Cet accord peut être statique ou mis en place en utilisant un mécanisme connu tel que CPNP.
Il résulte de cet accord le maintien par le fournisseur SP du service S d’une table ou de façon équivalente d’une base de données (référencée par 14 sur la ) dans le domaine de service SR répertoriant les entités de contrôle autorisées à mettre en œuvre la procédure DYOS pour le service S. Dans l’exemple envisagé ici, la table 14 répertorie pour le service S l’entité 4 de contrôle (PAPc 4) du système 1 de vérification. Elle est accessible par l’entité 6 de coordination du système 1 de vérification (ou par les entités 6 de coordination s’il y en a plusieurs).
Par ailleurs, du côté du fournisseur du service DYOS, la ou les entités de contrôle autorisées à mettre en œuvre la procédure DYOS maintiennent une table ou de façon équivalente une base de données (référencée par 15 sur la ) répertoriant la ou les entités de coordination avec lesquelles s’interfacer pour chaque service à auditer. Dans l’exemple du service S envisagé ici, on suppose que la table 15 répertorie pour le service S l’entité 6 de coordination (CAS 6) du système 1 de vérification et que cette table 15 est accessible par l’entité 4 de contrôle chargée de mettre en œuvre la procédure DYOS pour le service S.
La table 15 contient en outre diverses informations descriptives de la ou des entités de coordination du service S, comme notamment une ou plusieurs informations de joignabilité (ex. adresses IP), un ou plusieurs noms de domaine auxquels sont rattachées la ou les entités de coordination, un ou plusieurs protocoles de transport supportés par la ou les entités de coordination (ex. TCP (pour « Transmission Control Protocol » en anglais), TLS, QUIC, DTLS (pour « Datagram TLS » en anglais), etc.), un ou plusieurs protocoles de la couche application du modèle OSI supportés par la ou les entités de coordination (ex. HTTP, etc.), etc. Ces informations ont pour objectif de permettre à l’entité 4 de contrôle de garantir que la procédure DYOS est exécutée dans les conditions de fourniture du service S.
Suite à cette phase préliminaire, l’entité 4 de contrôle désignée pour mettre en œuvre la procédure DYOS sélectionne les connexions (Cx) à auditer impliquées dans la fourniture du service S à l’utilisateur U via son équipement utilisateur 3 (étape E10).
Cette sélection peut se faire de façon aléatoire ou de façon ciblée, en fonction notamment du réseau d’accès utilisé pour accéder au service (ex. du numéro de système autonome dont fait partie le réseau d’accès), de la zone géographique dans laquelle se situe l’équipement utilisateur U, etc. Elle peut être programmée ou déclenchée par une demande explicite de l’administrateur de l’entité de contrôle (ex. fournisseur du service DYOS), ou un événement externe comme par exemple la notification d’un changement des conditions générales d’utilisation (CGU) du service S.
On suppose ici que lors de l’étape E10, la connexion principale (C1) et l’ensemble des connexions secondaires (C2), (C2’), … établies en marge de la connexion principale (C1) lors de l’accès au service S par l’utilisateur U via son équipement utilisateur 3, sont sélectionnées par l’entité 4 de contrôle pour faire l’objet de la procédure DYOS.
En variante, seulement une partie des connexions établies lors de l’accès au service S peuvent être sélectionnées lors de cette étape E10.
Puis l’entité 4 de contrôle détermine la ou les entités de coordination avec lesquelles s’interfacer pour mettre en œuvre la procédure DYOS au vu des connexions sélectionnées (étape E20). A cet effet, l’entité 4 de contrôle consulte ici la table 15 et les informations caractérisant les entités de coordination du service S disponibles répertoriées dans cette base, en fonction des caractéristiques des connexions à auditer (ex. protocole de transport, protocole de la couche application, etc.). On suppose ici qu’à l’issue de l’étape E20, l’entité 4 de contrôle sélectionne l’entité 6 de coordination du service S.
L’entité 4 de contrôle envoie alors à l’entité 6 de coordination du service S, en utilisant l’information de joignabilité et les autres informations consignées dans la table 15 (ex. protocole de transport, protocole de la couche application, etc.), une demande REQ de connexion visant à mettre en place la procédure DYOS pour les connexions sélectionnées lors de l’étape E10 (étape E30).
L’entité 6 de coordination reçoit via son module 6A de communication la demande REQ de connexion de l’entité 4 de contrôle et la traite (étape F10). Plus particulièrement, lors de ce traitement, le module 6A de communication vérifie dans la table 14 si l’entité 4 de contrôle est autorisée à mettre en œuvre la procédure DYOS pour le service S. Une authentification de l’entité 4 de contrôle peut par ailleurs être mise en œuvre selon des conditions prévues le cas échéant lors de la phase préliminaire E00/F00 (par exemple à l’aide de certificats échangés lors de cette phase préliminaire ou d’autres mécanismes connus tels que PSK (pour « Pre-Shared Keys »)). En cas d’échec de l’autorisation et/ou de l’authentification de l’entité 4 de contrôle, la demande REQ de connexion de l’entité 4 de contrôle est rejetée par l’entité 6 de coordination.
Dans l’exemple envisagé ici, comme mentionné précédemment, l’entité 4 de contrôle est répertoriée dans la table 14 comme étant autorisée à mettre en œuvre la procédure DYOS pour le service S. L’entité 6 de coordination accepte donc la demande REQ formulée par l’entité 4 de contrôle de procéder selon la procédure DYOS à l’analyse des données véhiculées lors de l’accès au service S par l’équipement utilisateur 3 (étape F20). Elle peut en outre, lors de l’acceptation de la demande REQ, fournir à l’entité 4 de contrôle une ou plusieurs contraintes du service S à prendre en compte pour l’exécution de la procédure DYOS. Une telle contrainte est par exemple un délai de détour maximum autorisé, une zone géographique dans laquelle doivent être déployées les entités de vérification impliquées dans la procédure DYOS, le numéro du système autonome dans lequel doivent se trouver les entités de vérification impliquées dans la procédure DYOS, etc. On note que la fourniture de cette ou de ces contraintes de service lors de l’acceptation de la demande est optionnelle. En variante, cette ou ces contraintes de service peuvent être échangées avec le fournisseur du service S lors de la phase préliminaire E00/F00 d’activation du service DYOS.
L’acceptation par l’entité 6 de coordination de la mise en place de la procédure DYOS déclenche au niveau de l’entité 4 de contrôle la sélection d’une ou de plusieurs entités 5 de vérification pour mener la procédure DYOS, et plus particulièrement pour analyser les données échangées sur les connexions sélectionnées lors de l’étape E10 (étape E40).
Cette sélection est opérée par le module 4A de sélection de l’entité 4 de contrôle en tenant compte de la ou des contraintes de service transmises par l’entité 6 de coordination lors de l’étape F20 ou préconfigurées lors de la phase préliminaire E00/F00 d’activation. On suppose ici par souci de simplification, qu’une seule entité 5 de vérification est sélectionnée pour traiter les données véhiculées sur la connexion principale (C1) et sur les connexions secondaires (C2), (C2’), ...
Cette hypothèse n’est toutefois pas limitative en soi, et plusieurs entités 5 de vérification vérifiant les contraintes de service du service S peuvent être sélectionnées, comme par exemple, une entité de vérification distincte par connexion à auditer. En outre, plusieurs entités de vérification peuvent être déployées en divers endroits du ou des réseaux traversés par les connexions à auditer (ex. au plus près de l’équipement utilisateur 3 ou de certains réseaux, proche du serveur autoritaire 2, etc.)
Suite à la sélection de l’entité 5 de vérification par le module 4A de sélection, l’entité 4 de contrôle communique dans un message adressé à l’entité 6 de coordination au moins une information de joignabilité de cette entité 5 de vérification, telle que son adresse IP et un nom de domaine correspondant (ex. « example.com ») (étape E50). Ce nom de domaine peut être avantageusement utilisé pour des besoins d’authentification, notamment pour émettre des certificats de sécurité comme décrit ci-après.
L’entité 6 de coordination peut alors, à partir de ces informations, déléguer (fournir) un nom de « sous-domaine » (ex. « audit.example.com ») et émettre un certificat pour l’entité 5 de vérification sélectionnée (pouvant être utilisé par exemple pour déchiffrer les données à analyser le cas échéant, sécuriser ses échanges avec les infrastructures impliquées lors de la fourniture du service S, ou encore vérifier que les données qui lui parviennent pour analyse sont bien éligibles à la procédure DYOS). Cette étape est toutefois optionnelle.
La réception du message de l’entité 4 de contrôle déclenche également la configuration par l’entité 6 de coordination, via son module 6B de configuration, de la chaîne de service impliquée dans la fourniture du service S à l’équipement utilisateur 3 pour inclure l’entité 5 de vérification sélectionnée par l’entité 4 de contrôle (ou le cas échéant, les entités de vérification sélectionnées), dans le chemin des données échangées lors de l’accès au service S par l’équipement utilisateur 3 et qui doivent être auditées via la procédure DYOS (étape F30). Comme mentionné précédemment, ceci peut être réalisé de différentes manières par le module 6B de configuration (qui peut être amené à configurer différentes entités impliquées directement ou indirectement dans la fourniture du service S, comme par exemple le serveur autoritaire 2, le serveur DNS nominal utilisé par l’équipement utilisateur 3, l’équipement utilisateur 3, etc.) : modification de la chaîne de résolution de noms de domaines (DNS) pour inclure une information de joignabilité (ex. adresse IP) de l’entité 5 de vérification, activation d’un mécanisme SFC de chaînage de service impliquant l’entité 5 de vérification, redirection des données véhiculées par les connexions à auditer vers l’entité 5 de vérification (par exemple configurant le serveur DNS nominal de l’équipement utilisateur 3 pour qu’il inclue l’information de joignabilité de l’entité 5 de vérification dans ses réponses aux requêtes DNS émises par l’équipement utilisateur 3), routage à la source via l’entité 5 de vérification, etc.
Plus précisément, la modification de la chaîne DNS vise à inclure l’entité 5 de vérification dans la chaîne DNS, afin que l’entité 5 de vérification puisse identifier les connexions secondaires (C2), (C2’), … établies en marge de la connexion principale (C1) et auditer les données transmises via ces connexions secondaires. Pour inclure l’entité 5 de vérification dans la chaîne DNS sollicitée lors de l’invocation du service S, l’entité 6 de coordination peut, dans un mode particulier de réalisation, communiquer au serveur autoritaire 2 (entité impliquée dans la fourniture du service au sens de l’invention) l’information de joignabilité (ex. adresse IP) de l’entité 5 de vérification, pour qu’il indique à l’équipement utilisateur 3, par exemple en réponse à un message d’invocation du service S émis par l’équipement utilisateur 3 (requête d’accès au service ou requête envoyée ultérieurement durant la consommation du service à proprement parler), d’envoyer ses requêtes de résolution de noms de domaine dans le cadre du service S à l’entité associée à cette information de joignabilité, autrement dit à l’entité 5 de vérification. Cette indication peut être transmise dans un entête dédié du message de réponse, par exemple dans un entête appelé DNS_RESOLVER défini pour les besoins de l’invention. De la sorte, l’entité 5 de vérification est en mesure de recevoir les connexions secondaires (C2), (C2’), … établies en marge de la connexion principale (C1) afin de pouvoir analyser les données véhiculées sur ces connexions secondaires. Il convient de noter que si plusieurs entités de vérification sont désignées par l’entité 4 de contrôle, l’entête DNS_RESOLVER contient les informations de joignabilité de chacune des entités de vérification désignées, éventuellement complétées par une indication concernant les requêtes DNS à envoyer vers telle ou telle entité de vérification.
La illustre un exemple de réalisation de ce qui vient d’être décrit (redirection du trafic et modification de la chaîne DNS) lorsque le protocole HTTP est utilisé et une seule entité 5 de vérification est sélectionnée par l’entité 4 de contrôle.
Dans cet exemple, l’équipement utilisateur 3 adresse une requête DNS, désignée par QUERY(2), à son serveur DNS nominal DNS-NOM en vue d’accéder au service S fourni par le serveur autoritaire 2 (étape H10). Le serveur DNS nominal DNS-NOM lui répond en fournissant une adresse IP, notée @IP5, de l’entité 5 de vérification (étape H20).
L’équipement utilisateur 3 envoie alors une requête HTTP POST d’accès au service S destinée au serveur autoritaire 2 (renseigné par exemple dans le champ SNI (pour « Server Name Indication » en anglais) ou ESNI lorsque le protocole TLS est utilisé pour établir des connexions dans le cadre du service S) en utilisant comme adresse destination l’adresse IP @IP5 qui lui a été transmise (étape H30). Ceci permet de s’assurer que la requête HTTP POST associée transite par l’entité 5 de vérification qui peut alors analyser les données véhiculées via cette connexion (incluant la requête POST). Cette requête est ensuite relayée par l’entité 5 de vérification vers son destinataire originel, à savoir ici le serveur autoritaire 2 (étape H40).
Le serveur autoritaire 2 traite et répond à la requête d’accès de l’équipement utilisateur 3, de façon connue en soi. Il insère par ailleurs dans cette réponse l’entête DNS_RESOLVER contenant l’adresse IP @IP5 de l’entité 5 de vérification et indiquant à l’équipement utilisateur 3 d’envoyer ses futures requêtes DNS vers l’entité 5 de vérification associée à cette adresse IP @IP5 ; cette réponse transite via l’entité 5 de vérification (étapes H50 et H60).
Sur réception de cette indication, l’équipement utilisateur 3 adresse ses futures requêtes DNS (QUERY(X)) envoyées dans le cadre du service S à l’entité 5 de vérification (et non plus à son serveur DNS nominal DNS-NOM), qui peut ainsi s’assurer d’être en coupure de flux des connexions secondaires établies par l’équipement utilisateur 3 dans le cadre de ce service (étapes H70, H80).
En variante, on peut envisager que ce soit une autre entité qui communique à l’équipement utilisateur l’entête DNS_RESOLVER, comme par exemple, les entités de vérification elles-mêmes lorsqu’elles reçoivent des données associées à l’équipement utilisateur 3, suite à une configuration appropriée de cet équipement, par exemple par le fournisseur du service DYOS.
En référence de nouveau à la , une fois la configuration du service S réalisée par le module 6B de configuration de l’entité 6 de coordination, l’entité 5 de vérification se trouve sur les chemins empruntés par les données associées aux connexions principale et secondaires de l’équipement utilisateur 3 visées par la procédure DYOS. Autrement dit, toutes les données émises par l’équipement utilisateur 3 dans le cadre de ces connexions transitent maintenant par l’entité 5 de vérification.
A réception d’un paquet de données (étape G10), l’entité 5 de vérification vérifie si le paquet de données en question appartient bien à une connexion qu’il doit analyser (par exemple, à partir du champ « adresse source » du paquet) (étape G20). Si ce n’est pas le cas, le paquet de données est supprimé.
Si c’est le cas, l’entité 5 de vérification procède, via son module 5B d’analyse, à l’analyse des données contenues dans le paquet selon le paramétrage avec lequel il a été configuré pour le service S, et à la recherche d’informations d’identification parmi ces données ou pouvant être dérivées de ces données (étape G30). Il peut si besoin lors de cette étape procéder au déchiffrement des données contenues dans le paquet si celles-ci sont chiffrées. Lors de cette étape d’analyse, le module 5B d’analyse recherche par exemple les identifiants avec lesquels il a été configuré, ou si de nouvelles plateformes de collecte de données sont impliquées, ou encore fournit à son algorithme d’apprentissage machine les données du paquet pour la recherche et l’identification d’identifiants persistants parmi ces données. L’analyse des données contenues dans le paquet conduite par le module 5B d’analyse dépend bien entendu de son paramétrage. Le module 5B peut également, selon ce paramétrage, identifier des informations d’identification induites par les données, ou corréler des données entre elles ou avec d’autres éléments pour identifier de telles information d’identification, etc.
On note que, lorsque la procédure DYOS est déclenchée par un acteur autre que le fournisseur du service DYOS, comme par exemple l’utilisateur U, alors préférentiellement une procédure est mise en œuvre pour sécuriser ce paramétrage et s’assurer que ledit acteur est habilité à effectuer ce paramétrage. Une telle procédure peut être la suivante : l’utilisateur U contacte via son équipement client 3 l’entité 4 de contrôle et partage avec elle un identifiant ID unique, tel qu’un condensé (ou « hash » en anglais) d’un certificat échangé avec l’entité 4 de contrôle, ou les x premiers bits de ce condensé (par exemple x=16)), ce condensé pouvant être par exemple calculé selon le mécanisme SHA (pour « Secure Hash Algorithm » en anglais)-256 connu en soi. L’entité 4 de contrôle communique cet identifiant ID unique à l’entité 6 de coordination lors de l’étape E50 décrite précédemment, qui déclenche lors de l’étape F30 la configuration de la chaîne de service impliquée dans la fourniture du service S pour l’équipement client 3 identifié par cet identifiant unique ID. Cet identifiant unique ID est par ailleurs utilisé par chaque connexion principale et secondaire pour identifier l’équipement client 3.
Lors de l’étape G30 d’analyse des données véhiculées dans le paquet reçu, si le module 5B d’analyse identifie des informations d’identification de l’utilisateur U (ex. identifiants spécifiques de son équipement utilisateur 3 ou autres données sensibles, localisation, etc. extraites des données ou induites par celles-ci), le module 5C de mise à jour de l’entité 5 de vérification met alors à jour l’identité numérique IDNUM(U) en fonction des informations d’identification détectées (étape G40). Plus particulièrement, dans le mode de réalisation décrit ici, il consulte l’identité numérique IDNUM(U) de l’utilisateur U pour déterminer si les informations d’identification détectées sont déjà présentes dans l’identité numérique IDNUM(U), et si ce n’est pas le cas, il ajoute à l’identité numérique IDNUM(U) les nouvelles informations d’identification détectées.
Puis l’entité 5 de vérification, via son module 5D de transmission, relaie le paquet de données reçu et analysé vers l’entité destinataire de ce paquet (serveur autoritaire 2 s’il s’agit d’un paquet émis sur la connexion principale (C1) ou serveur X s’il s’agit d’un paquet émis sur une connexion secondaire (C2), (C2’), …) (étape G50). Ceci permet de s’assurer que l’intervention de l’entité 5 de vérification est transparente pour le service S.
On note que selon le mécanisme mis en œuvre pour impliquer l’entité 5 de vérification dans le chemin des données des connexions établies par l’équipement utilisateur 3 lors de l’accès au service, une encapsulation des données peut s’avérer nécessaire par le module 5D de transmission, typiquement lorsqu’un tunnel est activé entre l’entité 5 de vérification et le destinataire du paquet de données. Cette encapsulation peut s’appuyer sur diverses procédures connues de l’homme du métier, comme par exemple IPsec, TLS, QUIC, GRE (pour « Generic Routing Encapsulation » en anglais), DTLS, etc.
Dans le mode de réalisation décrit ici, l’entité 5 de vérification est chargée en outre, via son module 5E de vérification, de vérifier si les informations d’identification nouvellement détectées et/ou l’identité numérique IDNUM(U) ne comportent pas des événements qu’il convient de signaler au fournisseur du service DYOS, par l’intermédiaire de l’entité 4 de contrôle.
Un tel événement est par exemple :
  • la découverte, à partir des données analysées par le module 5E de vérification, d’une nouvelle plateforme de collecte de données impliquée lors de l’accès au service S. L’identification du type de la plateforme de collecte de données ainsi découverte peut être statique, par exemple à partir d’une liste maintenue et établie par le fournisseur du service DYOS, ou au contraire dynamique, via la détection de connexions récurrentes vers des noms de domaines donnés. S’il dispose d’une adresse IP pour cette nouvelle plateforme, le module 5E de vérification peut interroger une base de données (ex. base WHOIS) pour résoudre l’identité de la plateforme associée à cette adresse IP ;
  • un niveau d’exposition de tout ou partie des informations d’identification de l’utilisateur U supérieur à un seuil donné. Un tel niveau d’exposition peut être estimé par le module 5E de vérification pour l’utilisateur U en considérant un encodage de bits particulier associant un certain nombre de bits aux informations d’identification de sorte à caractériser leur contribution à l’identification de l’utilisateur U. Une telle approche permet avantageusement de mesurer de façon unifiée et globale l’exposition d’un utilisateur au travers des informations d’identification détectées. Il convient de noter que même si les informations d’identification ne révèlent pas elles-mêmes en soi directement l’identité de l’utilisateur U (i.e. ne sont pas des informations de type PII, pour « Personally Identifiable Information » en anglais), d’autres informations (ex. localisation GPS) véhiculées dans des paquets de données émis par l’équipement utilisateur 3 de l’utilisateur U couplées à ces informations d’identification peuvent permettre d’établir des profils uniques, et donc in fine de tracer l’utilisateur U. Ainsi, selon cet encodage particulier, plus le nombre de bits nécessaires pour caractériser le niveau d’exposition est grand, plus la probabilité d’identifier l’utilisateur est moindre. A titre d’exemple nullement limitatif, un niveau d’exposition codé sur 32 bits est meilleur qu’un niveau d’exposition codé sur 16 bits ;
  • une nouvelle information d’identification de l’utilisateur U détectée par l’entité 5 de vérification dans les données qu’elle vient d’analyser ;
  • une information d’identification de l’utilisateur U transmise à une entité tierce qui ne respecte pas les CGU approuvées par l’utilisateur U, ou une réglementation en vigueur en matière de confidentialité (ex. règlement RGPD de l’Union Européenne), ou encore une déclaration faite par le fournisseur du service S indiquant sa politique en matière de collecte d’informations d’identification et le ou les traitements opérés sur les informations d’identification collectées (ex. stockage, partage), etc. ;
  • etc.
Sur détection d’un tel événement, le module 5E de vérification envoie un signalement de l’événement au fournisseur du service DYOS et plus particulièrement ici, à l’entité 4 de contrôle.
Outre la conformité des informations d’identification détectées sur la connexion principale avec la déclaration du fournisseur de service S, dans le mode de réalisation décrit ici, l’entité 5 de vérification, via son module 5E de vérification, est également configurée pour examiner les informations d’identification véhiculées sur chaque connexion secondaire qu’elle gère (c’est-à-dire qu’elle audite) et pour déterminer si ces informations d’identification et le traitement qui en est fait par les infrastructures collectant ces informations d’identification sont conformes aux déclarations faites par les opérateurs de ces infrastructures, autrement dit conformes aux politiques de collecte et de traitement d’informations annoncées par ces opérateurs.
A cet effet, on suppose dans le mode de réalisation décrit ici, que ces politiques sont publiées en utilisant une URI de type « well-known » telle que décrite dans le document IETF RFC 8615, et appelée par exemple ici « telemetry-claims ». Le module 5E de vérification est alors en mesure de récupérer, en envoyant une requête (ex. requête HTTP GET) à cette URI, lesdites politiques en question pour chaque service annexe au service S invoqué dans une connexion secondaire (C2), (C2’), …, établie en marge de la connexion principale (C1), et ainsi obtenir la liste des informations d’identification et les traitements opérés le cas échéant selon ces politiques. On suppose ici que le corps du message de réponse ciblant ladite URI, reçu par le module 5E de vérification, comprend un objet structuré selon un format JSON (pour « JavaScript Object Notation » en anglais), identifié par un nouvel identifiant « media-type » appelé par exemple « application/telemetry-claims », et indiquant les données collectées et utilisées par l’infrastructure du service annexe concerné, quel(s) traitement(s) est/sont appliqué(s) le cas échéant sur les données (ex. si ces données sont enregistrées), etc. L’objet JSON peut également indiquer si un organisme d’audit a déjà certifié ces indications, et le cas échéant, donner l’identité de l’organisme en question ainsi qu’un lien vers le rapport d’audit établi par cet organisme. On peut noter que l’organisme en question peut être le fournisseur du service DYOS lui-même, auquel cas l’entité 5 de vérification a un accès direct au rapport d’audit dans le mode de réalisation décrit ici. L’audit en question peut être un audit sur site (ex. au niveau d’un serveur X selon la connexion considérée) ou une procédure DYOS précédemment exécutée et impliquant l’infrastructure du service annexe considéré.
Le module 5E de vérification vérifie alors, pour chaque connexion dont il est chargé, la conformité des informations d’identification véhiculées sur cette connexion avec les informations d’identification et les traitements déclarés qu’il a obtenus en ciblant les URI « well-known ». S’il n’y a pas conformité, il le signale à l’entité 4 de contrôle.
On note que le module 5E de vérification peut également corréler les déclarations et les informations d’identification qu’il a détectées avec les audits précédemment réalisés le cas échéant et signaler toute déviation par rapport aux déclarations. Il peut également, si un audit a déjà été réalisé dans le cadre de la procédure DYOS, modifier et/ou compléter dynamiquement le rapport d’audit correspondant. Il peut également enregistrer localement une alarme pour ce service.
L’entité 4 de contrôle relaie chaque signalement reçu de l’entité 5 de vérification à l’entité 6 de coordination (étape E60), afin que des mesures soient prises si nécessaire en fonction de l’événement signalé (ex. information de l’utilisateur U, (étape F40).
En variante, on peut envisager un signalement à d’autres entités, comme par exemple à l’équipement utilisateur 3, etc.
Dans le mode de réalisation qui vient d’être décrit, les vérifications exécutées dans le cadre de l’audit sont mises en œuvre par le module 5E de l’entité 5 de vérification. Dans un autre mode de réalisation, tout ou partie de ces vérifications peuvent être mises en œuvre par une autre entité du système 1 de vérification, comme par exemple l’entité 4 de contrôle. Un tel mode de réalisation est avantageux notamment lorsque le système 1 de vérification comprend plusieurs entités 5 de vérification alimentant l’identité numérique IDNUM(U) et gérées par une même entité 4 de contrôle.
On note que la procédure DYOS qui vient d’être décrite permet de réaliser un audit non seulement de la connexion principale établie pour accéder à un service, mais également les connexions secondaires établies en marge de cette connexion principale, et ce, en différents points de ces connexions. Elle peut être combinée à un audit sur site, réalisé par exemple au niveau du serveur autoritaire fournissant le service en question. La procédure DYOS proposée par l’invention permet ainsi un audit global du service S permettant de valider ou d’invalider le respect par ce service et par les services sous-jacents (annexes) sollicités pour accéder à ce service, des données personnelles d’un utilisateur.
En outre, la procédure DYOS peut être mise en œuvre de façon récursive. Ainsi, la procédure qui vient d’être décrite s’applique aussi à chaque connexion secondaire établie en complément (c’est-à-dire en marge) de la connexion principale, pour les connexions établies en complément de ladite connexion secondaire (désignées ensuite par connexions de niveau supérieur), puis à partir de chaque connexion de niveau supérieur établie en complément de chaque connexion secondaire, etc. Pour mieux décrire ce cas de figure, on désigne ci-après par « connexion de niveau N » la connexion principale et « connexions de niveau N+1 » les connexions secondaires établies en complément de la connexion principale, puis « connexions de niveau N+2 », les connexions secondaires établies en complément de chaque connexion de niveau N+1, etc. et plus généralement « connexions de niveau N+x » les connexions établies en complément des connexions de niveau N+(x-1). Pour gérer un tel cas de figure, on peut appliquer de façon récursive la procédure qui vient d’être décrite à une connexion du niveau N+(x-1) (considérée comme connexion principale) et aux connexions du niveau N+x établies en complément de cette connexion (considérées dans la procédure DYOS comme des connexions secondaires de la connexion principale de niveau N+(x-1)). Le mécanisme d’audit proposé par la procédure DYOS peut ainsi avantageusement s’appliquer à l’ensemble des connexions (c-à-d., toutes les connexions du niveau N au niveau N+(x-1)). L’identité numérique de l’utilisateur prise en compte pour l’audit réalisé par la procédure DYOS peut alors tenir compte de l’ensemble des informations d’identification collectées à tous les niveaux considérés.
Dans le mode de réalisation décrit ici, on a considéré une architecture du système 1 de vérification s’appuyant sur une entité de coordination et sur une entité de contrôle. Toutefois, il est possible également d’avoir plusieurs entités de coordination et plusieurs entités de contrôle. Par ailleurs, une même entité de vérification peut être gérée par plusieurs entités de contrôle.

Claims (18)

  1. Procédé de contrôle d’une vérification opérée sur des données véhiculées dans au moins un réseau de communication lors d’un accès par un premier dispositif (3) d’un utilisateur (U) à un service (S) fourni par un deuxième dispositif (2) via une connexion dite principale ((C1)) établie entre le premier et le deuxième dispositif, ledit procédé étant destiné à être mis en œuvre par une entité (4) de contrôle et comprenant :
    • une étape (E50) de déclenchement, auprès d’une entité (6) de coordination, d’une configuration du service pour que des données véhiculées sur ladite connexion principale et sur au moins une connexion secondaire ((C2),(C2’)) établie en marge de ladite connexion principale ((C1)) pour la fourniture du service transitent par au moins une entité (5) de vérification sélectionnée par ladite entité (4) de contrôle pour analyser lesdites données ; et
    • une étape (E60) de notification de ladite entité (6) de coordination, si un événement déterminé est détecté dans une identité numérique (IDNUM(U)) dudit utilisateur véhiculée lors de l’accès audit service et comprenant des informations d’identification de l’utilisateur obtenues à partir desdites données analysées par ladite au moins une entité de vérification.
  2. Procédé de contrôle selon la revendication 1 dans lequel ladite étape de déclenchement est conditionnée par une acceptation (F20) préalable de ladite entité (6) de coordination de procéder à l’analyse desdites données.
  3. Procédé de contrôle selon la revendication 1 ou 2 comprenant une étape (E40) de sélection de ladite au moins une entité (5) de vérification en fonction d’au moins une contrainte dudit service prédéterminée ou transmise par ladite entité (6) de coordination.
  4. Procédé de contrôle selon l’une quelconque des revendications 1 à 3 dans lequel l’étape de déclenchement (E50) comprend une fourniture à ladite entité (6) de coordination d’une information de joignabilité (@IP5) de ladite au moins une entité (5) de vérification.
  5. Procédé de traitement, par une entité (5) de vérification, de données véhiculées sur au moins un réseau de communication lors d’un accès par un premier dispositif (3) d’un utilisateur (U) à un service (S) fourni par un deuxième dispositif (2) via une connexion dite principale ((C1)) établie entre le premier et le deuxième dispositif, au moins une connexion dite secondaire ((C2),(C2’)) étant établie en marge de ladite connexion principale lors de la fourniture dudit service, ledit procédé comprenant :
    • une étape (G10) de réception de données véhiculées via ladite connexion principale et/ou au moins une dite connexion secondaire ;
    • si au moins une information d’identification de l’utilisateur est obtenue à partir desdites données reçues, en fonction de ladite au moins une information d’identification obtenue, une étape (G40) de mise à jour d’une identité numérique de l’utilisateur véhiculée lors de l’accès audit service ; et
    • une étape (G50) de relai desdites données vers un destinataire desdites données.
  6. Procédé de traitement selon la revendication 5 comprenant une étape (G30) d’analyse des données reçues pour déterminer si elles véhiculent au moins une information d’identification de l’utilisateur, ladite étape d’analyse (G30) utilisant au moins un paramètre avec lequel ladite entité (5) de vérification a été préalablement configurée et/ou qu’elle a acquis via une exécution d’un algorithme d’apprentissage machine.
  7. Procédé de traitement selon la revendication 5 ou 6 comprenant en outre :
    • une étape (G60) d’obtention d’une liste d’informations d’identification déclarées comme étant véhiculées lors de l’accès audit service et/ou un ou des traitements appliqués à ladite liste d’informations d’identification ;
    • une étape (G60) de vérification de la conformité de l’identité numérique de l’utilisateur à ladite liste et/ou au(x)dit(s) traitement(s) obtenu(s) ; et
    • une étape (G70) de signalement en cas de non-conformité.
  8. Procédé de traitement selon l’une quelconque des revendications 5 à 7 comprenant une étape (G70) de signalement à ladite entité de contrôle d’au moins un événement détecté par l’entité de vérification parmi :
    • une nouvelle plateforme de collecte de données impliquée lors de l’accès audit service ;
    • un niveau d’exposition d’informations d’identification de l’utilisateur supérieur à un seuil donné ;
    • une nouvelle information d’identification de l’utilisateur détectée par ladite au moins une entité (5) de vérification dans lesdites données analysées ;
    • une information d’identification de l’utilisateur transmise à une entité tierce qui ne respecte pas des conditions d’utilisation dudit service approuvées par ledit utilisateur.
  9. Procédé de traitement selon l’une quelconque des revendications 5 à 8 comprenant une étape d’envoi au premier dispositif (3) d’un entête (DNS_RESOLVER) comprenant une information de joignabilité (@IP5) de ladite au moins une entité (5) de vérification, ledit entête indiquant audit premier dispositif qu’il doit envoyer ses requêtes de résolution de noms de domaine vers ladite au moins une entité de vérification.
  10. Procédé de configuration d’un service (S) fourni à un premier dispositif (3) par un deuxième dispositif (2) via une connexion dite principale ((C1)) établie entre le premier et le deuxième dispositif, ledit procédé de configuration étant destiné à être mis en œuvre par une entité (6) de coordination et comprenant, sur requête (E50) d’une entité (4) de contrôle, une étape (F30) de configuration du service (S) pour que des données véhiculées sur ladite connexion principale ((C1)) et sur au moins une connexion secondaire ((C2), (C2’)) établie en marge de ladite connexion principale pour la fourniture du service transitent par au moins une entité (5) de vérification sélectionnée par ladite entité (4) de contrôle pour analyser lesdites données.
  11. Procédé de configuration selon la revendication 10 dans lequel l’étape de configuration est précédée d’une étape (F10) de vérification qui consiste à vérifier si ladite entité (4) de contrôle est autorisée à déclencher une analyse desdites données par ladite au moins une entité (5) de vérification.
  12. Procédé de configuration selon la revendication 10 ou 11 comprenant une étape (F20) de transmission à ladite entité (4) de contrôle d’au moins une contrainte dudit service à tenir compte pour sélectionner ladite au moins une entité de vérification.
  13. Procédé de configuration selon l’une quelconque des revendications 10 à 12 dans lequel l’étape de configuration (F30) comprend un déclenchement :
    • d'une modification d’un mécanisme de résolution de noms de domaine pour inclure une information de joignabilité de ladite au moins une entité de vérification ; ou
    • d’une activation d’un mécanisme de chaînage de service impliquant ladite au moins une entité de vérification ; ou
    • d’un mécanisme de routage à la source ; ou
    • d’une redirection des données vers ladite au moins une entité de vérification.
  14. Procédé de configuration selon la revendication 13 dans lequel le déclenchement d’une modification d’un mécanisme de résolution de noms de domaine comprend une activation au niveau d’une entité (2) impliquée dans la fourniture du service d’un envoi (H50) au premier dispositif d’un entête (DNS_RESOLVER) comprenant ladite information de joignabilité de ladite au moins une entité de vérification, ledit entête indiquant audit premier dispositif qu’il doit envoyer tout ou partie de ses requêtes de résolution de noms de domaine vers ladite au moins une entité de vérification.
  15. Entité (4) de contrôle d’une vérification opérée sur des données véhiculées dans au moins un réseau de communication lors d’un accès par un premier dispositif (3) d’un utilisateur à un service fourni par un deuxième dispositif (2) via une connexion dite principale ((C1)) établie entre le premier et le deuxième dispositif, cette entité de contrôle comprenant :
    • un module (4B) de déclenchement, configuré pour déclencher auprès d’une entité (6) de coordination, une configuration du service pour que des données véhiculées sur la connexion principale et sur au moins une connexion secondaire ((C2), (C2’)) établie en marge de cette connexion principale pour la fourniture du service transitent par au moins une entité (5) de vérification sélectionnée par l’entité de contrôle pour analyser ces données ; et
    • un module (4C) de notification, configuré pour notifier l’entité (6) de coordination, si un événement déterminé est détecté dans une identité numérique (IDNUM(U)) de l’utilisateur véhiculée lors de l’accès au service et comprenant des informations d’identification de l’utilisateur obtenues à partir des données analysées par ladite au moins une entité de vérification.
  16. Entité (5) de vérification de données véhiculées sur au moins un réseau de communication lors d’un accès par un premier dispositif (3) d’un utilisateur à un service fourni par un deuxième dispositif (2) via une connexion dite principale ((C1)) établie entre le premier et le deuxième dispositif, au moins une connexion dite secondaire ((C2),(C2’)) étant établie en marge de ladite connexion principale lors de la fourniture dudit service, ladite entité de vérification comprenant :
    • un module (5A) de réception, configuré pour recevoir des données véhiculées via ladite connexion principale et/ou au moins une dite connexion secondaire ;
    • un module (5C) de mise à jour, activé si au moins une information d’identification de l’utilisateur est obtenue à partir desdites données et en fonction de ladite au moins une information d’identification obtenue, ledit module étant configuré pour mettre à jour une identité numérique de l’utilisateur véhiculée lors de l’accès audit service ; et
    • un module (5D) de transmission configuré pour relayer lesdites données reçues à destination du deuxième dispositif.
  17. Entité (6) de coordination apte à configurer un service (S) fourni à un premier dispositif par un deuxième dispositif via une connexion dite principale établie entre le premier et le deuxième dispositif, ladite entité de coordination comprenant un module (6B) de configuration, activé sur requête d’une entité (4) de contrôle et programmé pour configurer ledit service pour que des données véhiculées sur ladite connexion principale et sur au moins une connexion secondaire établie en marge de ladite connexion principale pour la fourniture du service transitent par au moins une entité (5) de vérification sélectionnée par ladite entité de contrôle pour analyser lesdites données.
  18. Système (1) de vérification comprenant au moins une entité (4) de contrôle selon la revendication 15, au moins une entité (5) de vérification selon la revendication 16 et au moins une entité (6) de coordination d’un service (S) selon la revendication 17.
PCT/EP2022/081047 2021-11-10 2022-11-08 Procédés de contrôle, de vérification et de configuration, et entités configurées pour mettre en œuvre ces procédés Ceased WO2023083771A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP22813297.3A EP4430812A1 (fr) 2021-11-10 2022-11-08 Procédés de contrôle, de vérification et de configuration, et entités configurées pour mettre en oeuvre ces procédés
US18/708,788 US20250007795A1 (en) 2021-11-10 2022-11-08 Processes for monitoring, verification and configuration, and entities configured to implement these processes

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FRFR2111973 2021-11-10
FR2111973A FR3129048A1 (fr) 2021-11-10 2021-11-10 Procédés de contrôle, de vérification et de configuration, et entités configurées pour mettre en œuvre ces procédés

Publications (1)

Publication Number Publication Date
WO2023083771A1 true WO2023083771A1 (fr) 2023-05-19

Family

ID=80999985

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2022/081047 Ceased WO2023083771A1 (fr) 2021-11-10 2022-11-08 Procédés de contrôle, de vérification et de configuration, et entités configurées pour mettre en œuvre ces procédés

Country Status (4)

Country Link
US (1) US20250007795A1 (fr)
EP (1) EP4430812A1 (fr)
FR (1) FR3129048A1 (fr)
WO (1) WO2023083771A1 (fr)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110040870A1 (en) * 2006-09-06 2011-02-17 Simon Wynn Systems and Methods for Determining Location Over a Network
US20190166210A1 (en) * 2016-05-10 2019-05-30 Orange Method for accessing a content hosted on a server selected as a function of the location of the user terminal

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110040870A1 (en) * 2006-09-06 2011-02-17 Simon Wynn Systems and Methods for Determining Location Over a Network
US20190166210A1 (en) * 2016-05-10 2019-05-30 Orange Method for accessing a content hosted on a server selected as a function of the location of the user terminal

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"RFC 6973", July 2013, article "Privacy Considérations for Internet Protocols"

Also Published As

Publication number Publication date
US20250007795A1 (en) 2025-01-02
FR3129048A1 (fr) 2023-05-12
EP4430812A1 (fr) 2024-09-18

Similar Documents

Publication Publication Date Title
EP1683388A2 (fr) Methode de gestion de la s curit d' applications avec un module de securite
FR3103921A1 (fr) Procédé de coordination de la mitigation d’une attaque informatique, dispositif et système associés.
EP4268426A1 (fr) Procedes pour la redirection de trafic, terminal, controleur, serveur d'autorisation, serveurs de resolution de noms, et programme d'ordinateur correspondants
EP3568989A1 (fr) Procédés et dispositifs de vérification de la validité d'une délégation de diffusion de contenus chiffrés
EP1753173A1 (fr) Contrôle d'accès d'un équipement mobile à un réseau de communication IP par modification dynamique des politiques d'accès
EP3811587A1 (fr) Procédé de modification de messages par un équipement sur un chemin de communication établi entre deux noeuds
WO2023083771A1 (fr) Procédés de contrôle, de vérification et de configuration, et entités configurées pour mettre en œuvre ces procédés
WO2023083772A1 (fr) Procédés de contrôle et de transmission, et entités configurées pour mettre en œuvre ces procédés
FR3110802A1 (fr) Procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un réseau de communication local, procédé de traitement d’une requête d’attribution d’une adresse IP à un équipement client dans un réseau de communication local, dispositifs, équipement d’accès, équipement serveur et programmes d’ordinateur correspondants.
EP4033794B1 (fr) Procédé d'attribution dynamique d'identifiants à une carte de circuit intégré universelle embarquée - euicc d'un équipement utilisateur et système associé
Hounsel Measuring the Feasibility of DNS Privacy and Security
WO2011073584A1 (fr) Procede de controle d'acces a un reseau local
WO2023083769A1 (fr) Procédé de traitement d'au moins un paquet de données, dispositif et système associés.
WO2023083770A1 (fr) Procédé de recherche de données sensibles dans au moins un paquet de données, dispositif et système associés
EP4595408A1 (fr) Procedes de resolution de nom, de communication, de traitement de messages et serveur, dispositif client et noeud relais correspondants
EP4256753A1 (fr) Procédé de détection d'un équipement malveillant dans un réseau de communication, équipement de communication et programme d'ordinateur correspondants
WO2018234662A1 (fr) Procédé de contrôle de l'obtention par un terminal d'un fichier de configuration
FR3136912A1 (fr) Procédés de surveillance et de gestion d’objets communicants, équipement de confiance, serveur et objets communicants
WO2025003097A1 (fr) Procédés d'accès à un service, procédé de fourniture de services, procédé de contrôle, procédé de gestion, terminal, instance de service, contrôleur, nœud de bordure et programmes d'ordinateur correspondants
FR3136918A1 (fr) Procédé de communication entre deux équipements, premier équipement, deuxième équipement et programme d’ordinateur correspondants.
WO2024156613A1 (fr) Procédé de révocation d'un jeton de certification permettant d'authentifier l'établissement d'une connexion entre deux équipements de communication, dispositifs et programmes d'ordinateur correspondants
FR3116978A1 (fr) Contrôle d’accès à un réseau de communication local, et passerelle d’accès mettant en œuvre un tel contrôle
Plieschnegger Public Wi-Fi hotspots in the wild: revealing vulnerabilities and restrictions for ordinary hotspot users
Yiakoumis Expressing User Preferences with Network Cookies
FR3044192A1 (fr) Procede de distribution de droits sur un service et plateforme de service

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22813297

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 18708788

Country of ref document: US

WWE Wipo information: entry into national phase

Ref document number: 2022813297

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2022813297

Country of ref document: EP

Effective date: 20240610