Introduction. A qui s'adresse ce dossier? Guide de lecture. Les outils de filtrage d'url

Transcription

1 Les outils de filtrage d URL Arnaud Bauer CNAM 2003

2 Introduction En 2003, selon IDC 1, 272 millions d'employés ont accès à Internet. Face à cette croissance et à cette démocratisation de l'accès Internet, les entreprises cherchent à gérer et à contrôler la navigation Internet. En effet, comme toutes nouvelles technologies, l'utilisation d'internet peut dévier de son cadre initial. Certaines statistiques sont éloquentes (Source Internet) : Durant la période de travail 9h à 17h, on constate : - 70% du trafic pornographique (Source Internet) - 30 à 40% des sites visités sont non professionnels (Source IDC) - 60% des achats en ligne sont effectués (Source Nielsen/Netratings) En fonction du type de site Web, de l'heure, du demandeur et de la politique interne, l'entreprise souhaite adapter l'utilisation d'internet par ses employés. De son coté, le particulier souhaite aussi protéger sa famille lorsque celle-ci navigue à Internet. Les outils dits de "Filtrage d'url" ou "Filtrage de contenu" ont été conçus dans ce sens. Dans le monde de l'informatique, ces technologies sont regroupées sous l'appellation, "Employee Internet Management". A qui s'adresse ce dossier? Bien que rédigé dans le cadre de l'unité de valeur CNAM - Ingénieur en informatique, ce document a été écrit dans le but d'être compris par les non experts et intéressants pour ceux qui connaissent le monde de l'informatique et de l'internet. Guide de lecture L'objet de ce dossier est d'expliquer de manière précise et en termes simples comment fonctionnent les outils de filtrage d'url, quels en sont les enjeux ainsi que les produits disponibles sur le marché. 1 IDC : Cabinet de conseil et d études sur les marchés des technologies de l information CNAM - Ingénieur Page 2/43

3 Sommaire Introduction 2 A qui s'adresse ce dossier? 2 Guide de lecture 2 Chapitre 1 - Internet en quelques mots 5 Définitions 5 INTERNET = INTER-NETwork (Inter-réseaux) 5 Quelques chiffres 6 Réglementer Internet - Est-ce possible? 6 Pourquoi restreindre l'accès à Internet? 7 Objectifs 7 Législation 8 Chapitre 2 - Le filtrage d'url 10 Comment filtrer? 11 Contexte 11 Gestion de profils 11 Architecture sans authentification 11 Architecture avec authentification 11 Les techniques 11 Filtrage statique défini par l'administrateur 11 Liste blanche (White list) : 11 Liste noire (Black list) : 11 Filtrage des extensions de fichiers 11 Quelle est l'efficacité du filtrage statique? 12 Filtrage par thème 13 Les thèmes 13 Mise à jour de la base de données 13 Quelle efficacité? 13 Filtrage de contenu 13 Comment cela fonctionne-t-il? 13 Quelle efficacité? 13 Filtrage de contenu visuel 14 Autres types de filtrage 15 Blocage des adresses non résolues 15 Les normes d évaluation de contenu des sites Internet 15 Le barême d'étiquetage RSACi 15 Qu'est-ce que le système PICS? 16 Définition 16 Comment ca marche? 16 Les arguments pour l auto-étiquettage des sites par les auteurs 16 Listes CyberYES / CyberNOT 17 Définition 17 CyberYES 17 CyberNOT 17 Le projet NetProtect 18 A quel niveau filtrer? 20 Filtrage sur le point d'accès à Internet 20 Proxy URLF (URL Filtering - Filtrage d'url) 20 Fonction proxy 20 Fonction URL Filtering (Filtrage d'url) 21 Autres fonctions possibles 22 Routeur filtrant 23 Le protocole ICAP (Internet Content Adaptation Protocol) 23 CNAM - Ingénieur Page 3/43

4 Quels sont les objectifs du protocole ICAP? 23 Application de ICAP au filtrage d'url 23 Exemple de dialogue entre un proxy et un serveur de filtrage en ICAP 23 Filtrage sur le poste client 25 Offre grand public : Le filtrage parental 25 Filtrage professionnel 25 Comment ca marche? 25 Chapitre 3 - Les produits du marché 26 Filtrage sur point d'accès Internet 27 Symantec Web Security (anciennement appelé I-Gear) 28 Content Filtering with Blue Coat Systems 29 WebSense Internet Filtering 30 Webwasher 33 TrendMicro Interscan WebManager 33 Squidguard (Gratuit - Axé sur les sites à caractères pornographiques) 33 Watsoft Gatefilter (couplé à Wingate) 35 Network appliance Smartfilter (couplé à au proxy Netcache) 36 Surfcontrol Web filter 37 8E6 R How it Works 39 Comparatif 40 Filtrage sur poste client 41 AOL Parent Filter 41 Mac Afee Internet Filter 41 Symantec 41 Conclusion 42 Sites de référence 43 CNAM - Ingénieur Page 4/43

5 Chapitre 1 - Internet en quelques mots Définitions INTERNET = INTER-NETwork (Inter-réseaux) Comme son nom l'indique, INTERNET est un ensemble de réseaux interconnectés afin de permettre l'accès à des ordinateurs à n'importe quel point du globe. Ce n'est pas un réseau géré par une seule entité administrative, une seule société, ou un seul gouvernement mais il est constitué de la jointure de plusieurs réseaux sous la responsabilité d'opérateurs informatique du monde entier. De ce fait, il en est difficile d'avoir un œil sur les ordinateurs qui y sont raccordés, de savoir qui y est connecté et ce qui est mis à disposition. Avant de commencer, définissons les termes clés d'internet : Qu'est-ce qu'un site Web? Un site web (ou site Internet) est un endroit sur Internet où l'on peut trouver des informations, des images, des fichiers Physiquement, c'est un répertoire d'un ordinateur connecté à Internet. Pour accéder à cette machine, il faut connaître son adresse (c'est-à-dire son URL - Uniform Ressource Locator). Cette adresse est sous la forme Qu'est-ce qu'un moteur de recherche? Si vous ne connaissez pas l'adresse d'un site mais que vous savez ce que vous cherchez, il existe des sites Internet, appelés moteurs de recherche, permettant de trouver les sites Internet parlant de ce que vous recherchez. Les plus connus sont Google ( Altavista ( Ces "moteurs de recherche" parcourent en permanence Internet et mémorisent les mots présents dans les pages disponibles sur Internet. Ainsi, lorsque vous recherchez des informations sur un thème, le moteur de recherche vous renvoie les sites ayant des mots en rapport avec ce thème. CNAM - Ingénieur Page 5/43

6 Quelques chiffres En octobre 2002, on dénombrait un peu plus de 35 millions de sites Internet. Ci-dessous, un extrait d'article trouvé sur le net parlant du "cyber-sexe": Source : [ ] Si vous tapez sexe ou pornographie, le Net vous offrira pages de porno dont en Anglais et en Français. Fin 1999, au hit parade des mots les plus cliqués en France, arrivait dans l'ordre : sexe, sexe gratuit, gros seins, MP3 (moteur pour sites musicaux), zoophilie, gay, puis emploi, musique. Sur sites pornos répartis dans le monde, 200 sites professionnels sont Français sites amateurs. A ce nombre on ajoutera les "espaces d'expression libre" et une foule de sites où se côtoient rarement le meilleur et plus souvent le pire. Le Net est même devenu le salon préféré des pédophiles qui y papotent et tripotent dans la plus grande discrétion et des pervers en tous genres. On a retrouvé le Paradis perdu, c'était le Cybersexe où l'homme et la Femme, peuvent croquer les fruits défendus. [ ] Réglementer Internet - Est-ce possible? CNAM - Ingénieur Page 6/43

7 Pourquoi restreindre l'accès à Internet? Objectifs Ne pas saturer le lien raccordant l'entreprise à Internet : Pour pouvoir être raccordée à Internet, l'entreprise s'adresse à un "Fournisseur d'accès à Internet" (ou FAI) et souscrit un contrat louant ainsi une "ligne réseau" possédant une taille définie et fixe. La "bande passante" (taille du lien loué) étant proportionnelle au prix payé par l'entreprise, cette dernière souhaite que son utilisation reste professionnelle. L'accès sans restriction à Internet est souvent accompagné d'effets que l'entreprise ne recherche pas. Les employés sont tentés d'utiliser l'accès Internet de l'entreprise (souvent plus rapide qu'à leur domicile), pour effectuer des téléchargements de plusieurs dizaines voire centaines de méga-octets (Logiciels, musique au format MP3, films ). Il en résulte que l'utilisation professionnelle de l'accès Internet est très perturbé. Réduire la part d'utilisation d'internet consacré à l'usage privé : Comme indiqué au paragraphe précédent, l'entreprise, en règle général, souscrit un accès Internet afin d'accéder à des informations, ressources ou outils plus simplement. Selon certains instituts de sondage, 50 % des utilisateurs reconnaissent passer plus d'une heure par jour sur Internet à des fins non professionnelles. Consommation de Internet aux différents moments de la journée Avant 6h 6h-8h 8h-10h 10h-12h 12h-14h 14h-18h 18h- 20h Horaires 20h- 22h30 Après 22h30 CNAM - Ingénieur Page 7/43

8 France : fréquence de connexions en millions d'internautes par lieu d'accès Pages vues par mois A domicile Au travail Dans d'autres lieux Tous les jours ou presque : les assidus 52% 45% 8% Plus d'une fois par mois : les réguliers 44% 47% 65% Une fois par mois et moins souvent : les occasionnels 4% 8% 27% Total 100% 100% 100% Information trouvée sur le site : Vingt minutes de navigation Internet à des fins personnelles par jour, peut coûter à une société de 100 personnes, au bout d une semaine, jusqu à 8000 dollars (à raison de 50 dollars par heure et par employé). Réserver l'accès Internet à l'accès à certains sites : Certaines entreprises se raccordent à Internet afin de bénéficier de certains services moins chers (Exemple : Le Minitel) ou uniquement accessible par ce biais. Ainsi, en souscrivant un accès Internet, elles veulent aussi empêcher leurs employés d'accéder à d'autres sites. Interdire l'accès à certains sites ou à certains types de site : être en conformité par rapport à la morale de l'entreprise. Beaucoup de virus entrent sur les réseaux d entreprises par le biais de services de messagerie Web (Type ou du fait de téléchargement de fichiers. Référence : Législation Dans certains cas, notamment les entreprises ou institutions qui offrent un moyen d'accès à Internet à des mineurs, il est obligatoire d'avoir un filtrage d'url permettant de les empêcher d'aller sur des sites à caractère pornographique ou appelant à la violence. Il est également interdit aux entreprises quelles qu'elles soient d'offrir un accès à des images à caractère pédophile (notamment). Si de telles images sont récupérées sur Internet et diffusées en interne, l'entreprise (donc ses dirigeants) est légalement responsable. L'article suivant est l'article du code pénal, section 5 : de la mise en péril des mineurs. "Le fait soit de fabriquer, de transporter, de diffuser par quelque moyen que ce soit et quel qu'en soit le support un message à caractère violent ou pornographique ou de nature à porter gravement atteinte à la dignité humaine, soit de faire commerce d'un tel message, est puni de trois ans d'emprisonnement et de F d'amende lorsque ce message est susceptible d'être vu ou perçu par un mineur. Lorsque les infractions prévues au présent article sont soumises par la voie de la presse écrite ou audiovisuelle, les dispositions particulières des lois qui régissent ces matières sont applicables en ce qui concerne la détermination des personnes responsables." CNAM - Ingénieur Page 8/43

9 Qu en est-il de la responsabilité des hébergeurs? Le 13 juin 2001 a été présenté, en Conseil des Ministres un projet de loi sur la société de l'information. Les hébergeurs et fournisseurs d'accès ne sont pas tenus à une obligation générale de surveillance des contenus véhiculés sur les réseaux Les hébergeurs sont susceptibles d'engager leur responsabilité civile s'ils ne retirent pas un contenu dont ils ont effectivement connaissance du caractère manifestement illicite Le juge dispose de moyens renforcés pour faire cesser la mise à disposition de contenus illicites Les fournisseurs d'accès et les opérateurs de cache ne peuvent voir engager leur responsabilité du fait de contenus qu'ils se bornent à transmettre ou à stocker temporairement CNAM - Ingénieur Page 9/43

10 Chapitre 2 - Le filtrage d'url Pour répondre aux besoins cités dans le chapitre précédent ("Pourquoi filtrer?"), les sociétés, déjà spécialisées dans les outils sécurisant et optimisant les accès Internet, ont mis au point des systèmes analysant le comportement des utilisateurs sur Internet. Ce chapitre se propose d'étudier le fonctionnement de ces outils et leur implantation dans le réseau de l'entreprise. On trouve deux types d'implantation : Le plus répandu dans les entreprises est le filtrage sur le point d'accès Internet. Point de passage obligatoire pour les utilisateurs souhaitant accéder à Internet, il soumet les employés à un filtrage obligatoire associés à une politique de sécurité définie par les administrateurs du réseau de l'entreprise. Le filtrage d'url ne s'adressant pas qu'aux professionnels, il est possible d'implémenter des logiciels de filtrage d'url sur le poste accédant à Internet. Cette solution est préconisée pour les professionnels utilisant des postes directement raccordés à Internet par le biais d'un modem ou pour les particuliers sur leur ordinateur familial. CNAM - Ingénieur Page 10/43

11 Comment filtrer? Contexte Gestion de profils Dans le cadre d'un filtrage sur un point d'accès Internet, deux modes sont possibles : avec ou sans authentification. Architecture sans authentification Dans ce type d'architecture, les personnes navigant sur Internet ne s'authentifie pas. Par conséquent, il ne peut y avoir qu'une seule politique de filtrage pour l'ensemble de la société. Architecture avec authentification Dans ce type d'architecture, le logiciel de filtrage d'url demande à l'utilisateur de saisir un code utilisateur pour pouvoir accéder à Internet. Il est donc possible au niveau du logiciel de filtrage d'url, d'adapter les règles d'interdiction ou d'autorisation en fonction de la personne/ ou du groupe auxquelles elle appartient. Les techniques Filtrage statique défini par l'administrateur Grâce à au filtrage statique, l'administrateur de l'accès Internet peut autoriser ou refuser l'accès à : - des sites bien précis ( - des répertoires particuliers de sites ( - des pages de sites précises ( - des domaines entiers (xxx.org) Pour cela, on utilise les termes "liste blanche" et "liste noire". Liste blanche (White list) : L'administrateur définit une liste de sites accessibles par les employés. Liste noire (Black list) : Avantage : Réduit efficacement l'usage de l'accès Internet Inconvénients : - Diminue l'intérêt d'internet comme source importante d'information - Si le site autorisé renvoie sur un autre site non explicitement autorisé, l'utilisateur n'aura pas accès à l'information (Exemple : renvoie vers www2.toto.fr). L'administrateur définit une liste de sites interdits Avantage : Permet de filtrer les accès des sites particulièrement gourmand en bande passante (Suivi boursier comme ou des sites de recrutement de la concurrence. Inconvénients : - Ne permet de filtrer par thème Filtrage des extensions de fichiers CNAM - Ingénieur Page 11/43

12 Certains outils de filtrage d'url permettent d'empêcher le téléchargement de fichiers par analyse de leur extension. Exemple : Interdire le téléchargement de : - fichier.exe,.eip,.hqx => Risque de virus - fichier.avi,.mov,.mpeg,.mp3 => Risque de saturation de bande passante Quelle est l'efficacité du filtrage statique? CNAM - Ingénieur Page 12/43

13 Filtrage par thème Les fournisseurs de solutions de filtrage d'url propose en général un service complémentaire de recensement et de classification des sites Internet par thème. Il est donc possible à l'administrateur de définir des listes blanches et/ou noires, non plus par rapport à des sites particuliers mais par rapport à des thèmes. Les thèmes Alcool/Tabac Finance Intolérance Immobilier Sexe/Information Armes Crime Jeux/Casino Recherche d'emploi Religion Sexe/Services Drogue Humour Informations Sexe/Actes Voyages Distraction/Sports Chat (IRC) Sciences occultes Sexe/lingerie Vehicules Distraction/Jeux Mail Automédication Sexe/Nudité Violence Un thème peut être découpé en sous-thèmes permettant un fitrage encore plus adapté. Par exemple, si vous ne souhaitez autoriser que les sites parlant du sexe mais sur le plan de la prévention, c'est possible en autorisant seulement le thème Sexe/Information. Le nom des catégories n'est pas standardisé. Mise à jour de la base de données De plus, il n'existe pas une base unique de recensement/classification des sites Internet. Besoin de classification des sites Web Quelle efficacité? Pendant longtemps, ces listes étaient gérées par des sociétés/groupes américains. Filtrage de contenu Le filtrage de contenu est aussi appelé "Filtrage par dictionnaire". Comment cela fonctionne-t-il? Le logiciel de filtrage d'url est équipé d'un ou de plusieurs dictionnaires (en général un par langue). Chaque mot du dictionnaire se voit attribué un poids. Ainsi, en faisant la somme des poids des mots d'une page HTML, on est capable de déterminer si son contenu est autorisé ou refusé. Le système de calcul tient compte du contexte dans lequel les mots sont utilisés, c'est à dire qu'il tient compte des associations de mots pour augmenter ou diminuer la taille de la page Tout comme les listes d'url répertoriés par thème, ces dictionnaires doivent être souvent mis à jour. Exemple : Quelle efficacité? CNAM - Ingénieur Page 13/43

14 Filtrage de contenu visuel Le filtrage de contenu peut être basé sur un filtrage par analyse des images téléchargées. Ci-dessous un schéma de fonctionnement trouvé sur le site fournisseur d une solution de filtrage (Image Filter). CNAM - Ingénieur Page 14/43

15 Autres types de filtrage Blocage des adresses non résolues Interdiction de pages associées à des serveurs Web ne possédant pas de non de domaine. En effet, si il est simple de raccorder un serveur à Internet, il est un peu plus long d'obtenir un nom de domaine. Ce type de filtrage permet un accès Exemple : Les normes d évaluation de contenu des sites Internet Le barême d'étiquetage RSACi L'organisme RSAC (Recreational Software Advisory Council) a été conçu à l'origine pour classer les jeux vidéos afin de permettre aux parents de choisir des jeux vidéos adaptés à leurs enfants. Mais cet organisme a étendu son champ d'action à la classification des contenus Internet et a défini la classification RSACi, gratuite (on parle aussi de vocabulaire RSACi). RSACi a été notamment intégré dans le navigateur Internet Explorer et dans Netscape Navigator. Ce vocabulaire est largement utilisé aux Etats-Unis et en Europe. Il est constitué de 4 catégories, chacune découpée en 5 niveaux. Niveau Violence Nudité Sexe Langue 0 Aucune violence Aucun Aucun Argot inoffensif 1 Combats Tenue révélatrice Baisers passionnés Jurons très modérés 2 Tueries Nudité partielle Attouchement Jurons modérés 3 Tueries sanglantes et détails choquants 4 Violence gratuite et cruelle Nudité de face Nudité de face provocatrice sexuels sans nudité Attouchements sexuels non explicites Activité sexuelle explicite Gestes obscènes Langage grossier et explicite Le RSAC a été transformé en 1999 en ICRA (Internet Content Rating Association). Abandonnant le barème RSACi, l ICRA s appuie maintenant sur le standard PICS (Platform for Internet Content Selection). CNAM - Ingénieur Page 15/43

16 Qu'est-ce que le système PICS? Définition L'acronyme PICS signifie Platform for Internet Content Sélection, soit plate-forme de sélection de contenu sur internet en français. Ce système a été mis au point par le consortium World Wide Web en Il permet d'associer une étiquette décrivant le contenu d'un site et de la lire ensuite pour en faciliter le filtrage. Des organismes ont étiqueté des contenus mais les éditeurs de sites internet ont la possibilité d'auto-étiquetter leur site. Comment ca marche? Dans la page HTML du site Internet, l auteur indique des informations dans des balises spécifiques appelées balises «méta». Ces balises contiennent en général une description du contenu du site que les moteurs de recherche utilisent pour référencer le site. <html> <head> <title>titre de la page</title> <meta name="keywords" lang="fr"content="...,..."> <meta name="description" lang="fr" content="... "> etc... </head> <body>... Contenu de la page... </body> </html> 1. Le robot scrute vos balises meta 2. Il ramène les renseignements au moteur de recherche 3. Le moteur de recherche met à jour son index Les arguments pour l auto-étiquettage des sites par les auteurs Les sites commerciaux, dont le contenu ne pose pas ou peu de problèmes, voudront étiqueter leur site de façon à éviter qu'il ne soit bloqué "par défaut". Quand un parent installe le filtre pour son enfant, il ou elle aura l'option d'accepter ou de refuser "les sites non classifiés." La plupart des sites aspirent à recevoir un maximum de visites pour des raisons publicitaires et autres activités commerciales qui y sont liées. Il serait logique que tous les sites commerciaux soient classifiés (étiquetés), que leur contenu puisse être considéré nuisible ou non. Les opérateurs de sites conçus spécifiquement pour les enfants voudront étiqueter leur site, comme quelques moteurs de recherche construisent leur base de données de "sites qui conviennent aux enfants" en se basant sur les étiquettes ICRA. La majorité des opérateurs de sites "réservés aux adultes" sont en général tout aussi désireux de protéger les enfants que n'importe qui. De plus, étiqueter leur site montre clairement aux gouvernements que le World Wide Web est désireux et capable de se réguler lui-même, plutôt que de voir les lourds organes de législation gouvernementaux décider de ce qui est acceptable et de ce qui ne l'est pas. Sur un plan d'égalité, un site qui porte une étiquette ICRA est plus susceptible de susciter la confiance qu'un site sans étiquette. CNAM - Ingénieur Page 16/43

17 Listes CyberYES / CyberNOT Définition La liste CyberYES est une liste blanche d'urls autorisées et la liste CyberNot est une liste noire d'urls interdites. Ces listes sont utilisées dans le logiciel de filtrage Cyber Patrol de Microsoft. CyberYES La liste CyberYES contient des URLS considérées comme appropriées à un public de jeunes enfants. Les différentes catégories sont les suivantes : Jeux et jouets Art, livres et musique Films et télévision Plein air et sports Animaux domestiques Animaux et dinosaures Vacances et voyages Puzzles et passe-temps Travaux scolaires Bénévolat et entraide Documents de référence Ecoles sur le réseau Parents et enseignants CyberNOT La liste CyberNOT est utilisée par CyberPatrol pour bloquer des sites considérés comme inappropriés pour des mineurs. Les différentes catégories de CyberNot sont les suivantes : La violence et la profanation La nudité partielle ou totale Les actes sexuels Les représentations grossières L'intolérance Les cultes sataniques La drogue Le militantisme et l'extrémisme L'éducation sexuelle Les jeux douteux ou illégaux L'alcool et le tabac CNAM - Ingénieur Page 17/43

18 Le projet NetProtect NetProtect est un projet en partie fondé par la Commission Européenne et appuyé par des sociétés comme EADS Matra Systèmes et Information (France), Matra Global Services (France), Red Educativa (Espagne), Hypertech (Grèce), et Sail Labs (Allemagne). L object de Netprotect est de construire le prototype d un outil capable de filtrer les accès Internet et de prendre en compte le contexte multi-lingue et multi-culturel de la Communauté Européenne. Les différents étapes de réalisation du projet sont les suivantes : - Inventaire des outils et méthodes de filtrage existants sur le marché - Mise au point d un prototype d outil «européen» - Test par des spécialistes et des utilisateurs (parents et professeurs) - Conclusion et préparation à la mise au point du produit CNAM - Ingénieur Page 18/43

19 En Janvier 2002, le prototype du projet a été livré : Ce prototype hébergé dans les locaux de la société Optenet (Espagne) s appuie sur un outil d analyse de texte prenant en compte les langues suivantes : - Grec - Allemand - Français - Espagnol - Anglais et sur un outil d analyse d image (LTU IMAGE FILTER). Le produit final filtrera le matériel pornographique dans cinq langues différentes, ainsi que les contenus violents, criminels et haineux. Il couvrira d'autres protocoles tels que le chat, le courrier électronique et les forums de discussion (newsgroups). Les logiciels de filtrage actuels ont été évalués en respectant un certain nombre de critères différents sans changer la configuration standard des différents logiciels. Aucun des logiciels de filtrage analysés n'a satisfait aux critères de l'étude. CNAM - Ingénieur Page 19/43

20 A quel niveau filtrer? On peut considérer qu'il existe deux endroits où le filtrage d'url est possible. Le premier, le plus utilisé par les entreprises, consiste à filtrer la navigation sur le point d'accès à Internet. Le second, plus à destination du grand public ou entreprise à petits budgets informatiques, est la solution de filtrage au niveau de l'ordinateur. Filtrage sur le point d'accès à Internet Cette solution est souvent celle choisie par les entreprises. Elle permet un filtrage global sur un point unique. Dans cette configuration, deux solutions sont possibles : le proxy filtrant ou le routeur filtrant. Proxy URLF (URL Filtering - Filtrage d'url) Le proxy URLF est un ordinateur effectuant ayant deux responsabilités : Celle de proxy et celle de filtrage d'url. Définissons ces deux fonctions. Fonction proxy Le proxy URLF fournit les services d'un proxy "standard", c'est-à-dire qu'il permet de masquer les postes utilisateurs derrière une machine (ou adresse) unique. Ainsi si une attaque est perpétrée, c'est le proxy qui est visé et non pas le poste utilisateur. Internet Une seule adresse visible opur n poste ayant accès à Internet Zone démilitarisée (DMZ) Pare-feu Proxy Réseau Interne CNAM - Ingénieur Page 20/43

21 Fonction URL Filtering (Filtrage d'url) La fonctionnalité de filtrage d'url couplée à celle du proxy permet de maîtriser les sites accédés et le contenu récupéré. Le proxy jouant le rôle de passerelle entre les utilisateurs et Internet, il voit ce que l'utilisateur demande (l'adresse du site) et le résultat de sa demande (information récupérée d'internet : pages HTML, fichiers, images ) Internet Analyse de l'url Une seule adresse visible opur n poste ayant accès à Internet URL Interdite URL Autorisée Téléchargement de la page demandée Zone démilitarisée (DMZ) Pare-feu Proxy URLF Analyse du résultat Contenu Interdit Contenu autorisé Réseau Interne CNAM - Ingénieur Page 21/43

22 Autres fonctions possibles En complément de ces fonctionnalités, le proxy peut être équipé d'un : cache : il mémorise les informations obtenues d'internet pour pouvoir répondre à la prochaine requête identique sans avoir à se re-connecter au serveur Internet Gain en performance un antivirus : il vérifie les ressources téléchargées (HTML, Scripts, Fichiers, ActiveX ) à la recherche de "codes malicieux" ou "virus". Gain en sécurité Ces fonctions ne sont pas forcément implémentées sur la même machine. Il est possible de chaîner ces outils. On parle alors de "Chaîne de proxy" ou "proxy chaining". Internet Une seule adresse visible opur n poste ayant accès à Internet Zone démilitarisée (DMZ) Pare-feu Antivirus Vérification Virus Proxy URLF Vérification de l'url et du contenu Réseau Interne Ce type d'architecture permet de gagner en sécurité mais au détriment des performances : Lorsqu'un utilisateur formule une requête sur un site Internet : 1 - Le proxy URLF vérifie la validité de la demande - Utilisateur autorisé à naviguer sur Internet - URL autorisé par rapport à la politique de sécurité paramétrée 2 - Le proxy URLF transfère la requête à l'antivirus qui vérifie que celle-ci concorde avec sa politique de sécurité 3 - L'antivirus se connecte au serveur Web demandé et récupère la page demandée (et les objets associés). 4 - L'antivirus vérifie que ce qu'il a récupéré ne contient pas de virus 5 - L'antivirus transfère le résultat au proxy URLF qui vérifie que le contenu de la page est en accord avec la politique de sécurité 6 - Le proxy URLF renvoit la réponse à l'utilisateur. CNAM - Ingénieur Page 22/43

23 Routeur filtrant Un routeur peut aussi faire office d'outil de filtrage d'url. Exemple : La gamme des routeurs Netgear Le protocole ICAP (Internet Content Adaptation Protocol) Le protocole ICAP permet de normaliser le dialogue entre un équipement réseau (comme un proxy) et d'un outil de filtrage (antivirus, filtrage d'url, cache ) dans un réseau IP. Il définit le dialogue entre le proxy et l'outil de filtrage. ICAP a été créé en 1999 par l'icap forum ( I-CAP forum est né de l'association de Network Appliance (Fournisseur de solutions de cache) et Akamai Technologies. Quels sont les objectifs du protocole ICAP? Pouvoir adapter les contenus récupérés en fonction des utilisateurs finaux Pouvoir créer une norme de dialogue entre les différents outils de filtrage Réduire les ressources utilisés par ce genre de services. Les premières applications de ce protocole sont le filtrage de contenu, le filtrage antivirus, les serveurs de traduction/transcription "à la volée", insertion de automatique de publicité. Application de ICAP au filtrage d'url Le client effectue une requête pour une page Web. Le proxy redirige la demande vers le serveur ICAP qui vérifie que cette demande est valide par rapport aux règles de filtrage. Si celle-ci est valide, le serveur ICAP autorise le proxy à envoyer la requête au serveur cible. Sinon, il modifie la requête initiale pour renvoyer le client vers une page HTML d'erreur. icap://icap.net/service?mode=translate&lang=french Les proxys compatibles ICAP envoient une page HTTP intégrant la requête du client et une proposition de réponse à la requête initiale. Le serveur ICAP analyse et renvoie la page telle quelle ou modifiée. Exemple de dialogue entre un proxy et un serveur de filtrage en ICAP Cet exemple est tiré du document de spécification du protocole ICAP ( et a été traduit en français. Requete envoyé par le proxy au serveur ICAP : CNAM - Ingénieur Page 23/43

24 RESPMOD icap://icap.exemple.org/satisf ICAP/1.0 Host: icap.exemple.org Encapsulated: req-hdr=0, res-hdr=137, res-body=296 GET /page.html HTTP/1.1 Host: www. Server-demandé.com Accept: text/html, text/plain, image/gif Accept-Encoding: gzip, compress HTTP/ OK Date: Mon, 10 Jan :52:22 GMT Server: Apache/1.3.6 (Unix) ETag: " ab7-378d415b" Content-Type: text/html Content-Length: Ces informations ont été renvoyés par le serveur Web. 0 Requête ICAP Requête HTTP initiale En-tête HTTP de la réponse proposée Corps HTTP de la réponse proposée Réponse du serveur ICAP après analyse ICAP/ OK Date: Mon, 10 Jan :55:21 GMT Server: ICAP-Server-Software/1.0 Connection: close ISTag: "W3E4R7U9-L2E4-2" Encapsulated: res-hdr=0, res-body=222 HTTP/ OK Date: Mon, 10 Jan :55:21 GMT Via: 1.0 icap.exemple.org (ICAP Example RespMod Service 1.1) Server: Apache/1.3.6 (Unix) ETag: " ab7-378d415b" Content-Type: text/html Content-Length: 92 5c Ces informations ont été renvoyé par le serveur Web et modifié par le serveur ICAP. 0 Réponse du serveur ICAP En-tête HTTP modifiée par le serveur ICAP Corps HTTP modifié par le serveur ICAP CNAM - Ingénieur Page 24/43

25 Filtrage sur le poste client Offre grand public : Le filtrage parental Par défaut l'accès aux sites destinés aux adultes est simple. Internet est un formidable outil d'information et d'éducation pour les enfants. Mais il contient aussi de multiples sites à caractère sexuel, violent ou qui incitent à la haine raciale, à la consommation de drogues Selon une étude européenne menée dans le cadre du projet Dot Safe, 24% des enfants tomberaient accidentellement sur des contenus pornographiques sur le Net. Le "filtrage" ou "contrôle" parental est l'un des outils permettant de protéger les enfants des contenus inadaptés. Ils jouent le rôle de filtre en autorisant l'accès aux pages considérées comme inoffensives mais bloquent les sites qui peuvent choquer l'enfant. Dossier intéressant : Filtrage professionnel Certains produits antivirus sont couplées à des logiciels effectuant du filtrage d'url. Ainsi par le biais d'une administration distante centralisée, la navigation Internet est directement filtrée au niveau des postes utilisateurs. Comment ca marche? Faire un schéma d'architecture au niveau du poste. CNAM - Ingénieur Page 25/43

26 Chapitre 3 - Les produits du marché Dans le cadre de cette étude, nous nous sommes appuyés sur diverses dossiers trouvés sur Internet. Parlons un peu du marché : En 2001, selon IDC, le revenu associé aux outils de filtrage d'url se montait à environ 211 millions de dollars (Revenus des licences). Parts de marché des éditeurs de solutions de filtrage web dans le monde (Source IDC) Parts de marché des éditeurs de solutions de filtrage web dans le monde En 2001 SurfControl 21,9% Websense 17,6% Symantec 7,1% Secure Computing 6,9% N2H2 4,6% Comme au chapitre précédent, nous distinguerons les deux types de solutions, celles destinées à être implémentées sur le point d'accès à Internet et celles destinées au poste client. CNAM - Ingénieur Page 26/43

27 Filtrage sur point d'accès Internet Nous nous sommes intéressés aux produits suivants : Symantec Web Security WebSense Internet Filtering TrendMicro Interscan WebManager Watsoft Gatefilter Surfcontrol Blue Coat Content Filtering Webwasher Squidguard Network appliance Smartfilter 8E6 R2000 CNAM - Ingénieur Page 27/43

28 Symantec Web Security (anciennement appelé I-Gear) Site Web : CNAM - Ingénieur Page 28/43

29 Content Filtering with Blue Coat Systems Site Web : CNAM - Ingénieur Page 29/43

30 WebSense Internet Filtering Editeur : WEBSENSE OS : RedHat Linux, Microsoft Windows NT4, Microsoft Windows 2000, SUN SOLARIS Site Web : Description du fonctionnement : Websense est produit de filtrage d'url qui consiste à faire passer toutes les requêtes de pages Web par un point de contrôle Internet tel qu'un pare-feu, un serveur proxy ou un système de cache. Websense s'intègre à ces points de contrôle pour vérifier chaque demande et déterminer si elle doit être autorisée ou refusée. Websense filtre le contenu Internet en utilisant la base de données Websense Master qui répertorie plus de 3,5 millions de sites en 44 langues. Ces sites comportent plus de 800 millions de pages, organisées en plus de 75 catégories, notamment MP3, jeux de hasard, shopping et contenu pour adultes. On peut choisir de bloquer, autoriser, limiter par le biais de quotas horaires ou par utilisateur/groupe/station de travail/réseau. Intégrations Websense : Websense est compatible avec de nombreux produits sur le marché. La liste complète se trouve sur le site de l'éditeur : D autre part, WebSense utilise le format LDAP standard x509 pour personnaliser les accès (groupe ou utilisateur). D'autres fonctionnalités intéressantes comme la gestion de quotas horaires (définition de plages horaires) permettront une gestion plus fine pour des accès Internet plus spécifiques. WebSense supporte les OS NT, Win 2000, Solaris. Des alertes ou notifications peuvent être générées par mail, alarmes sonores ou visuelles. CNAM - Ingénieur Page 30/43

31 Ces informations concernent les mises à jour de la blacklist ou encore les problèmes de dysfonctionnement du produit. Websense Reporter <=> Logging & Reporting : Websense Reporter constitue un outil de génération de rapports complet et convivial qui permet d'évaluer l'utilisation de l'internet par les salariés de l'entreprise. Rapport sur l'activité Internet (durée de navigation,...) ; Plus de 60 rapports prédéfinis ; Rapports complètements personnalisables ; Planification de la génération et de l'envoi des rapports ; Rapports exportables sous : HTML, WORD, EXCEL. WebCatcher : WebCatcher permet d'optimiser la base de données Websense en fonction des besoins. Les sites visités par les utilisateurs et non reconnus sont automatiquement envoyés à Websense pour être contrôlés. Les sites appropriés sont alors ajoutés à la base de données. La base de données Websense utilise WebCatcher pour s'adapter aux habitudes de navigation de l'entreprise. Base de données Websense Master Elle se compose de 4 catégories et sous-catégories : Coeur de la base : une trentaine de catégories : Avortement, Section pour adultes, Commerce et économie, Drogues, Divertissements, Jeux, Racisme, Religion, Violence,... Premium Group I (PG I) <=> Gestion de la productivité Publicités ; Téléchargements de logiciels gratuits ; Messagerie instantanée ; Groupes et clubs de discussion ; Bourse en ligne ; Sites de navigation rémunérée. Premium Group II (PG II) <=> Gestion de la bande passante Radio et télévision Internet ; Téléphonie Internet ; Partage de fichiers ; Médias diffusés en direct ; Stockage/sauvegarde en réseau de données personnelles. Premium Group III (PG III) <=> filtrage anti-virus Contrôle des scripts (Java Scripts, ActiveX,...). Abonnement La "liste noire" de WebSense est composée de 2.7 millions de sites. Cette liste est mise à jour par téléchargement automatique de la base de données (5000 URLs sont rajoutées/modifiées quotidiennement). Le mode de sélection des URLs repose sur un calcul de coefficient : Un coefficient de redondance est calculé pour une série de mots-clés. Par exemple la recherche de sites appartenant à la catégorie politique, les mots clés les plus explicites pouvant être : extrême/droite/gauche/front/national/communiste/socialiste). Un coefficient est calculé pour tous les mots présents sur le site. Si au moins 80% des mots clés sont présents sur le site Si le coefficient est compris entre 60 et 80%, alors l'url est automatiquement rajoutée dans la liste noire. le site est visité par une équipe de WebSense pour valider l'appartenance ou non à une catégorie. La série de mot-clés dépend de la langue choisie pour le filtrage: Français, Anglais, Russe, Allemand,... Environ 2% d'erreurs sont générés par cette méthode. CNAM - Ingénieur Page 31/43

32 le coefficient est de 60%, les URLs sont visualisées par les équipe de WebSense, ce qui réduit considérablement le risque d'erreur. CNAM - Ingénieur Page 32/43

33 Webwasher Site Web : Il a été développé par une société allemande, du groupe Siemens (spécialisée dans le filtrage d'urls et la suppression des bannières publicitaires). Moins connu, le produit présente des fonctions intéressantes et utilise la technologie ICAP. Les proxy doivent intégrer ce protocole de communication pour supporter WebWasher. Abonnement : L'implémentation de nouvelles URLs à la "liste noire" repose sur la technique DynaBlocator (Filtrage reconnu comme très performant) qui utilise la technique de reconnaissance d'images sur Internet (cf: Cobion). L'outils est indépendant de la langue. On télécharge ensuite automatiquement une mise à jour de la base. TrendMicro Interscan WebManager Site Web : Squidguard (Gratuit - Axé sur les sites à caractères pornographiques) Editeur : Groupe de développeurs [Pal Baltzersen et Lars Erik Haland (Danemark)] OS : Fonctionne sur tous les Linux à condition d'avoir déjà installé le proxy Squid. Site Web : Qu'est-ce que SquidGuard? SquidGuard est un plug-in de Squid. Ce plug-in permet le filtrage d'url, la redirection de requêtes HTTP et la mise en place de contrôles d'accès. SquidGuard est : CNAM - Ingénieur Page 33/43

34 - libre (dans ce cas c'est synonyme de gratuit) - super configurable - extrêmenent rapide - d'installation relativement simple SquidGuard peut être utilisé pour : - bloquer l'accès à des sites référencés comme "illégaux" (porno, xenophobe, pédophile,...) - bloquer l'accès à des URL qui correspondent à une liste d'expressions régulières ou de mots (ex : bloquer les.exe, les.avi,...). - rediriger les sites bloqués vers un script CGI personnalisable (pour avertir l'utilisateur de la raison pour laquelle il ne peut visualiser ce site). - rediriger les utilisateurs non enregistrés vers un formulaire d'enregistrement => simplification de l'administration. - remplacer les bannières de certains sites par des images GIF vides. - faire des règles d'accès selon l'heure, le jour de la semaine,... - toutes les règles précédentes peuvent être gérée par utilisateur ou par groupe d'utilisateurs. Ce que SquidGuard ne peut pas faire : - SquidGuard n'est pas un filtre de contenu... c'est juste un filtre d'url. Ainsi, on ne peut pas faire des règles de filtrage sur le contenu de la page web visualisée. - SquidGuard ne permet pas non plus de faire des filtres sur les scripts contenus dans les pages web (JavaScript, VBscript, ActiveX,...) CNAM - Ingénieur Page 34/43

35 Watsoft Gatefilter (couplé à Wingate) Site Web : CNAM - Ingénieur Page 35/43

36 Network appliance Smartfilter (couplé à au proxy Netcache) Editeur : SMARTFILTER OS : Linux, Microsoft Windows 2000, Microsoft Windows NT, Sun Solaris Site Web : Description du fonctionnement : SmartFilter s'installe sur différents types de serveurs proxy. Toutes les requêtes de pages Web passent d'abord par les process SmartFilter et sont instantanément comparées à la politique de filtrage en place (via le SmartFilter Control List). Les requêtes sont alors acceptées, refusée, différées, redirigées ou acceptées moyennant l'acceptation consciente de l'utilisateur. Options de filtrage : Classements de 2 millions de sites selon 30 catégories ; Gestion des URL et des IP ; Gestion du trafic HTTP et HTTPS ; Possibilité de filtrer sur des mots clef ; Filtrage par tranches horaires/jour de la semaine,... Rapports : Automatisation et planification des rapports ; 11 langues possibles ; Des 10 aines de rapports prédéfinis. Abonnement : Sur simple abonnement, le proxy va automatiquement (ex: 1 fois par semaine) mettre à jour une liste d'urls (10 Millions de sites). Ces sites sont regroupés dans 26 catégories distinctes: (sexe, sport, drogue, politique, humour, violence,..). La "liste noire" d'urls est composée de 2 fichiers - wtcontrol (contient la liste des URLs par catégorie) - wtcntldr (contient les noms de domaines et adresses IP résolues d'urls) Le filtrage d'urls s'appuie sur les noms pleinement qualifiés des URLs ( ) et sur les adresses IP ( Pour répertorier les "listes noires", SmartFilter travaille avec Rulespace, société spécialisée dans la recherche des URLs sur Internet. SmartFilter utilise des techniques automatisées qui recherchent sur le Web les sites, puis ces derniers sont ensuite visualisés par l'équipe technique afin de décider le blocage d'urls. Quelques URLs sont aussi soumises par des clients souhaitant intégrer des URLs à la "liste noire". L'abonnement est d'une durée de 1, 2 ou 3 an(s) et le prix dépend du nombre d'utilisateurs connectés au proxy puis renouvelable tous les ans. CNAM - Ingénieur Page 36/43

37 Surfcontrol Web filter Site Web : CNAM - Ingénieur Page 37/43

38 8E6 R2000 Site Web : Simply the fastest filtering available At 8e6 we have designed our filtering servers to provide maximum throughput. That's why we are the choice of the largest corporations and school districts. Many filtering technologies cause considerable network slowdown when they are doing their job of filtering Internet access. However, the R2000 is a network server that is placed outside the flow of network traffic to "watch" rather than "stop and check" website requests. The result is virtually no slowdown of network traffic, even in heavy traffic situations. Works in any network configuration 8e6's Ethernet-compatible servers can be integrated in any network with virtually unlimited configuration options. The 8e6 R2000 operates by watching requests on Ethernet networks and easily adapts to any TCP network to handle millions of user requests with no throughput degradation or connection interference. There is no need to reconfigure your browser or router, or modify existing network hardware infrastructure. Ease of Installation If you've got Ethernet, we have your filter. Our multiple installation options allow filtering to take place where and how you want it! Each R2000 comes with full documentation and a user-friendly "Quick Start" guide to make installation quick, easy and reliable. The most effective filtering database A European Commission that invested 7.1 man-years testing Internet filters recently ranked 8e6 "Number 1" worldwide in filtering effectiveness. Our library of categories is one of the oldest and most complete in the filtering industry. Each day a combination of automatic "crawler" technology and human verification seek out, verify and categorize unwanted websites. Each night library updates are downloaded to your R2000 to ensure that the most up-to-date listing of websites is available to filter unwanted content in your installation. Manage Internet Access The 8e6 R2000 manages content access ports that lead to non-work related or offensive sites: Web/FTP - Manages access to websites (HTTP) and file transfer (FTP) requests. Search Engines - Denies searches using pre-selected words within Internet Search Engines Newsgroup (NTTP) - Halts access to inappropriate newsgroups by monitoring all newsgroup requests. TCP Port Blocking - Useful in filtering services such as Napster, RealAudio and RealPlayer. Anonymizers - Blocks public proxy services specifically designed to circumvent filtering solutions, including SafeWeb/TriangleBoy. Custom Profiling The 8e6 R2000's selective filtering option allows you to customize profiles for your installation's needs by first choosing from 8e6 Technologies' extensive library of categorized websites and then by augmenting this with custom sites. The millions of websites in the 8e6 URL database are conveniently categorized into 35 categories that can be selectively blocked. Individual sites can be passed or blocked simply by adding them in the "white list" or "black list" options. This combination of both categories and supplemental lists gives you the most CNAM - Ingénieur Page 38/43

39 flexible solution available. Failsafe Operation Since the R2000 is a stand-alone server operating outside of your network's critical path, its operation does not affect overall network performance. Should the R2000 stop operating for any reason, your network is unaffected. User/Group Profiles Administrators can select different Internet access criteria for individual users or groups of users. This feature allows selected users to access categories or sites that others can not. For example, access to employment and job websites might be blocked for all users except those in the Human Resources department. Remote Control Capability The 8e6 R2000 allows administrators to set up authentication and control screens using standard HTML/CGI for access through a web browser. This allows the R2000's control to be integrated into a network's existing control panels for seamless integration into your current network management structure. Customer Support 8e6 Technologies offers its customers support through our dedicated service technicians. Our trained staff can diagnose and correct your issue quickly and efficiently through phone conversations and direct access to your 8e6 R2000. Supported Features: Plug & Block Invisible, router or firewall mode Unprecedented scalability Denies access to pre-selected Internet Web sites (HTTP); Internet FTP sites (FTP); Internet Newsgroup sites (NNTP); and denies searches using pre-selected words within Internet Search Engines Prevents access to selective ports (services) such as IRC chat, ICQ, Real Video, Real Audio, etc. Automatically filters proxy servers which prevents bypassing the system Integrates with RADIUS module for authenticatio Customizable individual filtering profile for end users VPN capability, supports IP/IP Tunneling Automatic daily library updates of new categorized sites Selective category filtering Selective user/group filtering by IP Individual filtering profiles for dynamic IPs Detailed reporting of Internet usage, by user or by organization Fail-safe routing Supports multiple Access Denied Messag How it Works Filtering technologies are divided into two types: Pass-through (server plug-in based) and Pass-by (standalonebased). Many networks operate in a pass-through environment, that creates "slow" points in the flow of data. Filtering solutions placed within a pass-through environment creates additional speed bumps and even a choke point if network traffic exceeds certain capacity levels. Pass-by solutions such as the R2000 are placed outside the flow of network traffic. It "watches" rather than "stops and checks" Web site requests. The result: no slowdown, even in heavy traffic situations. Most importantly, it doesn't create a point of failure. CNAM - Ingénieur Page 39/43

40 This diagram illustrates the 8e6's Pass-by filtering technology that removes the R2000 from any inclusion in the network connection path. (1) Inappropriate request is sent by user (2) R2000 monitors request as it passes through the hub/switch (3) R2000 matches the request against its database (4) If the website requested finds a match in the database, a TCP reset is sent to the web server to kill the session (request) and a block page is sent to the client Comparatif Produits Société Comp at ICAP Symantec Web Symantec Security Websense Internet Filtering Interscan Manager Trendmicro Squidguard Gatefilter Smartfilter Black List White List Filtrage par mot clé Filtre par extension de fichiers Gestion de profils Websense Watsoft Network Appliance Reporting CNAM - Ingénieur Page 40/43