FR3073110A1

FR3073110A1 - METHOD, DEVICE AND METHOD FOR SOCKSIFYED, SECURE, SEGREGATED, ANONYMOUSED IP PROTOCOL COMMUNICATION BETWEEN SIMILAR ISLANDS THROUGH PROXY SOCKS, ROAD BY "DOMAIN NAME SPACE" / FQDN

Info

Publication number: FR3073110A1
Application number: FR1771125A
Authority: FR
Inventors: Alain Laurent Harry Jean-Claude; Andre Michel Vargas Damien; Alfred Jacques Oukrat Charles-Edouard
Original assignee: Harry Jean Claude Alain Laurent
Current assignee: Harry Jean Claude Alain Laurent
Priority date: 2017-10-26
Filing date: 2017-10-26
Publication date: 2019-05-03
Also published as: WO2019102077A8; WO2019102077A1

Abstract

Procédé, dispositif et méthode d'établissement d'une communication socksifiée, sécurisée, ségréguée, anonymisée dans un réseau basé sur le protocole IP (Internet protocol) entre différents Îlots analogues, transmis à travers un réseau de proxy socks et routé sur la base du « Domain Name Space » / FQDN (Fully Qualified Domain Name). L'invention propose un procédé, dispositif et une méthode de mise en îlot des réseaux de datagramme IP pour garantir un environnement sécurisé par défaut. Réduction drastique des flux ouverts dans un réseau basé sur le protocole IP, à l'idéal, UN et [ 1] SEUL et UNIQUE flux ; L'environnement sera aussi petit et analogue que possible ; En apparence ouvert, uniquement sur lui-même (en vue OSI) ; Un agent de socksification traite les demandes provenant d'applications, à l'entrée du nuage, les datagrammes IP sont analysés par des systèmes d'intrustion et de protection (IDS/IPS), validés et autorisés par le coupefeu (FIREWALL) par des règles définies par l'outil de socksification (PROXY) ; un tunnel anonyme est instancié ; utilisant le chaînage de SOCKS, la requête est transférée en sortie du nuage, elle sera autorisée (IDS/IPS), validée (PROXY) et délivrée (FIREWALL) à la ressource finale. Le procédé est un système, selon l'invention, il est destiné aux traitements de données utilisant les datagrammes IP.Method, device and method for establishing sockified, secure, segregated, anonymized communication in an IP-based network between different analogous islands, transmitted through a socks proxy network and routed on the basis of Domain Name Space / FQDN (Fully Qualified Domain Name). The invention provides a method, device and method for islanding IP datagram networks to ensure a secure environment by default. Drastic reduction of open flows in a network based on the IP protocol, ideally, ONE and [1] ONLY and UNIQUE flow; The environment will be as small and analog as possible; In appearance open, only on itself (in OSI view); A socksification agent processes requests from applications, at the entrance of the cloud, IP datagrams are analyzed by intrusion and protection systems (IDS / IPS), validated and authorized by firewall (FIREWALL) by rules defined by the socksification tool (PROXY); an anonymous tunnel is instantiated; using the SOCKS chaining, the request is transferred to the output of the cloud, it will be authorized (IDS / IPS), validated (PROXY) and delivered (FIREWALL) to the final resource. The method is a system, according to the invention, it is intended for data processing using IP datagrams.

Description

©) Procédé, dispositif et méthode d'établissement d'une communication socksifiée, sécurisée, ségréguée, anonymisée dans un réseau basé sur le protocole IP (Internet protocol) entre différents îlots analogues, transmis à travers un réseau de proxy socks et routé sur la base du « Domain Name Space » / FQDN (Fully Qualified Domain Name).©) Method, device and method for establishing a socksified, secure, segregated, anonymized communication in a network based on the IP protocol (Internet protocol) between different analogous islands, transmitted through a socks proxy network and routed over the basis of the “Domain Name Space” / FQDN (Fully Qualified Domain Name).

L'invention propose un procédé, dispositif et une méthode de mise en îlot des réseaux de datagramme IP pour garantir un environnement sécurisé par défaut.The invention provides a method, device and method for islanding IP datagram networks to guarantee a secure environment by default.

Réduction drastique des flux ouverts dans un réseau basé sur le protocole IP, à l'idéal, UN et [1] SEUL et UNIQUE flux;Drastic reduction of open flows in a network based on the IP protocol, ideally, ONE and [1] ONLY and ONE SINGLE flow;

L'environnement sera aussi petit et analogue que possible;The environment will be as small and similar as possible;

En apparence ouvert, uniquement sur lui-même (en vue OSI);Apparently open, only on itself (in OSI view);

Un agent de socksification traite les demandes provenant d'applications, à l'entrée du nuage, les datagrammes IP sont analysés par des systèmes d'intrustion et de protection (IDS/IPS), validés et autorisés par le coupefeu (FIREWALL) par des règles définies par l'outil de socksification (PROXY); un tunnel anonyme est instancié; utilisant le chaînage de SOCKS, la requête est transférée en sortie du nuage, elle sera autorisée (IDS/IPS), validée (PROXY) et délivrée (FIREWALL) à la ressource finale.A socksification agent processes requests from applications, at the entrance to the cloud, IP datagrams are analyzed by intrusion and protection systems (IDS / IPS), validated and authorized by the firewall (FIREWALL) by rules defined by the socksification tool (PROXY); an anonymous tunnel is instantiated; using SOCKS chaining, the request is transferred out of the cloud, it will be authorized (IDS / IPS), validated (PROXY) and delivered (FIREWALL) to the final resource.

Le procédé est un système, selon l'invention, il est destiné aux traitements de données utilisant les datagrammes IP.The method is a system, according to the invention, it is intended for data processing using IP datagrams.

Procédé, dispositif et méthode d'établissement d'une communication socksifiée, sécurisée, ségréguée, anonymisée dans un réseau basé sur le protocole IP ( Internet protocol) entre différents îlots analogues, transmis à travers un réseau de proxy socks et routé sur la base du « Domain Name Space » / FQDN (Fully Qualified Domain Name).Method, device and method for establishing a socksified, secure, segregated, anonymized communication in a network based on the IP protocol (Internet protocol) between different analogous islets, transmitted through a socks proxy network and routed on the basis of the "Domain Name Space" / FQDN (Fully Qualified Domain Name).

AbstractionAbstraction

Qui est difficile à comprendre par « manque de référence » à la réalité concrète.Which is difficult to understand by "lack of reference" to concrete reality.

Domaine technique de l'inventionTechnical field of the invention

L'invention concerne 1'interconnexion de composants réseau utilisant le Protocole Internet (IP), ces différents réseaux ayant des structures communes ou variées.The invention relates to the interconnection of network components using the Internet Protocol (IP), these different networks having common or varied structures.

L'invention augmente la sécurité en permettant de limiter la propagation des attaques virales, de limiter la visibilité et la propagation des outils d'analyse et d'étude du réseau (pentest, Blackbox et Greybox), de limiter les attaques de type Homme du Milieu (MITM - ManIn-The-Middle en anglais), de bloquer les attaques de type DDOS et d'inhiber la possibilité d'injection dans des diagrammes de protocole Internet (IP) en s'appuyant sur une rupture protocolaire.The invention increases security by making it possible to limit the spread of viral attacks, limit the visibility and spread of network analysis and study tools (pentest, Blackbox and Greybox), limit Man-type attacks of Medium (MITM - ManIn-The-Middle in English), block DDOS attacks and inhibit the possibility of injection into Internet Protocol (IP) diagrams by relying on a protocol break.

L'invention permet de conserver une grande adaptabilité au besoin technique et une évolutivité accrue de l'infrastructure.The invention makes it possible to maintain great adaptability to the technical need and increased scalability of the infrastructure.

Le contexte technologique — Art AntérieurThe technological context - Prior Art

InternetInternet

L'Internet est un réseau global de systèmes utilisant le datagramme IP, composé de composants passifs (réseau) et actifs (dispositif).The Internet is a global network of systems using the IP datagram, composed of passive (network) and active (device) components.

Le « Net », relie des dispositifs utilisant une variété de systèmes d'exploitation ou de langages différents.The "Net" connects devices using a variety of different operating systems or languages.

Pour faciliter et permettre la communication des systèmes et langages, l'utilisation du protocole IP (Internet Protocol) est devenue un standard.To facilitate and allow the communication of systems and languages, the use of Internet Protocol (IP) has become a standard.

TCP/IPTCP / IP

La suite TCP/IP comprend deux des protocoles les plus importants :The TCP / IP suite includes two of the most important protocols:

Un protocole de contrôle de transmission (TCP) et un protocole Internet (IP)Transmission control protocol (TCP) and Internet protocol (IP)

Le terme usuel TCP/IP est utilisé pour désigner la totalité de la suite. Le premier but qui a été visé au niveau de la conception de TCP/IP a été de construire une interconnexion de réseaux offrant des services de communication universels.The common term TCP / IP is used to denote the entire suite. The first goal which was aimed at in the design of TCP / IP was to build an interconnection of networks offering universal communication services.

L'architecture des réseaux physiques est cachée aux utilisateurs. Le deuxième but du TCP/IP est d'interconnecter différents réseaux physiques pour former ce qui apparaît à l'utilisateur comme étant un grand réseau unique.The architecture of physical networks is hidden from users. The second goal of TCP / IP is to interconnect different physical networks to form what appears to the user to be a single large network.

D'autres protocoles de transport existent sur le réseau pour faire un travail équivalent : l'UDP, l'ICMP.Other transport protocols exist on the network to do equivalent work: UDP, ICMP.

Routeur IPIP router

Un « routeur » est un système qui assure l'interconnexion de réseaux et la transmission des messages d'une source vers une destination. Les routeurs sont en mesure de sélectionner le meilleur chemin de transmission entre les réseaux.A "router" is a system that interconnects networks and transmits messages from a source to a destination. Routers are able to select the best transmission path between networks.

La fonction de base du routage est assurée dans la couche IP du protocole IP.The basic routing function is provided in the IP layer of the IP protocol.

Adresse uniformisée de Ressource (URL)Standard Resource Address (URL)

Une ressource sur Internet est identifiée de façon non ambiguë par une adresse URL (Uniform Resource Locator) définie par la RFC 3986 désignant une ressource particulière en un emplacement particulier. Une URL spécifie le protocole applicatif utilisé pour accéder au service (par exemple : http, ftp, etc.).A resource on the Internet is unambiguously identified by a URL (Uniform Resource Locator) defined by RFC 3986 designating a particular resource in a particular location. A URL specifies the application protocol used to access the service (for example: http, ftp, etc.).

Nom de DomaineDomain name

Le système de nom de domaine est hiérarchique, permettant la définition de sous-domaines ou « Domain Name Space ». Le nom de domaine est composé d'au moins un mot : le « label ». S'il y a plusieurs labels, on doit séparer deux labels par un point.The domain name system is hierarchical, allowing the definition of subdomains or "Domain Name Space". The domain name is made up of at least one word: "label". If there are several labels, two labels must be separated by a point.

Sous-domaine (Domain Name Space)Subdomain (Domain Name Space)

Les sous-domaines ou « Domain Name Space » permettent de structurer un réseau en zones distinctes hiérarchisées dans l'arborescence DNS. Dans un intranet, aucune règle ne s'applique sur le choix des labels.The subdomains or "Domain Name Space" allow you to structure a network into distinct zones hierarchical in the DNS tree. In an intranet, no rule applies to the choice of labels.

Nom machine (Hostname)Machine name (Hostname)

Le nom attribué à une machine est son Hostname. Il doit suivre des règles strictes liées au système d'exploitation. En Intranet, les règles d'entreprise peuvent aussi limiter le Hostname.The name assigned to a machine is its Hostname. It must follow strict rules related to the operating system. Intranet, business rules can also limit the Hostname.

Nom de domaine complètement qualifié (FQDN, Fully Qualified Domain Name)Fully Qualified Domain Name (FQDN)

Le nom de domaine formé du Nom Machine et des sousdomaines qui révèle la position absolue d'un nœud dans 1'arborescence DNS en indiquant tous les domaines de niveau supérieur jusqu'à la racine. On parle également de domaine absolu, par opposition aux domaines relatifs. Par convention, le FQDN est ponctué par un point final.The domain name formed by the Machine Name and subdomains which reveals the absolute position of a node in the DNS tree by indicating all the top level domains up to the root. We also speak of absolute domain, as opposed to relative domains. By convention, the FQDN is punctuated by an end point.

Serveur de Nom de Domaine (DNS Domain Name Server)Domain Name Server (DNS Domain Name Server)

Les noms des hôtes tels que « entreprise.com » sont traduits en adresses Internet numériques (183.45.47.4), et vice et versa, en utilisant un procédé appelé DNS (Domain Name Service). Le DNS est supporté par des serveurs résidents sur le réseau, est défini par les RFC 1034 et RFC 1035Host names such as "enterprise.com" are translated into digital Internet addresses (183.45.47.4), and vice versa, using a process called DNS (Domain Name Service). DNS is supported by resident servers on the network, is defined by RFC 1034 and RFC 1035

IntranetIntranet

Certaines sociétés utilisent le même mécanisme qu'Internet pour communiquer à 1'intérieur de leur propre organisation : l'intranetSome companies use the same mechanism as the Internet to communicate within their own organization: the intranet

Ces sociétés utilisent les mêmes protocoles de réseau/transport et serveurs locaux pour permettre une communication interne et un accès aux données. Ces données sont confidentielles ou à usage privé le plus souvent. Les sociétés protègent l'accès à leur réseau par l'utilisationThese companies use the same network / transport protocols and local servers to allow internal communication and access to data. These data are often confidential or for private use. Companies protect access to their network through use

d'un équipement spécial que l'on (firewall) special equipment that we (Firewall) appelle un call a coupefeu firewall Coupefeu (firewall) Firewall Un coupefeu protège un ou A blaster protects one or plusieurs many systèmes systems d'information ayant des connexions de information having connections from datagramme datagram IP. IP.

Un coupefeu est un composant matériel et/ou logiciel formant une frontière entre les systèmes (internes et/ou externes). Le système situé à l'intérieur forme une zone sécurisée.A firewall is a hardware and / or software component forming a border between systems (internal and / or external). The system located inside forms a secure area.

Attaque par déni de service (DoS, Déniai of Service)Denial of Service attack (DoS, Déniai of Service)

Une attaque par déni de service (abr. DoS attack pour Déniai of Service attack en anglais) est une attaque informatique ayant pour but de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser. À l'heure actuelle la grande majorité de ces attaques se font à partir de plusieurs sources, on parle alors d'attaque par déni de service distribuée (abr. DDoS attack pour Distributed Déniai of Service attack). Il existe plusieurs méthodes techniques pour créer ce type d'attaque.A denial of service attack (abr. DoS attack for Déniai of Service attack in English) is a computer attack intended to make a service unavailable, to prevent legitimate users of a service from using it. Currently, the vast majority of these attacks are made from several sources, so we speak of a distributed denial of service attack (abr. DDoS attack for Distributed Déniai of Service attack). There are several technical methods to create this type of attack.

Systèmes de Détection d'intrusion (IDS, Intrusion Détection System)Intrusion Detection System (IDS)

Les IDS, ou systèmes de détection d'intrusion, sont des systèmes logiciel (software) ou matériel (hardware) conçus afin de pouvoir automatiser la surveillance (monitoring) d'événements survenant dans un réseau ou sur une machine particulière, et de pouvoir signaler à 1'administrateur système toute trace d'activité anormale sur ce dernier ou sur la machine surveillée. L'IDS est un système de détection passif.IDS, or intrusion detection systems, are software or hardware systems designed to be able to automate the monitoring of events occurring in a network or on a particular machine, and to be able to report to the system administrator any trace of abnormal activity on the latter or on the machine being monitored. The IDS is a passive detection system.

L'administrateur décidera ou non de bloquer cette activité.The administrator will decide whether or not to block this activity.

Systèmes de Prévention d'intrusion (IPS, Intrusion Prévention System)Intrusion Prevention System (IPS)

On peut dire qu'un IPS est un IDS étendu qui a pour principale différence d'intercepter les paquets intrus. Il agit et est donc actif au sein du réseau.You could say that an IPS is an extended IDS whose main difference is to intercept intruding packets. It acts and is therefore active within the network.

Les systèmes IDS et IPS appliquent des méthodes similaires lorsqu'ils essaient de détecter des intrus ou des attaques sur le réseau. En fait, le principe de détection de 1'IPS correspond exactement à celui de 1'IDS. Il y a donc une certaine symétrie entre IPS et IDS.IDS and IPS systems apply similar methods when trying to detect intruders or attacks on the network. In fact, the detection principle of IPS corresponds exactly to that of IDS. There is therefore a certain symmetry between IPS and IDS.

Un IPS est conçu pour identifier les attaques potentielles et exécuter de façon autonome une contremesure pour les empêcher, sans affecter le système d'exploitation normale.An IPS is designed to identify potential attacks and autonomously execute countermeasures to prevent them, without affecting the normal operating system.

Serveur Mandataire (Serveur Proxy)Proxy Server (Proxy Server)

Un proxy est un composant logiciel informatique qui joue le rôle d'intermédiaire en se plaçant entre deux hôtes pour faciliter ou surveiller leurs échanges.A proxy is a computer software component which acts as an intermediary by placing itself between two hosts to facilitate or monitor their exchanges.

Dans le cadre plus précis des réseaux informatiques, un proxy est alors un programme servant d'intermédiaire pour accéder à un autre réseau, généralement Internet. Par extension, on appelle aussi « proxy » un matériel comme un serveur mis en place pour assurer le fonctionnement de tels services.In the more precise context of computer networks, a proxy is then a program serving as an intermediary to access another network, generally the Internet. By extension, we also call “proxy” a piece of equipment such as a server installed to ensure the operation of such services.

Dans l'environnement plus particulier des réseaux, un serveur proxy est une fonction informatique clientserveur qui a pour fonction de relayer des requêtes entre une fonction cliente et une fonction serveur (couches 5 à 7 du modèle OSI).In the more specific environment of networks, a proxy server is a client-server IT function which has the function of relaying requests between a client function and a server function (layers 5 to 7 of the OSI model).

ils assurent les fonctions suivantes :they perform the following functions:

• Accélération de la navigation : mémoire cache, compression de données, filtrage des publicités ou des contenus lourds (java, flash) ;• Acceleration of navigation: cache memory, data compression, filtering of advertisements or heavy content (java, flash);

• La journalisation des requêtes (historique) ;• Logging of requests (history);

• La sécurité du réseau local ;• Local network security;

• Le filtrage.• Filtering.

L'utilité des serveurs proxy est importante, notamment dans le cadre de la sécurisation des systèmes d’information.The usefulness of proxy servers is important, especially in the context of securing information systems.

Il est presque systématique en entreprise ou dans les lieux publics que l'accès internet se fasse à travers un serveur proxy. L'internaute ne voit pas la différence, sauf quand il tente de naviguer sur un site interdit, auquel cas il pourra recevoir un message d'erreur : un tel proxy est appelé proxy filtrant. Il se peut aussi qu'une boîte de dialogue s'ouvre et demande un identifiant et un mot de passe avant de pouvoir surfer sur internet.It is almost systematic in business or in public places that internet access is through a proxy server. The user does not see the difference, except when he tries to navigate on a prohibited site, in which case he may receive an error message: such a proxy is called filtering proxy. A dialog box may also open and ask for a username and password before being able to surf the internet.

À l'inverse, un proxy peut aussi servir à contourner les filtrages.Conversely, a proxy can also be used to bypass filtering.

Supposons le cas d'un pays qui bloque l'accès à certains sites considérés comme « subversifs », mais qui effectue ce filtrage uniquement en se basant sur l'adresse du site que l'on souhaite visiter. Dans ce cas, en utilisant un proxy comme intermédiaire (situé dans un autre pays donc non affecté par le filtrage), on peut s'affranchir du filtrage (sauf bien sûr si l'adresse du proxy est elle-même interdite).Let us assume the case of a country which blocks access to certain sites considered to be “subversive”, but which performs this filtering only on the basis of the address of the site which one wishes to visit. In this case, by using a proxy as an intermediary (located in another country, therefore not affected by filtering), you can do without filtering (unless of course if the address of the proxy is itself prohibited).

Le principe fonctionne également dans l'autre sens. Supposons qu'un site web n'accepte que les internautes d'un certain pays (exemple concret : un site de campagne présidentielle américain qui n'accepte que les connexions venant des États-Unis). Dans ce cas, en passant par un proxy situé aux États-Unis, un internaute français pourra visiter le site.The principle also works in the other direction. Suppose that a website only accepts Internet users from a certain country (concrete example: an American presidential campaign site that only accepts connections from the United States). In this case, using a proxy located in the United States, a French internet user can visit the site.

Un troisième rôle du proxy est de compliquer la remontée vers l'internaute (anonymisation). Dans l'exemple précédent, on a trompé le site américain qui n'était pas capable de remonter jusqu'à l'internaute à travers le proxy. Certaines techniques avancées permettent de remonter à travers le proxy.A third role of the proxy is to complicate the escalation to the Internet user (anonymization). In the previous example, we have deceived the American site which was not able to go back to the Internet user through the proxy. Some advanced techniques allow you to go back through the proxy.

Dans ce cas, un internaute pourra utiliser de nombreux proxys en chaîne comme le réseau The Onion Router (TOR) et stopper la connexion avant que ceux qui le traquent ne soient remontés jusqu'à lui.In this case, a user can use many chain proxies such as The Onion Router (TOR) network and stop the connection before those who track him are traced back to him.

Les fournisseurs d'accès à Internet (FAI) peuvent proposer des proxy pour la connexion de leurs abonnés. Il faut pour cela que 1'abonné paramètre correctement son système (via un logiciel d'installation fourni par le FAI) .Internet service providers (ISPs) can offer proxies for the connection of their subscribers. This requires that the subscriber correctly configure his system (via installation software provided by the ISP).

Mais il est également possible que le fournisseur d'accès utilise un proxy transparent (sans configuration par l'utilisateur). Ce proxy permet par exemple au fournisseur d'accès de connaître les habitudes de navigation de ses abonnés ou de réduire le nombre d'accès effectifs aux sites distants.But it is also possible that the access provider uses a transparent proxy (without configuration by the user). This proxy allows, for example, the access provider to know the browsing habits of its subscribers or to reduce the number of effective accesses to remote sites.

Translation d'adresses réseau, (NAT — Network address Translation)Network address translation (NAT)

Lorsque l'on fait correspondre des adresses IP à d'autre adresse IP.When matching IP addresses to other IP address.

En particulier, un cas courant est de permettre à des machines disposant d'adresses qui font partie d'un Intranet et ne sont ni uniques ni routables à l'échelle d'Internet, de communiquer avec le reste d'Internet en semblant utiliser des adresses externes uniques et routables.In particular, a common case is to allow machines with addresses that are part of an Intranet and are not unique or routable on the Internet scale, to communicate with the rest of the Internet by appearing to use unique and routable external addresses.

Ainsi, il est possible de faire correspondre une seule adresse externe publique visible sur Internet à toutes les adresses d'un réseau privé, afin de pallier l'épuisement des adresses IPv4.Thus, it is possible to match a single public external address visible on the Internet to all the addresses of a private network, in order to compensate for the exhaustion of IPv4 addresses.

La fonction NAT dans un routeur de service intégré (ISR) traduit une adresse IP source interne en adresse IP globale.The NAT function in an integrated service router (ISR) translates an internal source IP address into a global IP address.

Ce procédé est très largement utilisé par les box internet (ou modem/routeur) des fournisseurs d'accès pour permettre l'existence et la connexion d'un ensemble d'équipements derrière une identification publique unique. Il est également utilisé de façon similaire dans des réseaux privés virtuels.This process is very widely used by internet boxes (or modem / router) of access providers to allow the existence and connection of a set of equipment behind a single public identification. It is also used similarly in virtual private networks.

Socks et serveurs socksSocks and socks servers

Socks est un protocole qui effectue une certaine forme d'encapsulation des protocoles de niveau « applicatif » (FTP, Telnet, etc.). En utilisant socks, le trafic au niveau application - dans un système faisant fonctionner un logiciel client socks et un système faisant fonctionner un logiciel serveur socks - est encapsulé dans un tunnel socks virtuel entre les deux systèmes.Socks is a protocol that performs some form of encapsulation of "application" level protocols (FTP, Telnet, etc.). Using socks, application-level traffic - in a system running socks client software and a system running socks server software - is encapsulated in a virtual socks tunnel between the two systems.

Socks est principalement utilisé par les systèmes évoluant dans l'intranet afin d'obtenir un accès sécurisé auprès des systèmes placés à l'extérieur de l'intranet.Socks is mainly used by systems operating on the intranet in order to obtain secure access to systems located outside the intranet.

Un serveur socks agit comme un relais entre les systèmes situés à l'intérieur de l'intranet, cachant ainsi les systèmes situés à l'extérieur de l'intranet.A socks server acts as a relay between the systems located inside the intranet, thus hiding the systems located outside the intranet.

Un serveur Socks peut contenir des fonctionnalités de coupefeu (firewall)A Socks server can contain firewall features

Un serveur socks (appelé passerelle socks) est un logiciel permettant à des ordinateurs situés à l'intérieur d'une zone protégée par un coupefeu d'avoir accès à 1'Internet.A socks server (called a socks gateway) is software that allows computers located inside a fire-protected area to access the Internet.

Étant donné que le serveur socks agit comme une couche sous-jacente aux protocoles (http, etc.), il ne peut mettre des données en antémémoire (comme le proxy web le fait) parce qu'il ne décode pas le protocole pour connaître le type de données qu'il transfère.Since the socks server acts as a layer underlying the protocols (http, etc.), it cannot cache data (as the web proxy does) because it does not decode the protocol to know the type of data it transfers.

Certains serveurs socks peuvent crypter les données lors du transport.Some socks servers can encrypt data during transport.

Cœur de réseau (backbone)Network core (backbone)

Il constitue le centre névralgique d'un réseau. Dans le contexte des réseaux, désigne la partie qui supporte le gros du trafic, en utilisant les technologies les plus rapides et une grande bande passante sur des distances importantes. Les petits réseaux (internes à une entreprise ou à une région) se rattachent à ce réseau fédérateur, comme les rivières viennent grossir le cours d'un fleuve.It constitutes the nerve center of a network. In the context of networks, designates the part that supports the bulk of the traffic, using the fastest technologies and a large bandwidth over large distances. Small networks (internal to a company or to a region) are attached to this unifying network, as rivers swell the course of a river.

Composants Informatique (CI, Component Item)Computer Components (CI, Component Item)

Tout composant permettant de fournir un service Informatique. Les CI comprennent habituellement les services informatiques, le matériel et les logiciels.Any component used to provide an IT service. CIs usually include IT services, hardware and software.

Architecture PoD (Point Of Delivery)Point Of Delivery (PoD) Architecture

Un point de livraison, ou PoD, est une zone du réseau pouvant contenir des Composants Informatiques qui fonctionnent ensemble pour fournir des services distincts sur le réseau. Le PoD est un motif de conception répétable et ses composants maximisent la modularité, l'évolutivité et la capacité de gestion de Centres de données (Datacenter, Cloud).A delivery point, or PoD, is an area of the network that may contain Computer Components that work together to provide separate services on the network. The PoD is a repeatable design motif and its components maximize the modularity, scalability and management capacity of Data Centers (Datacenter, Cloud).

Le principe de la conception modulaire a été appliqué aux réseaux téléphoniques et de données, par exemple grâce à un design de nœud répétable décrivant la configuration des équipements logés dans les installations.The principle of modular design has been applied to telephone and data networks, for example thanks to a repeatable node design describing the configuration of the equipment housed in the installations.

Le terme est utilisé de manière similaire dans les réseaux vidéo par câble pour décrire le composant modulaire qui fournit un service vidéo à un abonné. La distinction d'un PoD par rapport à d'autres modèles de conception est qu'il s'agit d'un module « déployable » qui délivre un service.The term is used similarly in cable video networks to describe the modular component that provides video service to a subscriber. The distinction of a PoD compared to other design models is that it is a "deployable" module that delivers a service.

Le modèle de conception PoD est particulièrement important dans l'infrastructure des fournisseurs de services, par exemple dans les centres de données prenant en charge les services de Cloud Computing, afin de maintenir 1'évolutivité à mesure que 1'utilisation augmente.The PoD design model is particularly important in the infrastructure of service providers, for example in data centers supporting cloud computing services, in order to maintain scalability as usage increases.

HDM Attaque de 1'homme du milieu (MITM Man-in-themiddle)HDM Attack of the Middle Man (MITM Man-in-themiddle)

Parfois appelée attaque de 1'intercepteur, est une attaque qui a pour but d'intercepter les communications entre deux parties, sans que ni l'une ni l'autre ne puisse se douter que le canal de communication entre elles a été compromis. Le canal le plus courant est une connexion à Internet de l'internaute lambda. L'attaquant doit d'abord être capable d'observer et d'intercepter les messages d'une victime à l'autre. L'attaque « homme du milieu » est particulièrement applicable dans la méthode d'échange de clés Diffie-Hellman quand cet échange est utilisé sans authentification. Avec authentification, Diffie-Hellman est en revanche invulnérable aux écoutes du canal, et est d'ailleurs conçu pour cela.Sometimes called an interceptor attack, is an attack which aims to intercept communications between two parties, without either of them being able to suspect that the communication channel between them has been compromised. The most common channel is an Internet connection for the average Internet user. The attacker must first be able to observe and intercept messages from one victim to another. The “middle man” attack is particularly applicable in the Diffie-Hellman key exchange method when this exchange is used without authentication. With authentication, Diffie-Hellman is however invulnerable to eavesdropping on the channel, and is moreover designed for that.

L'Internet des objets (IOT, ou Internet Of Things)The Internet of Things (IOT, or Internet Of Things)

L'Internet des objets est un scénario dans lequel les objets, les animaux et les personnes se voient attribuer des identifiants uniques, ainsi que la capacité de transférer des données sur un réseau sans nécessiter aucune interaction humain-à-humain ou humain-à-machine.The Internet of Things is a scenario in which objects, animals and people are assigned unique identifiers, as well as the ability to transfer data over a network without requiring any human-to-human or human-to-interaction. machine.

Dans l'Internet des objets, un « objet » peut être une personne équipée d'un pacemaker, un animal de ferme qui porte une puce (transpondeur), une voiture qui embarque des capteurs pour alerter le conducteur lorsque la pression des pneumatiques est trop faible, ou encore tout objet naturel ou fabriqué par l'être humain auquel peuvent être attribuées une adresse IP et la capacité de transférer des données sur un réseau.In the Internet of Things, an "object" can be a person equipped with a pacemaker, a farm animal carrying a chip (transponder), a car which carries sensors to alert the driver when the tire pressure is too high or any natural or man-made object to which an IP address and the ability to transfer data over a network can be assigned.

Pentest, Blackbox ou GreyboxPentest, Blackbox or Greybox

Pentest ·. Tests de pénétration du réseau. Les outils dits de Pentest permettent de pénétrer dans un réseau sécurisé en contournant ou détournant les protections dudit réseau attaqué.Pentest ·. Network penetration tests. The so-called Pentest tools allow you to enter a secure network bypassing or bypassing the protections of said attacked network.

Blackbox : Méthode de Pentest ou de détection d'infrastructure sans connaissance de l'environnement informatique ciblé. Simule l'exécution de tâches à l'insu des utilisateurs réalisé par un pirate externe malveillant.Blackbox: Pentest or infrastructure detection method without knowledge of the targeted IT environment. Simulates the execution of tasks without the knowledge of users performed by a malicious external hacker.

Greybox : Méthode de Pentest ou de détection d'infrastructure avec connnaissance de l'environnement informatique ciblé. Simule l'éxecution de tâches à l'insu des utilisateurs réalisé par un collaborateur interne malveillant.Greybox: Pentest or infrastructure detection method with knowledge of the targeted IT environment. Simulates the execution of tasks without the knowledge of users performed by a malicious internal collaborator.

Les méthodes Greybox et Blackbox peuvent être effectuées légitimement, à la demande du service informatique dans des buts d'analyse des failles de 1'environnement informatique.The Greybox and Blackbox methods can be carried out legitimately, at the request of the IT department, for the purpose of analyzing vulnerabilities in the IT environment.

Les publications ci-après, citées ici à titres informels, permettent d'obtenir des explications complémentaires concernant le domaine technique présenté ci-dessus :The following publications, cited here for informational purposes, provide further explanations regarding the technical area presented above:

https://fr.wikipedia.org/wiki/Internet https://www.t-systems.com/fr/fr/a-propos-de-tsystems/newsroom/perspectives/security/ict/security-bydesign-570656https://fr.wikipedia.org/wiki/Internet https://www.t-systems.com/fr/fr/a-propos-de-tsystems/newsroom/perspectives/security/ict/security-bydesign-570656

Inconvénient de l'art antérieurDisadvantage of the prior art

Flexibilité limitée nécessitant des compromis d'architecture pour gérer la sécurité entre les zones.Limited flexibility requiring architecture compromises to manage security between zones.

Évolutivité limitée due au nombre restreint d'adresses IPv4 obligeant une migration coûteuse vers IPv6.Limited scalability due to the limited number of IPv4 addresses requiring an expensive migration to IPv6.

Obligation de mettre en place des translations d'adresses (NAT - Network Address Translation en anglais) en cas de fusion de réseau commun (même plage d'adresses) ou de structures incompatibles.Obligation to set up address translations (NAT - Network Address Translation in English) in the event of a joint network merger (same range of addresses) or incompatible structures.

Le contexte actuel de transition IPv4 et IPv6, l'ajout des objets connectés et du smart-city, ainsi que la généralisation de la résolution des noms de domaine facilite la globalisation des attaques.The current context of transition IPv4 and IPv6, the addition of connected objects and the smart-city, as well as the generalization of the resolution of domain names facilitates the globalization of attacks.

Seul le coupefeu (firewall) intègre une rupture de protocole, les routeurs et commutateurs (cœur de réseau), n'en possèdent pas, cela favorise les propagations des virus dans les infrastructures.Only the firewall integrates a protocol break, routers and switches (core), do not have any, this promotes the spread of viruses in infrastructure.

Le coupefeu fonctionne par relation IP/flux. Plus le nombre de flux est important, plus il y a de règles ouvertes. Une attaque profitera de la multiplication de ces règles.The firewall works by IP / flow relationship. The greater the number of flows, the more open rules there are. An attack will benefit from the multiplication of these rules.

Les utilisateurs malveillants arrivant dans le cœur de réseau ont accès à une large partie de l'infrastructure. Il n'y a pas ou peu de protection entre les composants.Malicious users arriving in the core network have access to a large part of the infrastructure. There is little or no protection between the components.

La taille des réseaux et les mécanismes du temps font perdre la réalité de l'existant et des règles implémentées : l'ouverture de nombreux flux est contraire aux règles de sécurité informatique. Les attaques virales, les démons, les chevaux de Troie (etc.) utilisent ces failles pour se propager.The size of the networks and the mechanisms of time make lose the reality of the existing and the implemented rules: the opening of many flows is contrary to the rules of data-processing security. Viral attacks, demons, Trojans (etc.) use these vulnerabilities to spread.

Les outils IDS/IPS nécessitent de lire la totalité des flux du réseau pour être efficace, Les composants réseaux nécessitent de réserver des connecteurs ou de dupliquer les flux pour ce travail, ce qui à un coût notable.IDS / IPS tools require reading all of the network flows to be efficient. Network components require reserving connectors or duplicating the flows for this work, which at a significant cost.

L'anonymisation est difficile à mettre en œuvre entre les différentes zones d'un réseau. Des solutions actuelles traitent partiellement de ce problème, mais nécessitent une technique prohibitive pour obtenir une sécurité équivalente.Anonymization is difficult to implement between the different zones of a network. Current solutions partially address this problem, but require a prohibitive technique to obtain equivalent security.

Les brevets ci-dessous sont les bases de notre étude et de dépôt :The following patents are the basis of our study and filing:

Le brevet W02017149050-2017-09-08 « NOEUD INTELLIGENT POUR RÉSEAU DISTRIBUÉ SELON UN MAILLAGE »Patent W02017149050-2017-09-08 "INTELLIGENT KNOT FOR DISTRIBUTED NETWORK ACCORDING TO A MESH"

Le brevet 2888695/05-07532 « DÉTECTIONS D'UNE INTRUSION PAR DÉTOURNEMENT DE PAQUETS DE DONNÉES DANS UN RÉSEAU DE TÉLÉCOMMUNICATION »Patent 2888695 / 05-07532 "DETECTION OF AN INTRUSION BY Hijacking DATA PACKETS IN A TELECOMMUNICATION NETWORK"

Traite la détection d'intrusion de type Man-In-TheMiddle, mais ne l'irradie pas. Ce brevet ne traite pas de l'usurpation de MAC.Processes Man-In-TheMiddle intrusion detection, but does not irradiate it. This patent does not deal with MAC usurpation.

Le brevet 3033343/15-51784 « TRANSFERTS SÉCURISE D'INFORMATION D'AUTHENTICATION » ne traite pas l'authentification utilisateur/mot de passe de 1'application.Patent 3033343 / 15-51784 "SECURE TRANSFERS OF AUTHENTICATION INFORMATION" does not deal with the user authentication / password of the application.

Description globale de l'inventionOverall description of the invention

Procédé, dispositif et méthode d'établissement d'une communication socksifiée, sécurisée, ségréguée, anonymisée dans un réseau basé sur le protocole IP (Internet protocol) entre différents îlots analogues, transmis à travers un réseau de proxy socks et routée sur la base du « Domain Name Space » / FQDN (Fully Qualified Domain Name).Method, device and method of establishing a socksified, secure, segregated, anonymized communication in a network based on the IP protocol (Internet protocol) between different analogous islets, transmitted through a socks proxy network and routed on the basis of the "Domain Name Space" / FQDN (Fully Qualified Domain Name).

L'invention a pour but de palier aux inconvénients de l'art antérieur en proposant la capacité d'interconnecter un « écosystème » sécurisé et anonyme permettant de réduire la propagation des attaques virales, de supprimer l'attaque de l'homme du milieu (HDM ou man-in-the-middle attack MITM), et endiguer les attaques de piraterie : l'« îlot ».The object of the invention is to overcome the drawbacks of the prior art by proposing the capacity to interconnect a secure and anonymous “ecosystem” making it possible to reduce the spread of viral attacks, to suppress attack by humans in the middle ( HDM or man-in-the-middle attack MITM), and stem piracy attacks: the "island".

Réduction drastique des flux ouverts dans un réseau basé sur le protocole IP, à l'idéal, UN et [1] SEUL et UNIQUE flux ;Drastic reduction of open flows in a network based on the IP protocol, ideally, ONE and [1] ONLY and ONE SINGLE flow;

Ce but interconnecté, bidirectionnelle avec interconnexion analysée, règles définies.This interconnected, bidirectional goal with analyzed interconnection, defined rules.

est atteint par un « îlot » intelligent chaque « îlot » permettant une communication îlot » et une autorisée par des d'autres sécurisée et « îlot »is reached by an intelligent "island" each "island" allowing an island communication "and one authorized by others secure and" island "

Chaque identique, le plus petit que possible, plages d'adresses IP et adresses MAC cela nous comportant que possible autorise à la possibilité de réutiliser des (Media Access Control en effet, la plus une architecture et le plus analogue utiliser les mêmes anglais) semblables.Each identical, as small as possible, ranges of IP addresses and MAC addresses that comprising us as possible authorizes the possibility of reusing similar (Media Access Control indeed, the more architecture and the more analogous use the same English) .

A cet acceptation optimum, garantissantTo this optimum acceptance, guaranteeing

1'invention générale, un un accès à des concerne procédé ressources selon son de sécurité diverses.1'invention general, an access to process concerns resources according to its various security.

Conformément à l'invention, ce procédé comprend un ensemble d'étapes et de fonctionnalités qui sont les suivantes :According to the invention, this method comprises a set of steps and functionalities which are as follows:

L'application (11c) communicante, socksifiée par un outils de socksification (lld) configuré pour atteindre le serveur Socks primaire (13).The communicating application (11c), socksified by a socksification tools (lld) configured to reach the primary Socks server (13).

- L'outil de socksification peut faire des requêtes DNS aux entités (lia, 12a, 13a) dans son « îlot » ; En aucun cas, l'application (11c) ne doit pas effectuer de requête DNS, une fuite DNS peut avoir lieu ;- The socksification tool can make DNS queries to the entities (lia, 12a, 13a) in its "island"; In any case, the application (11c) must not make a DNS request, a DNS leak may occur;

- À l'entrée du socks primaire (13), Les datagrammes IP sont analysés par des outils de détection et de préventions d'intrusion (13c), Les règles de coupe-feu (13d) autorisent les datagrammes IP à franchir l'entrée du composant socks, les règles « client » (13e) sont validées.- At the entrance to the primary socks (13), IP datagrams are analyzed by intrusion detection and prevention tools (13c), Firewall rules (13d) authorize IP datagrams to cross the entry of the socks component, the "client" rules (13e) are validated.

- L'analyse du FQDN de la destination et du « Domain Name Space », les services de noms (12a, 13a) sont interrogés pour en déduire l'adresse IP d'interconnexion du socks destinataire (23).- The analysis of the FQDN of the destination and of the “Domain Name Space”, the name services (12a, 13a) are queried to deduce therefrom the IP address of interconnection of the recipient socks (23).

- La configuration des règles des moteurs « Socks » et « Route » garantissent la ségrégation des « îlot ».- The configuration of the “Socks” and “Route” engine rules guarantee the segregation of the “islands”.

- L'instanciation du tunnel (A) et l'encapsulation des datagrammes IP avec le chaînage socks depuis le socks primaire (13) vers le socks destinataire (23) est créé.- The instantiation of the tunnel (A) and the encapsulation of the IP datagrams with the socks chaining from the primary socks (13) to the recipient socks (23) is created.

- Le datagrammes IP transite entre les socks primaire (13) et destinataire (23). Le protocole utilisé est Socks v4a et Socks 5 garantissant des options suivantes :- The IP datagrams pass between the primary (13) and recipient (23) socks. The protocol used is Socks v4a and Socks 5 guaranteeing the following options:

• A minima deux ruptures protocolaires entre les îlots sont garanties.• At least two protocol breaks between the islands are guaranteed.

• Compte utilisateur et mot de passe requis pour accéder au socks primaire (13).• User account and password required to access the primary socks (13).

Aucune mémorisation des demandes ne peut-être entretenue, Les annuaires DNS (12, 22) gèrent respectivement leur propre « îlot ».No storage of requests can be maintained. The DNS directories (12, 22) respectively manage their own "island".

- Seules les ressources accessibles depuis le primaire vers le(s) destinataire(s) doivent être déclarées. Deux options sont possibles :- Only resources accessible from primary to the recipient (s) must be declared. There are two options:

• L'adresse IP réelle, est une adresse IP déclarée dans l'annuaire DNS quelque soit l'îlot (1) et qui reflète l'adresse réelle de la destination (2) ;• The real IP address is an IP address declared in the DNS directory whatever the island (1) and which reflects the real address of the destination (2);

• L'adresse IP menteuse est une adresse IP déclarée dans l'annuaire DNS de l'îlot primaire (1) qui ne reflète pas la véritable IP déclarée dans l'annuaire DNS (2) de la destination ; seul le FQDN est défini correctement dans l'annuaire DNS du primaire (11).• The lying IP address is an IP address declared in the DNS directory of the primary island (1) which does not reflect the real IP declared in the DNS directory (2) of the destination; only the FQDN is correctly defined in the primary DNS directory (11).

L'îlot primaire contient une adresse IP menteuse.The primary island contains a lying IP address.

- Le datagramme IP entre dans le socks destinataire (23), l'analyse de détection et de prévention des intrusions sont optionnelles (23c), les règles du coupefeu (23d) autorisent les datagrammes IP à franchir l'entrée du composant socks, les règles « Client » (23e) et « Socks » (23f) sont validées.- The IP datagram enters the recipient socks (23), the analysis of intrusion detection and prevention are optional (23c), the firewall rules (23d) authorize IP datagrams to pass through the entry of the socks component, the "Client" (23e) and "Socks" (23f) rules are validated.

- L'analyse du FQDN et des services de noms (22) définit les règles pour atteindre la ressource demandée lors de l'émission du datagramme IP depuis l'application (11c) du composant (11)- The analysis of the FQDN and the name services (22) defines the rules for reaching the resource requested during the transmission of the IP datagram from the application (11c) of the component (11)

Avoir un environnement aussi petit et analogue que possible garantit une défense naturelle contre les propagations virales et réduit les vulnérabilités contre les pirates. L'Homme du milieu (HDM, MITM) n'est plus aussi simple, il impose de connaître complètement l'infrastructure, les règles, les flux de socksification, des sources et les destinations des tunnels.Having as small and analogous an environment as possible guarantees a natural defense against virus spreads and reduces vulnerabilities against hackers. The Man in the Middle (HDM, MITM) is no longer so simple, it requires a complete knowledge of the infrastructure, rules, socksification flows, sources and destinations of the tunnels.

La déclaration de FQDN dans des îlots différents ayant des adresses IP équivalentes mais un « Domain Name Space » différent n'est pas illogique dans les infrastructures de nos jours (internet et nos box en sont un exemple).The declaration of FQDN in different islets having equivalent IP addresses but a different "Domain Name Space" is not illogical in infrastructures these days (internet and our boxes are an example).

Solution apportée par l'inventionSolution provided by the invention

Un autre objet de la présente invention est d'avoir une architecture globale simplifiée et sécurisée.Another object of the present invention is to have a simplified and secure overall architecture.

Un autre objet de la présente invention est la notion et la conception d'îlots éphémères.Another object of the present invention is the concept and design of ephemeral islands.

Un autre objet de la présente invention est de pouvoir gérer autant d'îlots que nécessite le besoin dans l'instant.Another object of the present invention is to be able to manage as many islands as the need requires at the moment.

Un autre objet de la présente invention est de permettre à des structures incompatibles (IPv6) ou ayant la même plage d'adressage IP de communiquer entre elles.Another object of the present invention is to allow structures that are incompatible (IPv6) or have the same IP address range to communicate with each other.

Un autre objet de la présente invention est de réduire les coûts d'outils physiques tels que coupefeu entre les îlots. La virtualisation est préconisée.Another object of the present invention is to reduce the costs of physical tools such as fireproof between the islands. Virtualization is recommended.

Un autre objet de la présente invention est de découper les chemins réseau entre îlots en parties nécessitant toujours de passer deux systèmes de sécurités consécutifs.Another object of the present invention is to split the network paths between islands into parts always requiring the passage of two consecutive security systems.

Un autre objet de la présente invention est de surveiller tous les flux dans leur intégralité par IDS/IPS.Another object of the present invention is to monitor all flows in their entirety by IDS / IPS.

Un autre objet de la présente invention est de rendre complexe la détection du réseau, par une personne ou un logiciel malveillant, dans le cadre de pentest en Blackbox ou de pentest en Greybox et d'empêcher l'exhaustivité de la détection.Another object of the present invention is to make the detection of the network, by a person or malicious software, complex in the context of pentest in Blackbox or of pentest in Greybox and to prevent the exhaustiveness of the detection.

Un autre objet de la présente invention est d'obliger un pirate à prendre des risques pour comprendre et repérer les îlots, ce qui permettra de le détecter plus rapidement et plus facilement.Another object of the present invention is to force a pirate to take risks to understand and locate the islets, which will make it possible to detect it more quickly and more easily.

Un autre objet de la présente invention est d'avoir des communications anonymes entre les îlots.Another object of the present invention is to have anonymous communications between the islets.

Un autre objet de la présente invention est de pouvoir filtrer les droits des utilisateurs entre les îlots, de gérer la non-répudiation pour garantir l'intégrité.Another object of the present invention is to be able to filter the rights of users between the islets, to manage non-repudiation to guarantee integrity.

Un autre objet de la présente invention est de pouvoir filtrer les droits des applications communiquant entre les îlots.Another object of the present invention is to be able to filter the rights of the applications communicating between the islets.

Description détaillée de l'invention trois composants un système de noms, et des (resolvers enDetailed description of the invention three components a system of names, and (resolvers in

On donne ci-après des explications supplémentaires concernant le système DNS décrit notamment dans les RFC 1034 et 1035 de l'IETF. Comme mentionné, il peut être géré de deux façons :Additional explanations are given below regarding the DNS system described in particular in IETF RFCs 1034 and 1035. As mentioned, it can be managed in two ways:

Le service DNS, repose sur essentiels : un espace de noms de domaine, serveurs distribués, appelés serveurs de programmes clients appelés « résolveurs » anglais).The DNS service is based on essentials: a space of domain names, distributed servers, called servers of client programs called "resolvers" English).

L'espace de noms de domaine (Domain Name Space) possède une structure arborescente dans laquelle sont définis des domaines de niveau supérieur (appelés TLD, pour Top Level Domain), rattaché à un nœud représenté par un point. On appelle chaque nœud/étiquette de l'arbre.The domain name space has a tree structure in which are defined higher level domains (called TLD, for Top Level Domain), attached to a node represented by a point. We call each node / label of the tree.

Le nom complet correspondant nœuds/étiquettes, point final, est appelé adresse FQDN.The full name corresponding to nodes / labels, full stop, is called FQDN address.

La profondeur maximale de 1'arborescence est niveaux et la longueur maximale d'un nom FQDN est caractères.The maximum depth of the tree is levels and the maximum length of an FQDN name is characters.

unique un CI, par ce CI dans un réseauunique a CI, by this CI in a network

Par exemple : représente un FQDN.For example: represents an FQDN.

Les services de racine (root node) « nom de domaine » à l'ensemble des séparés par des points et terminé par un de 127 de 255 Ainsi un nom FQDN permet de repérer de façon et permet donc d'identifier un service fourni basé sur le protocole IP.The root services (root node) "domain name" to all of them separated by dots and ended with one of 127 of 255 Thus an FQDN name makes it possible to locate in a way and therefore makes it possible to identify a service provided based on the IP protocol.

1'adresse « web.mons ite.org. » noms ( Name d'établir une correspondance entre un IP identifiantThe address "web.mons ite.org. »Names (Name to establish a correspondence between an identifying IP

Services) permettent nom de domaine et une des équipements ou plusieurs adresses réseaux (CI).Services) allow domain name and one of the equipment or several network addresses (CI).

Dans un système d'obtenir une adresse IP équipement réseau considéré, attribué à cet équipement (par exemple : est désigné par « résolution de noms processus contraire (obtenir le nom d'une adresse IP) étant désigné par «In a system to obtain an IP address, considered network equipment assigned to this equipment (for example: is designated by “process name resolution otherwise (obtaining the name of an IP address) being designated by”

Afin de pouvoir permettre de domaine, chaque CI doit être équipé appelée résolveur (resolver),In order to be able to enable domain, each CI must be equipped called resolver,

DNS, le mécanisme permettant (par exemple : 172.16.50.99) d'un à partir d'un nom de domaine proxy.mons ite.org) de domaine », le de domaine à partir résolution inverse ».DNS, the mechanism allowing (for example: 172.16.50.99) one from a domain name proxy.mons ite.org) domain ", the domain from reverse resolution".

résoudre un nom de d'une fonctionnalité, généralement intégrée dans le système d'exploitation du CI. Lorsqu'une application souhaite accéder à un CI connu par son nom de domaine (par exemple : donnees.monsite.org), celle-ci va interroger son résolveur qui se chargera de répondre soit avec un traitement local soit en contactant un service de noms défini dans sa configuration réseau.to resolve a name of a functionality, generally integrated in the operating system of the CI. When an application wishes to access a CI known by its domain name (for example: donnes.monsite.org), it will question its resolver who will be responsible for responding either with local processing or by contacting a name service defined in its network configuration.

Ainsi dans l'exemple « donnee.mosite.org » l'application envoie une requête au résolveur.So in the example "give.mosite.org" the application sends a request to the resolver.

de l'adresse cliente (navigateur) Si celui-ci possède l'enregistrement dans son dictionnaire interne ou dans le dictionnaire du service de résolution des noms, il l'envoie à l'application cliente.the client address (browser) If the client has the record in its internal dictionary or in the dictionary of the name resolution service, it sends it to the client application.

Le mécanisme de résolution tel qu'expliqué ci-dessus, repose sur un protocole de communication, le protocole DNS, comprenant la définition de messages DNS de différents type (requête, réponse en particulier) et d'informations (Resource Records — RR) associées à chaque nom de domaine. Se référer à la RFC 1035 de l'IETF, sections 3.2 et 4.The resolution mechanism as explained above, is based on a communication protocol, the DNS protocol, comprising the definition of DNS messages of different types (request, response in particular) and associated information (Resource Records - RR). to each domain name. Refer to IETF RFC 1035, sections 3.2 and 4.

Le fichier local, l'utilisation d'un fichier interne qui contient le duo IP/FQDN est l'étape qu'effectuent les systèmes de nos jours, le fichier local (host file) est souvent utilisé pour la transposition d'un nom de machine FQDN en adresse IP au sein des équipements — le dispositif (100, 200), illustré sur la figure {1} en est la représentation logique.The local file, the use of an internal file which contains the IP / FQDN duo is the step that systems perform nowadays, the local file (host file) is often used for the transposition of a name of FQDN machine in IP address within the equipment - the device (100, 200), illustrated in figure {1} is the logical representation.

La figure 1 représente un environnement fonctionnel dans le lequel la présente invention peut être mise en œuvre.FIG. 1 represents a functional environment in which the present invention can be implemented.

Dans cet environnement une application cliente (11c), installée sur un CI (11), doit obtenir une communication avec CI distant (21) de l'îlot (2). Pour communiquer avec la destination (21), l'application cliente (11c) utilise un service d'encapsulation des données (lld) de manière à transmettre ses données à travers un réseau basé sur le protocole IP (Internet Protocol) à un serveur proxy de type socks (13) supérieur ou égal à la version V4a.In this environment, a client application (11c), installed on a CI (11), must obtain communication with a remote CI (21) of the island (2). To communicate with the destination (21), the client application (11c) uses a data encapsulation service (lld) so as to transmit its data across a network based on the Internet Protocol (IP) protocol to a proxy server. socks (13) type greater than or equal to the V4a version.

Le service d'encapsulation des données (lld) utilisera le service de résolution DNS (lla/12a) dans le seul but de connaître, si besoin est, l'adresse IP associée au FQDN du serveur de proxy (13).The data encapsulation service (lld) will use the DNS resolution service (lla / 12a) for the sole purpose of knowing, if necessary, the IP address associated with the FQDN of the proxy server (13).

Le serveur de proxy (13), lors de la réception de la demande de connexion et après validation de l'étape de sécurité client (13e), fait une demande de résolution du FQDN au service de résolution de nom (13a, 12a) dont il doit obtenir une adresse IP durant l'étape socks (13f).The proxy server (13), upon receipt of the connection request and after validation of the client security step (13e), makes a request for resolution of the FQDN to the name resolution service (13a, 12a) whose it must obtain an IP address during the socks step (13f).

L'étape de routage (13g) sélectionne le chemin permettant d'accéder au serveur proxy distant (23) et créer une chaîne de proxy par encapsulation des données.The routing step (13g) selects the path allowing access to the remote proxy server (23) and creates a proxy chain by encapsulating the data.

Le chaînage (13-A-23) peut contenir autant de serveurs de proxy que nécessaire.Chaining (13-A-23) can contain as many proxy servers as necessary.

Le serveur de proxy distant (23), lors de la réception de la demande de connexion et après validation de l'étape de sécurité client (23e), fait une demande de résolution du FQDN au service de résolution de nom (23a, 22a) dont il doit obtenir une adresse IP durant l'étape socks (23f).The remote proxy server (23), upon receipt of the connection request and after validation of the client security step (23e), requests a resolution of the FQDN from the name resolution service (23a, 22a) which he must obtain an IP address during the socks step (23f).

L'adresse IP de cette étape doit correspondre à l'adresse connue et réelle du CI distant (21) pour établir la communication entre le serveur proxy distant (23) et le CI distant (21) à travers un modèle standard de communication basé sur le protocole IP (Internet Protocol).The IP address of this step must correspond to the known and actual address of the remote CI (21) to establish communication between the remote proxy server (23) and the remote CI (21) through a standard communication model based on the Internet Protocol (IP).

On précise qu'ici l'on entend par :It should be noted that here we mean by:

• Application cliente, toutes applications logicielles installées sur un équipement communiquant dans un réseau de protocole IP (Internet Protocol) • Équipement communicant, tout CI utilisé ou non par un utilisateur pour accéder à un service sur le réseau de protocole IP (Internet Protocol), sur Internet, dans un réseau d'entreprise ou tous types d'équipements ayant usage du protocole IP (Internet Protocol).• Client application, all software applications installed on equipment communicating in an Internet Protocol (IP) network • Communicating equipment, any CI used or not by a user to access a service on the Internet Protocol (IP) network, on the Internet, in a corporate network or all types of equipment using the Internet Protocol (IP).

Module Résolution, tout service chargé d'obtenir au moins une adresse IP associée à une destination, le duo IP/FQDN.Resolution module, any service responsible for obtaining at least one IP address associated with a destination, the IP / FQDN duo.

îlots Primaire etPrimary islands and

Destinataire entité ayant un accès service.Entity recipient with service access.

à un réseau (1, 2), toute et offrant unto a network (1, 2), all and offering a

Serveur de proxy, application qui offre un service de communication utilisant le protocole socks en version V4a au minimum.Proxy server, application which offers a communication service using the socks protocol in version V4a at least.

Les services de noms (12) et (22) comprennent en particulier un module « autorité » DNS (12a, 22a) responsable du traitement des requêtes DNS, et une zone de stockage (12b, 22b) contenant des associations entre les adresses réseau des CI de leur îlot (1) et des adresses réseau des CI qu'ils doivent atteindre (2). Le FQDN du destinataire (21) devra être déclaré.The name services (12) and (22) include in particular a DNS “authority” module (12a, 22a) responsible for processing DNS requests, and a storage area (12b, 22b) containing associations between the network addresses of the CIs of their island (1) and the network addresses of the CIs they must reach (2). The recipient's FQDN (21) must be declared.

Les adresses réseau générées dans la zone de stockage seront définies par l'architecture de l'îlot, elles peuvent être du type IPv4 ou IPv6.The network addresses generated in the storage area will be defined by the architecture of the island, they can be of the IPv4 or IPv6 type.

Dans le cadre de la présente description :In the context of this description:

• on désigne par « Adresse IP réelle » une adresse IP correspondante à une interface IP active et joignable sur un CI. Selon le contexte de l'îlot où est formulé l'entité IP/FQDN, cette adresse peut-être IPv4 ou IPv6.• “Real IP address” means an IP address corresponding to an active IP interface that can be reached on a CI. Depending on the context of the block where the IP / FQDN entity is formulated, this address may be IPv4 or IPv6.

• on désigne par « Adresse IP menteuse » une adresse IP ne correspondante pas à une interface IP active ou même existante d'un CI.• “Lying IP address” means an IP address which does not correspond to an active or even existing IP interface of a CI.

À la figure 1, les entités (13) et (23) représentent un système réalisant au moins une fonction de communication permettant l'acheminement de datagrammes IP. Les entités (13) et (23) comprennent respectivement au moins un module (13a, 23a) capable d'intercepter et de traiter des blocs d'information DNS ; un module d'analyse de détection et de prévention d'intrusion (13c, 13h, 23c, 23h) ; un module de coupefeu (13d) ; d'un module de gestion des accès (13e, 23e) ; un module contenant des règles de socks (13f, 23f) et un module (13g, 23g) responsable du routage du trafic réseau en provenance de ou destiné à une solution cliente (11) ou destinataire (21). Tous ces modules ont respectivement une zone de stockage pour y intégrer leurs règles (13z, 23z). Selon les environnements considérés, les entités (13) et (23) peuvent être confondues avec une passerelle complétée d'un système sécuritaire associé à un coupefeu et assistée d'une gestion protocolaire socks supérieure à v4a.In FIG. 1, the entities (13) and (23) represent a system realizing at least one communication function allowing the routing of IP datagrams. The entities (13) and (23) respectively comprise at least one module (13a, 23a) capable of intercepting and processing blocks of DNS information; an intrusion detection and prevention analysis module (13c, 13h, 23c, 23h); a fire module (13d); an access management module (13th, 23rd); a module containing sock rules (13f, 23f) and a module (13g, 23g) responsible for routing network traffic originating from or intended for a client (11) or recipient (21) solution. All these modules respectively have a storage area to integrate their rules (13z, 23z). According to the environments considered, the entities (13) and (23) can be confused with a gateway completed with a security system associated with a firewall and assisted by a protocol management socks greater than v4a.

Selon l'invention, les dispositifs (100) et (200) d'obtention contraintes embarquée, de blocs d'informations DNS, adapté aux du contexte (réseau d'informations, solutionAccording to the invention, the devices (100) and (200) for obtaining on-board constraints, of DNS information blocks, adapted to the context (information network, solution

IoT) de l'application (11) et du destinataire (21).IoT) of the application (11) and of the recipient (21).

Les modules précités peuvent être répartis selon les modes de réalisation choisie sur des équipements différents, ce qui est illustré sur la figure 1, par trait pointillé en englobant plusieurs modules d'entités distinctes (11, 12, 13 et 21, 22, 23).The aforementioned modules can be distributed according to the embodiments chosen on different equipment, which is illustrated in FIG. 1, by dotted line encompassing several modules of distinct entities (11, 12, 13 and 21, 22, 23) .

Mode de réalisations préférées de l'inventionPreferred embodiments of the invention

On va à présent décrire le mode de réalisation de l'invention. La figure 1 représente respectivement un environnement selon une première variante et une seconde variante de ce premier mode de réalisation.We will now describe the embodiment of the invention. FIG. 1 represents respectively an environment according to a first variant and a second variant of this first embodiment.

variante 1 « CI »variant 1 "CI"

Selon ce mode de réalisation de l'invention, un service d'encapsulation des données (lld). Les différents modules (13c, 13d, 13e, 13f, 13g, 13h) de l'entité (13) et les différents modules (23c, 23d, 23e, 23f, 23g, 23h) de l'entité (23) autorisent et sécurisent à travers un IDS/IPS, un coupefeu (firewall) et des règles de connexions (13z et 23z) l'initialisation du tunnel et la communication au CI destinataire (21).According to this embodiment of the invention, a data encapsulation service (lld). The different modules (13c, 13d, 13e, 13f, 13g, 13h) of the entity (13) and the different modules (23c, 23d, 23e, 23f, 23g, 23h) of the entity (23) authorize and secure through an IDS / IPS, a firewall and connection rules (13z and 23z), the initialization of the tunnel and the communication to the recipient CI (21).

Selon ce premier mode de réalisation, les entités (11, 12, 13, 23, 22, 21) sont des CI distincts.According to this first embodiment, the entities (11, 12, 13, 23, 22, 21) are separate CIs.

Variante 2 « Applicative »Variant 2 "Applicative"

Spécifique à la seconde variante mentionnée plus haut. Illustrée par la figure 1, et selon laquelle les modules sont instanciés dans un modèle applicatifs étant distinct ou global. Les traitements s'effectuent en interne de la même entité (1) pour l'îlot source et pour l'îlot destinataire (2).Specific to the second variant mentioned above. Illustrated in Figure 1, and according to which the modules are instantiated in an application model being distinct or global. The processing is carried out internally by the same entity (1) for the source island and for the destination island (2).

Tous les modules d'une même entité fonctionnelle sont implémentés dans un outil type « Programme » pour les objets connectés (Internet Of Things en anglais) ou d'applications conteneur (Container).All the modules of the same functional entity are implemented in a “Program” type tool for connected objects (Internet Of Things in English) or container applications (Container).

Claims

1) Procédé d'établissement d'une communication socksifiée, sécurisée, ségréguée, anonymisée dans un réseau basé sur le protocole IP (Internet protocol) entre différents îlots analogues, transmis à travers un réseau de proxy socks et routé sur la base du « Domain Name Space » / FQDN (Fully Qualified Domain Name).1) Method for establishing a socksified, secure, segregated, anonymized communication in a network based on the IP protocol (Internet protocol) between different analogous islets, transmitted through a socks proxy network and routed on the basis of the "Domain Name Space ”/ FQDN (Fully Qualified Domain Name).

Caractérisée en ce qu'elle comprend les étapes suivantes :Characterized in that it comprises the following stages:

a) L'application (11c) communicante avec le serveur socks primaire (13) par une première communication sécurisée (lld) ;a) The application (11c) communicating with the primary socks server (13) by a first secure communication (lld);

b) La requête provenant de l'initiateur de socksification (lld) peut demander la résolution DNS/IP (lia, 12a) de sa passerelle (13) au serveur de noms DNS (12) de son îlot ;b) The request from the socksification initiator (lld) can request the DNS / IP resolution (lia, 12a) of its gateway (13) to the DNS name server (12) of its island;

c) Une capture (13c) traite les intrusions (IDS/IPS), associées à des règles de filtrage (13d) du coupefeu (Firewall) valides si le client (11) est autorisé (13e) à effectuer une connexion ;c) A capture (13c) processes intrusions (IDS / IPS), associated with filtering rules (13d) of the firewall valid if the client (11) is authorized (13e) to make a connection;

d) En cas de succès, une analyse du « Domain Name Space » porté par la demande de résolution FQDN de la destination (21) adjointe aux règles de destination « socks » (13f) et de « route » (13g) détermine l'adresse Internet (IP) d'interconnexion du proxy destinataire (23) correspondant au « Domain Name Space » ;d) If successful, an analysis of the “Domain Name Space” carried by the FQDN resolution request of the destination (21) added to the “socks” (13f) and “route” (13g) destination rules determines the Internet address (IP) for the interconnection of the recipient proxy (23) corresponding to the "Domain Name Space";

e) Les différents CI - ceux que l'on souhaite atteindre - depuis l’îlot primaire (1) doivent être obligatoirement déterminés au moyen d'une requête DNS (lia, 12a, 13a) au serveur de noms (12) ou depuis le proxy source (13).e) The different CIs - those that we want to reach - from the primary island (1) must be determined by means of a DNS request (lia, 12a, 13a) to the name server (12) or from the source proxy (13).

f) L'établissement d'une communication sécurisée entre le proxy primaire (13) et le proxy destinataire (23) est valide après une possible capture (23c) du datagramme IP (IDS/IPS optionnelle), suivie d'un filtrage provenant des règles (23d) du coupefeu (23e) et l'approbation de la source (23f) ;f) The establishment of a secure communication between the primary proxy (13) and the recipient proxy (23) is valid after a possible capture (23c) of the IP datagram (IDS / IPS optional), followed by filtering from the rules (23d) of the blaster (23e) and approval of the source (23f);

La règle « socks » (23f) autorise la source (11) via (13) à atteindre la ressource (21c) de la destination (21) pouvant être agrégée à des règles de routages et d'analyses internes (23g, 23h), valider par les enregistrements des CI au sein de son propre îlot (23a,The “socks” rule (23f) authorizes the source (11) via (13) to reach the resource (21c) of the destination (21) which can be aggregated with rules of routing and internal analyzes (23g, 23h), validate by the CI records within its own island (23a,

22a, 21a). L'accès à la ressource (21c) est valide.22a, 21a). Access to the resource (21c) is valid.

2) Procédé selon la revendication 1, caractérisée en ce que l'architecture des îlots autorise une réduction drastique des flux ouverts dans un réseau basé sur le protocole IP, à l'idéal, UN et [1] SEUL et UNIQUE flux.2) Method according to claim 1, characterized in that the architecture of the islands allows a drastic reduction of open flows in a network based on the IP protocol, ideally, ONE and [1] ONLY and ONE SINGLE flow.

3) Procédé selon la revendication 1, caractérisée en ce que les îlots doivent contenir des environnements aussi petits que possible, et aussi analogues que possible :3) Method according to claim 1, characterized in that the islands must contain environments as small as possible, and as similar as possible:

Réduit la visibilité et endurcit l'ensemble de l'architecture dans un réseau de communication basé sur le protocole IP (Internet protocol), difficulté d'effectuer une cartographie du système d'information.Reduces visibility and hardens the entire architecture in a communication network based on the Internet protocol (IP) protocol, difficulty in mapping the information system.

• une réduction de la propagation virale, • une plage d'adresses IP identique, • l'utilisation des adresses MAC connexes,• a reduction in viral spread, • an identical range of IP addresses, • the use of related MAC addresses,

Réduit la possibilité du HDM (MITM) dans le système, seuls les administrateurs peuvent connaître les règles définies dans les configurations des coupefeu, clients, socks et routes du système.Reduces the possibility of HDM (MITM) in the system, only administrators can know the rules defined in the firewall, client, socks and route configurations of the system.

4) Procédé selon la revendication 1, caractérisée en ce qu'à l'étape (a), l'application ne doit, en aucun cas, résoudre le FQDN du destinataire (21) par les modules internes du système d'exploitation. Tous les traitements de l'application doivent utiliser une socksification.4) Method according to claim 1, characterized in that in step (a), the application must in no case resolve the FQDN of the recipient (21) by the internal modules of the operating system. All application processing must use socksification.

5) Procédé selon la revendication 1, caractérisé en ce qu'à l'étape (e), la déclaration des CI que l'on souhaite atteindre peut être les entrées des noms/IP {réelle ou fictive = menteuse} des destinataires.5) Method according to claim 1, characterized in that in step (e), the declaration of the CIs that one wishes to reach can be the entries of the names / IP {real or fictitious = lying} of the recipients.

6) Dispositif incluant le procédé selon la revendication 1.6) Device including the method according to claim 1.

Figure 1Figure 1

RÉPUBLIQUE FRANÇAISE irai — I INSTITUT NATIONALFRENCH REPUBLIC irai - I NATIONAL INSTITUTE

DE LA PROPRIÉTÉPROPERTY

INDUSTRIELLEINDUSTRIAL

RAPPORT DE RECHERCHE PRÉLIMINAIRE établi sur la base des dernières revendications déposées avant le commencement de la recherchePRELIMINARY SEARCH REPORT based on the latest claims filed before the start of the search

N° d'enregistrement nationalNational registration number

FA 850798FA 850798

FR 1771125FR 1771125

EPO FORM 1503 12.99 (P04C14)EPO FORM 1503 12.99 (P04C14)

DOCUMENTS CONSIDÉRÉS COMME PERTINENTSDOCUMENTS CONSIDERED AS RELEVANT

Revend ication(s) concernée(s)Relevant claim (s)

Classement attribué à l'invention par ΙΊΝΡΙClassification attributed to the invention by ΙΊΝΡΙ

CatégorieCategory

Citation du document avec indication, en cas de besoin, des parties pertinentesCitation of the document with indication, if necessary, of the relevant parts

US 2003/154306 Al (PERRY STEPHEN HASTINGS [US]) 14 août 2003 (2003-08-14) * alinéa [0038] - alinéa [0049] * * alinéa [0053] - alinéa [0057] * * alinéa [0061] - alinéa [0064]; revendications 1-5; figures 1-4 *US 2003/154306 Al (PERRY STEPHEN HASTINGS [US]) August 14, 2003 (2003-08-14) * paragraph [0038] - paragraph [0049] * * paragraph [0053] - paragraph [0057] * * paragraph [0061] - paragraph [0064]; claims 1-5; figures 1-4 *

1-61-6

CHAPMAN & ZWICKY: building internet 1-6 firewal1 s,CHAPMAN & ZWICKY: building internet 1-6 firewal1 s,

31 décembre 1995 (1995-12-31), O'Reilly, Sébastopol, CA, USA, XP002289723, * page 38, ligne 23 - page 43, ligne 4 * * page 190, ligne 5 - page 191, ligne 19 * * page 200, ligne 1 - page 204, ligne 19;December 31, 1995 (1995-12-31), O'Reilly, Sébastopol, CA, USA, XP002289723, * page 38, line 23 - page 43, line 4 * * page 190, line 5 - page 191, line 19 * * page 200, line 1 - page 204, line 19;

figures 4-12,7-1 - 7-4 *figures 4-12,7-1 - 7-4 *

US 2003/167403 Al (MCCURLEY KEVIN SNOW 1-6 [US] ET AL) 4 septembre 2003 (2003-09-04) * alinéa [0018] - alinéa [0019] * * alinéa [0036] - alinéa [0067] * * alinéa [0178] - alinéa [0179]; revendicationsUS 2003/167403 Al (MCCURLEY KEVIN SNOW 1-6 [US] ET AL) September 4, 2003 (2003-09-04) * paragraph [0018] - paragraph [0019] * * paragraph [0036] - paragraph [0067] * * paragraph [0178] - paragraph [0179]; claims

1,11-13,17-27,79,89-91,95-106; figures 1-31,11-13,17-27,79,89-91,95-106; figures 1-3

US 2006/031407 Al (DISPENSA STEVE [US] ET AL) 9 février 2006 (2006-02-09) * alinéa [0036] - alinéa [0048] * * alinéa [0371] - alinéa [0393] * * alinéa [0413] - alinéa [0434]; revendication 1; figures 2-6 *US 2006/031407 Al (DISPENSA STEVE [US] ET AL) February 9, 2006 (2006-02-09) * paragraph [0036] - paragraph [0048] * * paragraph [0371] - paragraph [0393] * * paragraph [0413 ] - paragraph [0434]; claim 1; figures 2-6 *

Date d'achèvement de la rechercheResearch completion date

23 août 2018Aug 23, 2018

CATÉGORIE DES DOCUMENTS CITÉSCATEGORY OF DOCUMENTS CITED

X : particulièrement pertinent à lui seulX: particularly relevant on its own

Y : particulièrement pertinent en combinaison avec un autre document de la même catégorieY: particularly relevant in combination with another document in the same category

A : arrière-plan technologiqueA: technological background

O : divulgation non-écriteO: unwritten disclosure

P : document intercalaireP: intermediate document

1-61-6

H04L29/06H04L29 / 06

DOMAINES TECHNIQUES RECHERCHÉS (IPC)TECHNICAL AREAS SOUGHT (IPC)

H04LH04L

ExaminateurExaminer

Schwibinger, HansSchwibinger, Hans

T : théorie ou principe à la base de l'inventionT: theory or principle underlying the invention

E : document de brevet bénéficiant d'une date antérieure à la date de dépôt et qui n'a été publié qu'à cette date de dépôt ou qu'à une date postérieure.E: patent document with a date prior to the filing date and which was only published on that filing date or on a later date.

D : cité dans la demandeD: cited in the request

L : cité pour d'autres raisons & : membre de la même famille, document correspondantL: cited for other reasons &: member of the same family, corresponding document

ANNEXE AU RAPPORT DE RECHERCHE PRÉLIMINAIREANNEX TO THE PRELIMINARY RESEARCH REPORT

RELATIF A LA DEMANDE DE BREVET FRANÇAIS NO. FR 1771125 FA 850798RELATING TO THE FRENCH PATENT APPLICATION NO. FR 1771125 FA 850798

La présente annexe indique les membres de la famille de brevets relatifs aux documents brevets cités dans le rapport de recherche préliminaire visé ci-dessus.This appendix indicates the members of the patent family relating to the patent documents cited in the preliminary search report referred to above.

Les dits membres sont contenus au fichier informatique de l'Office européen des brevets à la date du23^-ÜO-201oThe said members are contained in the computer file of the European Patent Office on 23 ^- ÜO-201o

Les renseignements fournis sont donnés à titre indicatif et n'engagent pas la responsabilité de l'Office européen des brevets, ni de l'Administration françaiseThe information provided is given for information only and does not engage the responsibility of the European Patent Office or the French Administration