Une étude récente de 3 personnes de l’université de Washington, Département Informatique et Ingénieurie (Michael Piatek, Tadayoshi Kohno, Arvind Krishnamurthy) ont fait une étude pousser des outils de surveillance mise en place par les majors pour envoyer des lettres de menaces automatique. En plus de montrer l’inéfficacité du système, ils ont réussi à recevoir des plaintes pour des ordinateurs ne partageant rien (comme une imprimante).
Les majors employent des entreprises pour rechercher sur Internet des fichiers sous copyright. Leur but est de rechercher qui partagent ces fichiers puis envoyer des plaintes aux FAI correspondant. De plus, avec l’augmentation du traffic sur P2P, les plaintes sont de plus en plus nombreuses et commencent à créer une tension de plus en plus forte entre les majors et leurs clients. Finalement, avec la décentralisation, il est de plus en plus dur de savoir qui partagent et d’où par l’information.
Le but du travail des auteurs est de savoir comment fonctionne les outils de monitoring P2P actuelle et ce qui amène à recevoir des plaintes. Leur recherche ont dévoillé 2 principaux points: il est facile de faire générer par les outils de monitoring de fausses plaintes et il est relativement simple de reconnaitre les agents de monitoring.
Les résultats sont donc qu’il est possible de faire envoyer des plaintes à une machine qui ne partage rien. Il faut séparer deux types de détection de partage de fichiers sous copyright: une première indirecte où l’IP de l’ordinateur incriminé est retournée par le tracker BitTorrent et une directe où une connexion directe avec l’ordinateur et échange de données est effectuée. La plupart du temps, c’est la méthode indirecte qui est utilisée.
L’un des principales problèmes est justement l’utilisation de cette méthode indirecte qui conduit à la génération de beaucoup de faux positifs et donc à l’envoi de plainte injustifiée. Il est simple de faire envoyer des plaintes à n’importe quelles adresses IP en utilisant une fonctionnalité implémentée dans les trackers BitTorrent pour le support du NAT et des proxy. En effet, il est possible de spécifier l’adresse IP à ajouter comme nouveau noeud du réseau P2P plutôt que le logiciel utilise automatiquement l’adresse IP de l’ordinateur ayant fait la demande au pres du tracker. Il est donc simple par une simple requête HTTP et en spécifiant un champs ip=x.x.x.x d’enregistrer n’importe quelle IP sur un tracker. Celle-ci pourra être récupérer ensuite par les agents de monitoring et provoquera l’envoi d’une plainte.
Les auteurs ont testé cette méthode dans la réalité et ils ont réussi effectivement à faire envoyer des plaintes à des machines ne partageant pas. Mais cela ne marche pas à 100% puisqu’une majorité des trackers ne supportent pas cette fonctionnalité et enregistrent dans le tracker non pas l’adresse fourni dans le champ ip mais l’adresse source de la demande.
Il est également possible d’inclure l’IP que l’on souhaite incriminer dans les méta-données du fichier torrent et de le placer sur un site de partage type PirateBay. Bien entendu, les autres méthodes classiques d’attaque comme le man in the middle ou les virus peuvent aussi aider à retourner des fausses plaintes.
L’autre méthode est donc la détection directe mais elle aussi génére des faux positifs. La méthode de lutte contre cette technique de détection directe est souvent la mise en place de blacklist regroupant les machines impliquées dans le monitoring. Mais ces listes ne sont clairement pas efficace et ne couvrent pas du tout l’ensemble des agents de monitoring. Les auteurs se sont basées sur le faite que les IP des machines servant au monitoring sont souvent présentes dans de nombreux torrents et donc en utilisant des méthodes similaires, il est possible de les détecter. Par exemple, par expérimentation, ils en ont déduit que seulement 0.2% des peers qu’ils avaient rencontré partager plus de 10 torrents (dont eux même). Dans ces adresses, certaines proviennent d’ADSL classique mais surtout d’autres de société de location de serveur. En plus, ces serveurs ne répondent pas à des requêtes classiques BitTorrent.
Ils ont ensuite comparé leur liste avec les blacklists utilisées et ont pu voir qu’en moyenne moins de 50% des adresses étaient déjà présente dans les blacklistes. Elles sont donc non efficace ou uniquement partiellement.
Il faut donc en conclure que les méthodes actuelles par détection indirecte sont clairement à banir et que la détection directe et téléchargement du contenu pour vérifier qu’il correspond bien et la seule solution péréne permettant une réelle détection. Mais, la mise en place d’un tel système a un cout beaucoup plus élevé et ne retire en rien la possibilité de détection de ces agents et leur blacklistage. Pour finir, on peut s’attendre à la création de liste noir se basant sur l’étude du comportement des agents et où chacun pourrait prendre par mais aussi l’augmentation du nombre de connexions cryptées dans les réseaux P2P afin d’échapper aux futurs mécanismes de détection au niveau des FAI.
Tags: attack, attaque, bittorrent, dcma, detection, Hadopi, monitoring agent, p2p
[...] Disfonctionnement du système de détection du partage P2P [...]