Renifler les fichiers BitTorrent illicites

Une nouvelle technique a été développée pour détecter et suivre les contenus illégaux transférés à l'aide du protocole d'échange de fichiers BitTorrent. Selon ses créateurs, l'approche peut surveiller les réseaux sans interrompre le flux de données et fournit aux enquêteurs des preuves tangibles de transferts de fichiers illicites.





Les fichiers de contrebande peuvent inclure des films, de la musique ou des logiciels piratés, et même de la pornographie juvénile. Lorsque l'outil détecte un tel fichier, il conserve un enregistrement des adresses réseau impliquées pour une analyse ultérieure, explique le major Karl Schrader, qui a dirigé les travaux au Institut de technologie de l'armée de l'air , à Kettering, Ohio.

L'utilisation de logiciels peer-to-peer (P2P) et du protocole BitTorrent en particulier n'a cessé d'augmenter ces dernières années. En fait, pour de nombreux fournisseurs de services Internet (FAI), la grande majorité du trafic Internet se compose désormais de transferts P2P.

Les FAI sont généralement uniquement intéressés par la détection de ce type de trafic afin de le contrôler ou de le limiter et de libérer de la bande passante pour d'autres usages. Cependant, cette approche ne révèle rien sur le contenu de chaque transfert, explique Schrader. Une poignée d'outils de surveillance du réseau peuvent identifier des fichiers BitTorrent spécifiques, mais le processus est généralement lent, car le contenu de chaque fichier doit être examiné. Le temps que cela prend augmente également de façon exponentielle à mesure que le nombre de fichiers à analyser augmente.



Notre système diffère en ce qu'il est complètement passif, ce qui signifie qu'il ne modifie aucune information entrant ou sortant d'un réseau, explique Schrader. Cela fonctionne, dit-il, en repérant d'abord les fichiers qui portent la marque du protocole BitTorrent en examinant les 32 premiers bits des données d'en-tête des fichiers. Ensuite, le système examine le hachage des fichiers, un code d'identification unique utilisé pour coordonner le téléchargement simultané de centaines de fragments de fichiers par différents utilisateurs. Si un hachage correspond à un hachage stocké dans une base de données de hachages interdits, le système enregistrera le transfert et stockera les adresses réseau impliquées.

Je suis convaincu que la solution fonctionne et qu'elle sera assez bon marché, car très spécialisée, déclare Hendrik Schulze, directeur de la technologie de Ipoque , une société d'analyse de réseau basée à Leipzig, en Allemagne. Des solutions plus généralisées qui tentent de surveiller un large éventail de types de fichiers peuvent être plus flexibles, dit-il, mais elles seront également plus chères.

L'une des raisons pour lesquelles la nouvelle technique est si rapide est que l'appareil requis se compose d'une puce FPGA (Field Programmable Gate Array) spécialement configurée et d'une carte mémoire flash qui stocke un journal de l'activité illicite.



Cette configuration signifie que le contenu des fichiers peut être analysé directement en puisant dans un tampon de contrôleur Ethernet, laissant ainsi le trafic du réseau intact. Cela signifie également qu'il est impossible pour les utilisateurs de savoir si un réseau est surveillé, explique Schrader. Notre système ne modifie en aucune façon le trafic et n'interfère pas dans la livraison du trafic à l'intérieur ou à l'extérieur d'un réseau, dit-il.

Ross Anderson , un expert en sécurité informatique à l'Université de Cambridge, au Royaume-Uni, affirme que l'idée n'est pas nouvelle. Cisco vend depuis des années des kits au gouvernement chinois pour le «Grand pare-feu de Chine» qui fait exactement ce que ces gars proposent, dit-il. De même, une entreprise australienne appelée Brilliant Digital Entertainment vend un outil appelé CopyRouter qui analyse les hachages pour identifier les fichiers illégaux sur d'autres types de réseaux P2P.

Schulze ajoute que l'approche repose sur une liste à jour des fichiers illégaux. Le système doit mettre à jour fréquemment une énorme liste de hachages de fichiers, dit-il. Quelqu'un doit qualifier les hachages d'infractions au droit d'auteur ou d'autre contenu criminel.

D'un point de vue juridique, Schulze dit que la vie privée peut être un problème plus important. Ni les États-Unis ni aucun pays européen n'autoriseraient [personne] à installer un appareil qui inspecte le trafic de chaque utilisateur juste pour arrêter le piratage sur Internet, dit-il. Dans cette approche, chaque utilisateur est considéré comme suspect.

Même si le cadre juridique devait permettre la technologie, elle n'est pas tout à fait prête à partir. Des tests du système, dont les détails seront publiés plus tard cette année dans un livre intitulé Avancées en criminalistique numérique V , a montré qu'il était efficace pour détecter 99 % des fichiers illicites, mais uniquement à des vitesses de 100 mégabits par seconde.

C'est trop lent à des fins commerciales ou policières, selon Anderson. Schulze est d'accord : un gigabit par seconde ou dix gigabits par seconde sont nécessaires aujourd'hui pour surveiller un réseau. Il dit également qu'il n'est pas clair si le système pourrait produire de faux positifs, étiquetant à tort des fichiers légitimes comme illégaux.

Un autre inconvénient est que le système ne peut pas gérer les fichiers cryptés. Aujourd'hui, environ 25% du trafic BitTorrent est crypté, explique Schulze. Si un tel outil devenait largement utilisé, alors toute personne ayant quelque chose à cacher passerait presque certainement à l'utilisation du cryptage, dit-il.

cacher