Code & Systèmes Libres
LogP2P

Introduction

LogP2P est le résultat d'un nouveau développement de Frédéric AIDOUNI, informaticien freelance.

En 2001, Frédéric AIDOUNI a conçu avec Cyril VRILLAUD, alors étudiant à l'ENSEIRB, un système intelligent de traque des diffuseurs de contenus à caractères pédophiles sur l'IRC : LogIRC.

Ce système, expérimenté à l'époque par la gendarmerie nationale est désormais en fonction dans les services de polices nationaux sur les cinq continents.

En juillet 2002, Frédéric AIDOUNI a prolongé son étude pour tenter, dans une nouvelle évolution, de mettre au point un logiciel capable de localiser les diffuseurs de fichiers pédophiles sur les réseaux Peer-to-Peer. Après plusieurs mois de recherches, d'analyses de trames et de protocoles, @idounix en la personne de Frédéric AIDOUNI a conçu et réalisé en février 2003 un système d'identification des diffuseurs de contenus illégaux sur les principaux réseaux Peer-to-Peer.

LogP2P permet de déterminer, de manière sûre, l'adresse IP des diffuseurs de fichiers à caractère pédophile, il délivre un rapport à l'enquêteur qui peut l'exporter ou l'insérer dans une procédure, après l'avoir analysé par domaine, par date et par pays.

LogP2P, élaboré suivant les recommandations d'un enquêteur spécialisé, est actuellement en cours d'éxpérimentation au sein de la Gendarmerie Nationale, à la Section de recherches de Bordeaux.

LogP2P fonctionne grâce à une astucieuse méthode d'analyse, couplée à un système de monitoring. Il se positionne entre le ou les enquêteurs et l'Internet et identifie, en temps réel et catégoriquement les diffuseurs de fichiers (films, photo, mpeg ou logiciels).

Il trouve parfaitement sa place dans la lutte contre la cyber-criminalité.

Comment ça marche

Le matériel

LogP2P est un logiciel de monitoring et d'analyse qui s'installe sur une machine dédiée sous GNU/Linux, le serveur.

Pour de l'interception de photos pédophiles, la configuration minimum requise est la suivante:

  • P4 2ghz ou équivalent
  • 1gb de RAM
  • 40gb de place libre sur les disques

LogP2P est trés consommateur de puissance de calcul et de mémoire vive. Plus le nombre de clients Peer-to-Peer est élevé, plus le serveur doit être puissant. En pratique, la configuration de base convient pour 2 ou 3 clients simultanés.

Le logiciel

Pour l'exploiter, les logiciels suivants doivent être installés sur le serveur LogP2P :

  • Python 2.2
  • Samba
  • libpcap
  • pylibpcap
  • Python Imaging Library

LogP2P est écrit en Python, il utilise libpcap pour intercepter le traffic réseau. Samba permet de stocker les fichiers téléchargés par les clients Peer-to-Peer qui seront signés numériquement par une clé MD5.

Si le réseau sur lequel opère LogP2P est switché, il tentera de se paramétrer en passerelle réseau pour que les clients Peer-to-Peer redirigent leur traffic sur lui.

L'installation de LogP2P dure quelques minutes, @idounix fournit un logiciel de validation de l'environnement, qui va vérifier que LogP2P peut fonctionner sur la machine, et un logiciel de chargement qui va télécharger les différentes parties du système, le mettre à jour le cas échéant, et le lancer.

Un fichier de paramétrage permet de déterminer les paramètres de fonctionnement du système.

L'utilisation

Le paramétrage

Deux points importants doivent être paramétrés pour utiliser LogP2P:

  1. Les machines dont le traffic doit être analysé
  2. Les clients Peer-to-Peer, par machine

Ces paramètres résident dans un fichier de style .ini que LogP2P initialise en partie lors de son premier lancement. Ce fichier peut ressembler à ceci :

[directory]
gnutella = fred,gnutella,
kazaa = fred,kazaa,download.*dat

[global]
promisc = 0
network = 192.168.1.0
filepath = /Public
demomode = 0
organisation = @idounix
port = 8080
rootpath = /Work/logp2p
logfilter = .fr;.proxad.net

[scanner]
dagon = 192.168.1.42,eth0
fred = 192.168.1.50,eth0

Le mode opératoire

LogP2P se décompose en deux parties :

  • Un serveur WEB intégré qui permet de fournir une interface d'exploitation par navigateur WEB
  • Le système de monitoring et d'analyse proprement dit
Captures d'écran en mode demo
Images floutées et IP cachées
logp2p-menu.jpg - Click to enlargelogp2p-list.jpg - Click to enlargelogp2p-repport.jpg - Click to enlarge
logp2p-log01.jpg - Click to enlargelogp2p-log02.jpg - Click to enlargelogp2p-log03.jpg - Click to enlarge

Les enquêteurs utilisent un ou plusieurs client Peer-to-Peer pour chercher et télécharger des contenus illégaux, et LogP2P intercepte et analyse ce traffic.

A partir des données collectées, il va pouvoir construire des rapports qui pourront être manipulés :

  • Par fichier
  • Par domaine
  • Par pays

Un scénario typique consiste à chercher par mot clé des fichiers illégaux, à lancer les téléchargements, en nombre, et à consulter au bout de plusieurs heures le rapport filtré par domaine. Reste à valider que les contenus sont illégaux, et à inclure le rapport de LogP2P dans la procédure.

Conclusion

Il n'est désormais plus nécéssaire de scruter son écran sur un seul système Peer-to-Peer pour tenter d'obtenir les adresses IP des diffuseurs de contenus illégaux. LogP2P peut identifier de manière sûre les diffuseurs sur des centaines de téléchargements simultanés et fournir des rapports détaillés.

Contactez-nous pour plus d'informations.

Annexes

Prérequis à l'installation

FAQ de LogP2P

LogP2P dans les média

Salle de presse

Valid HTML 4.01!Valid CSS!