these doctorat une architecture de securité

More documents

Recommendations

Info

Chapitre 2. Théories et Modèles – L’intégrité est la propriété d’une information à ne pas être altérée. Cela signifie que le système informatique doit empêcher : – toute modification de l’information par des sujets non autorisés ; – une modification incorrecte par des sujets autorisés ; – une modification malicieuse par un sujet authentifié et qui abuse de ses droits (ou qui les a usurpés) ; – prévenir qu’un sujet puisse empêcher la modification d’une information. – La disponibilité est la propriété d’une information ou d’un service à être disponible quand un sujet en a besoin. Pour cela, le système informatique doit fournir l’accès à l’information ou au service afin que les sujets autorisés puissent y accéder. Il doit aussi garantir qu’aucun sujet ne puisse empêcher un sujet autorisé à accéder à l’information ou au service. 2.2 Vulnérabilités des systèmes informatiques Une attaque est l’exploitation d’une faille d’un système informatique (système d’exploitation, logiciel) ou bien même de l’utilisateur à des fins non autorisées par le propriétaire du système et généralement répréhensibles. tel-00239252, version 1 - 5 Feb 2008 Les motivations des attaques peuvent être de différentes sortes : – obtenir un accès au système pour en faire une machine capable d’attaquer d’autres machines (attaque par rebond) ; – voler des informations : secrets industriels, informations personnelles sur un utilisateur, récupérer des données bancaires, s’informer une entreprise, . . . ; – empêcher le bon fonctionnement d’un service. Avant de parler des problèmes de sécurité au sein des applications distribuées, nous allons commencer par nous intéresser aux problèmes de sécurité qui existent sur un seul ordinateur. Un ordinateur est composé d’un ensemble d’éléments matériels et logiciels permettant à une application de pouvoir s’exécuter (figure 2.1). En terme de sécurité, chacun de ces éléments peut être considéré comme le maillon d’une chaîne qui représenterait la sécurité de l’ensemble. La solidité d’une chaîne dépend de la solidité du maillon le plus faible de cette chaîne. Il en est de même pour les ordinateurs. FIG. 2.1 – Divers types d’attaques possibles Un ordinateur peut être attaqué par plusieurs endroits, nous pouvons les classer selon les critères suivants : – Accès physique à la machine. Si un attaquant possède un accès direct sur une machine, il lui est alors virtuellement possible de faire tout ce qu’il veut : récupérer le disque dur, installer de nouvelles cartes d’extension, analyser la mémoire de l’ordinateur à la recherche de clé de chiffrement, modifier le système d’exploitation, les logiciels, . . . . 6
Section 2.2. Vulnérabilités des systèmes informatiques – Ingénierie sociale. L’attaquant obtient un bien ou une information en exploitant la confiance mais également l’ignorance ou la crédulité des utilisateurs ou de tierces personnes. Il s’agira d’exploiter le facteur humain, qui peut être considéré comme le maillon faible de tout système de sécurité. Kevin Mitnick, célèbre notamment pour avoir accédé illégalement aux bases de données des clients de Bell et aux systèmes du Pentagone, de la NASA et de l’US Air Force a théorisé et popularisé cette pratique dans son livre “The Art Of Intrusion : The Real Stories Behind The Exploits Of Hackers, Intruders and Deceivers” [88]. – Accès par le réseau. Lorsqu’une machine est connectée à un réseau, elle doit être considérée comme cible potentielle d’une attaque provenant de n’importe quelles autres machines également connectées à ce réseau, ceci est encore plus vrai lorsque la machine possède un accès à internet. Il faut alors considérer toutes les machines connectés à internet comme des attaquants potentiels. Les moyens et les types d’attaques par le réseau sont nombreux et variés : dénis de service, intrusions, virus, vers et chevaux de Troie, balayage de ports (ports scan), altération des messages de et vers des machines, détournement de session TCP, usurpation d’identité (man in the middle), attaque par rejeu,. . . . tel-00239252, version 1 - 5 Feb 2008 Le processus de sécurisation d’un système informatique consiste essentiellement à trouver et à supprimer toutes les failles d’un système afin de rendre les attaques inopérantes. Notons que si un administrateur doit combler toutes les failles de ces systèmes, l’attaquant lui n’a qu’à trouver une seule faille pour compromettre la sécurité totale d’un système. Vulnérabilités des applications distribuées De manière générale, une application distribuée est composée de plusieurs parties s’exécutant sur plusieurs ordinateurs et échangeant des messages contenant des données pour mener à bien une tâche. Lorsque l’attaquant ne dispose pas d’accès physique à la machine, il est alors obligé d’obtenir des informations via le réseau interconnectant les diverses parties de l’application. Les attaques dont il dispose alors pour parvenir à ses fins (figure 2.2) sont les suivantes : – Interruption : Une partie de l’application distribuée est détruite ou est devenue inaccessible. Il s’agit d’une attaque sur la disponibilité. – Interception : Un tiers non autorisé intercepte des données. Il s’agit d’une attaque sur la confidentialité. – Fabrication : Un tiers non autorisé insère des données contrefaites dans les communications de l’application. Il s’agit d’une attaque sur l’authentification. – Modification : Un tiers non autorisé intercepte des données et les modifie avant des les envoyer au destinataire. Il s’agit d’une attaque sur l’intégrité. Les systèmes à agents mobiles Le paradigme du code mobile [48, 57, 53] est une notion présente depuis le début des années 1990 au sein des systèmes distribués. Un agent mobile est une entité logicielle mobile composée de code, de données et d’un état. Lorsqu’un agent mobile se déplace de machine en machine, il est crucial de s’assurer que l’agent sera exécuté fidèlement et complètement sur chacun des nœuds qu’il visite. Par exemple, dans le cas d’un agent mobile qui visite un certain nombre de sites de commerce électronique afin d’en trouver le meilleur pour un produit donné, nous voulons empêcher les hôtes de l’agent de le modifier de manière à faire apparaître leur offre comme la meilleure. Dans le même ordre d’idée, il faut pouvoir garantir que lors de son transfert d’un hôte vers un autre, l’agent ne sera pas modifié par une entité tierce. Les champs d’application typiques pour ce type de modèle sont, par excellence, l’administration des réseaux [27], la collecte d’informations sur divers sites ou encore le calcul distribué. Il existe de nombreux systèmes à agents mobiles : Ajanta [63, 64], Telescript [115], les Aglets [118, 62], Mobile Agent Plateform (MAP) [100, 99]. La mobilité du code et des données inhérentes 7
Page 1 and 2: THÈSE DE DOCTORAT École doctorale
Page 3 and 4: tel-00239252, version 1 - 5 Feb 200
Page 5 and 6: Table des matières Remerciements x
Page 7 and 8: TABLE DES MATIÈRES 6.3.3 Optimisat
Page 9 and 10: Table des figures tel-00239252, ver
Page 11 and 12: Liste des tableaux 2.1 Niveau de co
Page 13 and 14: Remerciements Mes remerciements von
Page 15 and 16: Chapitre 1 Introduction tel-0023925
Page 17 and 18: Section 1.1. Problématique et obje
Page 19: Chapitre 2 Théories et Modèles Ce
Page 23 and 24: Section 2.3. Le contrôle d’accè
Page 25 and 26: Section 2.4. Introduction à la cry
Page 27 and 28: Section 2.4. Introduction à la cry
Page 29 and 30: Section 2.5. Les infrastuctures à
Page 31 and 32: Section 2.6. Les politiques de séc
Page 33 and 34: Section 2.6. Les politiques de séc
Page 35 and 36: Section 2.7. Programmation Réflexi
Page 37 and 38: Section 2.7. Programmation Réflexi
Page 39 and 40: Section 2.8. Sécurisation du code
Page 41 and 42: Section 2.9. Conclusion ce contexte
Page 43 and 44: Chapitre 3 Étude d’intergiciels
Page 45 and 46: Section 3.2. Open Grid Service Arch
Page 47 and 48: Section 3.2. Open Grid Service Arch
Page 49 and 50: Section 3.3. CORBA // recuperation
Page 51 and 52: Section 3.4. Les Entreprise JavaBea
Page 57 and 58: Section 3.5. La plateforme .NET sé
Page 59 and 60: Section 3.5. La plateforme .NET } L
Page 61 and 62: Section 3.6. Bilan Legion Globus CO
Page 63 and 64: Chapitre 4 Contexte : ProActive tel
Page 65 and 66: Section 4.2. Objets Actifs objet. t
Page 67 and 68: Section 4.3. Sémantique des commun
Page 69 and 70: Section 4.5. Communications de grou
Page 71 and 72:
Section 4.5. Communications de grou
Page 73 and 74:
Section 4.6. Déploiement des appli
Page 75 and 76:
Section 4.6. Déploiement des appli
Page 77 and 78:
Section 4.7. Conclusion Le con
Page 79 and 80:
Chapitre 5 Une architecture de séc
Page 81 and 82:
Section 5.2. Un modèle de sécurit
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Section 5.3. Authentification des e
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Section 5.4. Politiques de sécurit
Page 95 and 96:
Section 5.4. Politiques de sécurit
Page 97 and 98:
Section 5.5. Négociation Dynamique
Page 99 and 100:
Section 5.5. Négociation Dynamique
Page 101 and 102:
Section 5.6. Sécurité induite par
Page 103 and 104:
Page 105 and 106:
Page 107 and 108:
Page 109 and 110:
Section 5.7. Propagation dynamique
Page 111 and 112:
Section 5.8. Exemple du journal int
Page 113 and 114:
Chapitre 6 Implantation dans ProAct
Page 115 and 116:
Section 6.1. Création des entités
Page 117 and 118:
Section 6.2. Interface de programma
Page 119 and 120:
Section 6.3. Migration et sécurit
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Section 6.5. Architecture pair-à-p
Page 127 and 128:
Section 6.5. Architecture pair-à-p
Page 129 and 130:
Section 6.6. Tolérance aux pannes
Page 131 and 132:
Section 6.7. Modèle à composants
Page 133 and 134:
Section 6.7. Modèle à composants
Page 135 and 136:
Section 6.8. Sémantique des commun
Page 137 and 138:
Section 6.9. Conclusion Pour qu’u
Page 139 and 140:
Chapitre 7 Tests et performances 7.
Page 141 and 142:
Section 7.2. Les itérations de Jac
Page 143 and 144:
Section 7.2. Les itérations de Jac
Page 145 and 146:
Chapitre 8 Conclusion Ce chapitre r
Page 147 and 148:
Section 8.2. Perspectives tel-00239
Page 149 and 150:
Section 8.2. Perspectives ouverte ;
Page 151 and 152:
Annexe A Grammaire de la politique
Page 153 and 154:
Bibliographie tel-00239252, version
Page 155 and 156:
BIBLIOGRAPHIE tel-00239252, version
Page 157 and 158:
Page 159 and 160:
show all

these doctorat une architecture de securité

Create successful ePaper yourself

Delete template?

Save as template?