Dans le cadre d'un projet lancé en 2005 financé par la Homeland Security Advanced Research Project Agency (HSARPA) "M.A.P. (Measure, Analyse, Protect) : security through measurement for wireless LANs)", des chercheurs de Dartmouth travaillent sur un système de détection d'intrusion utilisant un ensemble de systèmes d'écoute Wifi.

au sommaire


    Note : les Bulletins Electroniques (BE) sont un service ADIT et sont accessibles gratuitement sur www.bulletins-electroniques.com

    Note : les Bulletins Electroniques (BE) sont un service ADIT et sont accessibles gratuitement sur www.bulletins-electroniques.com

    Un réseau composé d'un grand nombre de capteurscapteurs (des bornes d'accès WifiWifi configurées en mode écoute) mesure le trafic sur l'ensemble des canaux Wifi et les données sont ensuite agrégées pour analyse : le but est de contrer le "spoofing" (usurpation) et l'"evasion" (techniques de dissimulation). Le système a aussi pour but de lutter contre les attaques de déni de service (" denial of servicedenial of service " ou DoS) ainsi que celles de dégradation de qualité ("reduction of quality" RoQ).

    L'un des aspects concerne l'extensibilité car, pour être efficace, un tel système de détection requiert de nombreux capteurs (il ne s'agit pas de surveiller le trafic traversant les bornes d'accès l'autorisant, mais aussi de détecter les fausses bornes d'accès - utiles pour certaines attaques) et l'analyse d'une très grande quantité de données.

    Les algorithmes d'analyse doivent compter sur le fait que tous les paquets ne seront pas captés (certaines données peuvent être reçues par des stations ou bases sans être interceptées par un capteur ; chaque capteur n'écoutera qu'un seul canal à un moment donné). Pour cette raison le système ne comparera pas les données captées à des signatures d'attaques, mais travaillera sur des statistiques de plus haut niveau (correspondant à un certain niveau d'agrégation) à partir de techniques classiques : analyse en composantes principales et Tree Augmented Bayesian Networks (ou TAN).

    Par ailleurs, MAP focalisera automatiquement ses analyses sur les noeuds les plus occupés ou ceux pour lesquels l'analyse statistique indique une probable attaque (auquel cas ce noeud fait l'objet d'une surveillance serrée sur l'ensemble de ses canaux). In fine, MAP pourrait servir à bâtir un système de sécurité pour les réseaux sans fils s'adaptant automatiquement aux attaques qui évoluent sans cesse plutôt que de reposer sur des signatures d'attaque répertoriées.

    Le système est en cours de finalisation, pour un déploiement sur l'ensemble du réseau du campus prévu fin 2007.

    Par Sébastien Morbieu & Jean-Philippe Lagrange