Jean-Claude Laprie ACI Sécurité et Informatique - Toulouse, novembre 2004

Transcription

1 Sûreté de fonctionnement informatique : concepts, défis, directions Jean-Claude Laprie ACI Sécurité et Informatique - Toulouse, novembre 2004

2 Concepts Défis A. Avizienis, J.C. Laprie, B. Randell, C. Landwehr: Basic Concepts and Taxonomy of Dependable and Secure Computing, IEEE Trans. on Dependable and Secure Computing, vol. 1, no. 1, Jan-March 2004, pp A partir de données statistiques Directions Pour une informatique omniprésente effective et acceptée

3 Sûreté de fonctionnement : aptitude à délivrer un service de confiance justifiée Service délivré par un système : son comportement tel que perçu par son, ou ses utilisateurs Utilisateur : autre système en interaction avec le système considéré Fonction d un système : ce à quoi le système est destiné, décrite par la spécification fonctionnelle Service correct : le service délivré accomplit la fonction du système Défaillance (du service) : événement qui survient lorsque le service délivré dévie du service correct, soit parce qu il n est plus conforme à la spécification, soit parce que la spécification ne décrit pas de manière adéquate la fonction du système Erreur : partie de l état susceptible d entraîner une défaillance Faute : cause adjugée ou supposée d une erreur Modes de défaillance : manières selon lesquelles un système peut défaillir, classées selon leur gravité Sûreté de fonctionnement : aptitude à éviter des défaillances du service plus fréquentes ou plus graves qu acceptable Défaillances du service plus fréquentes ou plus graves qu acceptable: défaillances de la sûreté de fonctionnement

4 Sûreté de Fonctionnement Prêt à l utilisation Continuité du service Absence de conséquences catastrophiques pour l environnement Absence de divulgations non-autorisées de l information Absence d altérations inappropriées du système Aptitude aux réparations et aux évolutions Disponibilité Fiabilité Sécurité Confidentialité Intégrité Maintenabilité (-innocuité) Actions autorisées Sécurité (-immunité) Absence d accès ou de manipulations non-autorisés de l état du système

5 Conséquences Activation Propagation Conséquences Défaillances Fautes Erreurs Défaillances Fautes Disponibilité Fiabilité Sécurité Confidentialité Intégrité Maintenabilité (-innocuité) Prévention des fautes Tolérance aux fautes Elimination des fautes Prévision des fautes

6 Attributs Disponibilité Fiabilité Sécurité-innocuité Confidentialité Intégrité Maintenabilité Sécuritéimmunité Sûreté de fonctionnement Moyens Entraves Prévention de fautes Tolérance aux fautes Elimination des fautes Prévision des fautes Fautes Erreurs Défaillances

7 Défaillances Fautes Erreurs Défaillances Fautes Phase de création ou d occurrence Frontières système Dimension Cause phénoménologique Intention Capacité Persistance Fautes de développement Fautes opérationnelles Fautes internes Fautes externes Fautes matérielles Fautes logicielles Fautes naturelles Fautes dues à l homme Fautes non malveillantes Fautes malveillantes Fautes accidentelles Fautes délibérées Fautes d incompétence Fautes permanentes Fautes temporaires

8 Fautes Phase de création ou d occurrence De développement Opérationnelles Frontières système Internes Internes Externes Dimension Logicielles Matérielles Matérielles Matérielles Logicielles Cause Dues à phénoménologique l homme Dues à l homme Nat Nat Nat Dues à l homme Dues à l homme Intention Non mal Mal Mal Non mal Non mal Non mal Non mal Non malveillantes Mal Mal Non malveillantes Capacité Acc Dél Inc Dél Dél Acc Dél Inc Acc Acc Acc Acc Dél Inc Dél Dél Acc Dél Inc Persistance Per Per Per Per Per Per Per Per Per Per Tem Per Tem Tem Tem Per Tem Per Tem Tem Per Tem Tem Per Tem Bugs logicielles Bombes logiques Errata mat Défauts Prod Dégr phys Agressions physiques Tentat. intrusion V V Erreurs d entrée Fautes de développement Fautes physiques Fautes d interaction

9 Fautes dues à l homme Intention Non malveillantes Malveillantes Capacité Accidentelles (erreurs) Délibérées (décisions malheureuses) D incompétence Délibérées Interaction (opérateurs, équipes de maintenance) et Développement (concepteurs, réalisateurs) Individus & organisations Décision par jugement professionnel indépendant, par commission d enquête ou par action juridique devant tribunal Logiques malignes : bombes logiques, chevaux de Troie, portes dérobées, canaux cachés virus, vers, zombies Tentatives d intrusion, y compris dénis de service

10 Défaillances Fautes Erreurs Défaillances Fautes Domaine Détectabilité Cohérence Conséquences Défaillances en valeur Défaillances temporelles retard Défaillances temporelles avance Défaillances par arrêt Défaillances erratiques Défaillances signalées Défaillances non signalées Défaillances cohérentes Défaillances incohérentes Défaillances mineures Défaillances catastrophiques

11 Défaillances Fautes Erreurs Défaillances Fautes Activation ou occurrence Propagation Conséquences (interaction, composition) Commodité pour arrêt récursion de causalité Dépend du contexte Fautes d interaction Présence antérieure vulnérabilité : faute interne (y compris omission) qui permet à faute externe de causer des dommages Fautes solides Reproductibilité activation Fautes furtives Fautes furtives et Fautes temporaires (internes, externes) Fautes intermittentes Erreur altère service (perçue par utilisateur(s))

12 A Gravité B C D Défaillances de la sûreté de fonctionnement Défaillances du service Temps Fenêtre glissante B C Indisponibilité / Dommages (cumulé) Fautes de développement (y compris spécifications et omissions) Fautes d interaction (y compris attaques, configuration, administration, maintenance)

13 Définitions de la sûreté de fonctionnement Définition initiale : aptitude à délivrer un service de confiance justifiée Accent mis sur confiance et sa justification Permet la généralisation de disponibilité, fiabilité, sécurité-innocuité, confidentialité, intégrité, maintenabilité, qui sont alors des attributs de la sûreté de fonctionnement Définition alternative : aptitude à éviter des défaillances du service plus fréquentes ou plus graves qu acceptable Un système peut défaillir, et généralement le fait. Encore sûr de fonctionnement? N est plus sûr de fonctionnement? Critère pour décider si, en dépit de défaillances du service, un système peut encore être considéré comme sûr de fonctonnement Attributs secondaires Robustesse Responsabilité, authenticité, non-réfutabilité Dépendance et confiance Dépendance d un système d un autre système est l influence, réelle ou potentielle, de la sûreté de fonctionnement de ce dernier sur la sûreté de fonctionnement du système considéré Confiance : dépendance acceptée (explicitement ou implicitement)

14 Sûreté de fonctionnement [Dependability] Systèmes de haute confiance [High Confidence Systems] Survivabilité [Survivability] Systèmes dignes de confiance [Trustworthiness] Définition 1) Aptitude à délivrer un service de confiance justifiée 2) Aptitude à éviter des défaillances du service plus fréquentes ou plus graves qu acceptable Les conséquences du comportement du système sont bien comprises et sont prévisibles Capacité d un système à remplir sa mission de manière opportune Assurance qu un système fonctionnera comme attendu Entraves 1) Fautes de développement (par exemple, failles logicielles, errata matériels, logiques malignes) 2) Fautes physiques (par exemple, défauts de production, dégradations physiques) 3) Fautes d interaction (par exemple, agressions physiques, erreurs d entrée, virus et vers, tentatives d intrusion) Menaces internes et externes Dangers naturels, et attaques malveillantes d adversaires évolués et disposant de fonds appropriés 1) Attaques (par exemple, intrusions, sondes, dénis de service) 2) Défaillances (événements générés de façon interne dus, par exemple, à des erreurs de conception de logiciels, à la dégradation du matériel, à des erreurs humaines, à des données corrompues) 3) Accidents (événements générés de façon externe, tels que désastres naturels) 1) Attaques hostiles (de pirates informatiques ou d initiés) 2) Dysfonctionnements environnementaux (accidentels, dus à l homme ou naturels) 3) Erreurs humaines (par exemple, défauts logiciels, erreurs d opérateurs)

15 Attributs Disponibilité / Fiabilité Sécurité-innocuité Confidentialité Intégrité Maintenabilité Prévention des fautes Tolérance aux fautes Détection d erreur Rétablissement du système Traitement d erreur Traitement de faute Sûreté de fonctionnement Moyens Elimination des fautes En développement En vie opérationnelle Vérification statique Vérification Vérification dynamique Diagnostic Correction Vérification de non-régression Maintenance curative ou préventive Prévision des fautes Evaluation ordinale ou qualitative Evaluation probabiliste ou quantitative Modélisation Tests opérationnels Entraves Fautes Erreurs Défaillances De développement Physiques D interaction

16 Juin 1980 : Fausses alertes à des attaques massives de fusées soviétiques au NORAD Août : Le "Wily hacker" pénètre des dizaines de centres informatiques sensibles 15 Janvier 1990 : Indisponibilité totale du téléphone interurbain aux Etats-Unis, pendant 9h Février 1991 : Scud raté par un Patriot à Dhahran Novembre 1992 : Ecroulement des communications du service d'ambulances de Londres 4 Juin 1996 : Défaillance du vol 501 d'ariane 5 Confidentialité Sécurité-innocuité 17 Juillet 1997: Mélange des adresses du domaine internet.com Disponibilité/Fiabilité Distribuées Juin Janvier 1987 : Doses excessives de radiothérapie (Therac-25) 26 et 27 Juin 1993 : Refus des cartes de crédit dans les distributeurs de monnaie en France Défail. Localisées Interaction Développement Physiques Fautes 13 Avril 1998 : Ecroulement réseau de données d'at&t Février 2000 : Engorgement de grands portails Web Mai 2000 : Virus "I love you" Juillet 2001 : Ver "Code Red" Août 2003 : Propagation de panne électrique dans le Nord-Est des USA et le Canada

17 Fautes non malveillantes Nombre de défaillances en fonction classes fautes [conséquences et durée de panne largement dépendantes de l application] Systèmes cœur (par ex., traitements transactionnels, commutation électronique, serveurs Internet dorsaux) Systèmes contrôlés (par ex., avions commerciaux, réseau téléphonique, serveurs Internet frontaux) Fautes Rang Proportion Rang Proportion Physiques internes 3 ~ 10% % Physiques externes 3 ~ 10% % Interactions humaines * 2 ~ 30% % Développement 1 ~ 50% % * Recherche des causes premières montre qu elles peuvent être souvent attribuées à des fautes de développement

18 % % Telephonie fixe Disponibilié 99.99% 99.9% 99% Systèmes informatiques Internet Téléphone mobile 9% D après J. Gray, Dependability in the Internet era Complexité Pression économique «faster, cheaper, badder» Disponibilité 0, , ,9999 0,999 0,99 0,9 Durée indisponibilité/an s 5mn 15s 52mn 34s 8h 46mn 3j 16h 36j 12h

19 Durée moyenne d'indisponibilité (Minutes / an / système) Autocommutateurs AT&T 3A 3B 1A Années depuis mise en service Tandem Computers Nombre Durée (ans) Clients Systèmes Processeurs Disques Indisponibilités rapportées 438 MTBF Système 21 ans MTBF (ans) Maintenance 350 Environnement 300 Matériel Exploitation Logiciel Total

20 NetCraft Statistiques temps fonctionnement sites Web Sources de défaillance sites Web (3 sites, 6 mois, serveurs/sites) 1800 Temps fonctionnement (h) Moy 1000 Max Moy Moy Nombre requêtes Erreurs opérateurs 51% Matériel 15% Logiciel 34% D après D. Patterson, A. Brown, A. Fox, Recovery-oriented computing

21 Malveillances : statistiques du SEI/CERT Vulnérabilités rapportées Incidents rapportés

22 Enquête annuelle sur les dommages informatiques en France CLUSIF (2000, 2001, 2002) Occurrences Attaques sur l' image Divulgations, fraudes, extorsions Attaques logiques ciblées Malveillances 29% 100% 80% 60% 40% 20% 0% Vols Déf. int. Sabotage physique Impact des occurrences Perte serv. ess. Causes accidentelles 71% Défaillances internes Evén. nat. 25,0% 20,0% 15,0% 10,0% 5,0% 0 Err. utilis. Causes accidentelles Err. conc. Perte de services essentiels Infec. virus Evénements naturels Accidents physiques Erreurs d'utilisation Erreurs de Infections conception par virus Vols Malveillances Faible Moyen Fort Sabotage physique Vols Attaques sur l' image Divulgations, fraudes, extorsions Attaques logiques ciblées Malveillances 71% Perception des risques Causes accidentelles 29% Défaillances internes 30,0% 20,0% 10,0% Perte de services essentiels Erreurs de Infections conception par virus Tendances sur 3 ans stable accroissement diminution Evénements naturels Accidents physiques Erreurs d'utilisation

23 Global Information Security Survey 2003 Ernst & Young Hardware failures Telecommunications failures Software failure Viruses and worms Third party failure Operational errors Infrastructure failure System capacity failure DDOS attack Employee misconduct Natural disaster Inadvertent act of bus. partner(s) Malicious technical acts Former employee misconduct Business partner misconduct 0% 5% 10% 15% 20% Accidental faults 81% Malicious faults 19%

24 Haute sûreté de fonctionement pour systèmes critiques ou -cœur Avionique, signalisation ferroviaire, commandecontrôle nucléaire, etc. Traitements transactionnels, serveurs dorsaux, etc. Extension d échelle de la sûreté de fonctionnement? Croissance continue de la complexité (applications web, réseaux de systèmes enfouis ; fixes ou mobiles) Complément de la prévention et de l élimination des fautes : généralisation de la tolérance aux fautes Fautes physiques Fautes logicielles Intrusions Vulnérabilités [certaines inévitables pour utilisabilité] Erreurs d interaction homme-système [administration, configuration, maintenance]

25 Tolérance aux fautes Fautes physiques Rajeunissement Restauration d état Fautes intermittentes Fautes logicielles Fail-fast & reconfiguration Détection d erreur Empaquetage Intrusions Dissémination information Diversité plates-formes Rétablissement après intrusion Erreurs d interaction homme-système Automatisation ( autonomic computing ) Paradoxes de l automatisation Evaluation de la tolérance aux fautes Démonstration couverture, par analyse (y compris formelle) et par expérimentations contrôlées (injection de fautes représentatives) Politiques et modèles de développement de la tolérance aux fautes Systèmes techniques Systèmes socio-techniques

26 D après N. Bowen, Software avaiability in an on demand world

27 intégrat ion inévitabilité des fautes Complexité mal maîtrisée nno effet d ento ir Robustesse naturelle décroissante i nterconnexion dépenda nce Substituts à l informatique s amenuisent p erfo rm ance