MODESTE. Modélisation pour la sécurité : test et raffinement en vue d un processus de certification IMAG. MODESTE p.1/12

Transcription

1 MODESTE p.1/12 MODESTE Modélisation pour la sécurité : test et raffinement en vue d un processus de certification Marie-Laure Potet (LSR) Marie-Laure.Potet@imag.fr Yassine Lakhnech (Verimag) Yassine.Lakhnech@imag.fr IMAG

2 MODESTE p.2/12 Contexte du projet Sécurité informatique : un besoin qui s accentue avec les nouvelles technologies. Trois niveaux d abstraction : Propriétés de haut niveau Confidentialité : secret, anonymat. Intégrité : authenticité des données, des identités,... Disponibilité : déni de service (denial of service), survavibilité,... Politiques de sécurité : règles à suivre pour garantir les propriétés de sécurité. Implantation à l aide de mécanismes systèmes (sand box) ou logiciel (protocoles cryptographiques)

3 MODESTE p.3/12 Objectifs de MODESTE Développer un cadre formel pour : la modélisation des politiques de sécurité le raffinement de politiques de sécurité la vérification de la conformité d une implantation vis-à-vis d une politique de sécurité le test d une politique de sécurité la prise en compte d une politique de sécurité dans le raffinement fonctionnel Cadre formel : langages de description avec une sémantique bien définie, des systèmes de preuve et des algorithmes pour la vérification, le raffinement et le test.

4 MODESTE p.4/12 Les défis (1) Les propriétés de sécurité ne sont pas encore assez bien maîtrisées : que signifie l anonymat, la non-répudiation, l opacité, la fairness? C est un sujet de recherche actuellement ouvert. Les propriétés et politiques de sécurité mettent en jeu des aspects observationnels particuliers (flux de données, contrôle d accès, identité,... ). La difficulté est de proposer des formalisations intégrant ces aspects observationnels, et adaptables. L utilisation de modèles de politique de sécurité pour la génération de tests est un thème émergent. La difficulté est d exhiber des relations de conformité captant les particularités du test de sécurité, comme ceci a été fait dans le cas des tests de protocoles de communication.

5 MODESTE p.5/12 Les défis (2) Les critères d observation propres aux politiques de sécurité nécessitent de définir une relation de raffinement adaptée. Le principe de substitution du raffinement fonctionnel est trop faible. Dans le cas du développement de systèmes sûrs de fonctionnement les propriétés sont préservées par raffinement. Ce n est plus le cas pour les propriétés de sécurité. Il est nécessaire de contraindre les relations de raffinement afin de garantir le raffinement du comportement fonctionnel tout en préservant les propriétés de sécurité.

6 MODESTE p.6/12 MODESTE Security Policies Model 1 Vérification Functional Specification Raffinement Raffinement Vérification High Level Design Raffinement Security Policies Model n Vérification Raffinement Low Level Design L étude des politiques de sécurité dans une approche globale de conception/vérification d une application est l originalité du projet MODESTE.

7 MODESTE p.7/12 Fourniture 1 Approche pour la description de politiques de sécurité. Echéance : T0+12 Resp. : Y. Lakhnech et M.-L. Potet Eff. : 18 h m permanents + 18 h m non permanents Res. : 10 mois de vacations, 4 Keuros de mission Notion formelle de politique de sécurité Notion de conformité vis-à-vis d une politique de sécurité Résultat escompté: Un modèle opérationnel de politique de sécurité Des techniques de vérification

8 MODESTE p.8/12 Fourniture 2 Raffinement pour les propriétés de sécurité Echéance : T+3-T+9 Resp. : M.-L. Potet et Y. Lakhnech Eff. : 10 h m permanents + 12 h m non permanents Res. : 10 mois de vacations, 4 Keuros de mission une théorie de raffinement qui préserve à la fois le comportement fonctionnel et les propriétés de sécurité. des méthodes de preuve qui permettent de montrer qu une politique de sécurité Π 1 raffine une autre politique Π 2. des méthodes algorithmiques ou au moins semi-algorithmiques.

9 MODESTE p.9/12 Fourniture 3 Tests en conformité des aspects sécurité Echéance : T+3-T+12 Resp. : R. Groz et J.-C. fernandez Eff. : 12 h m permanents + 20 h m non permanents Res. : 10 mois de vacations, 4 Keuros de mission des notions de conformité de test adaptées à la vérification de propriétés de sécurité (oracle et génération de test). Notion d objectif de test Algorithmes de sélection de cas de test

10 MODESTE p.10/12 Fourniture 4 Etudes de cas et méthodologie Echéance : T+9-T+24 Collaboration externe : CESTI-LETI, Trusted Logic, SchlumbergerCP8 et France Telecom Resp. : S. Boulmé et M. Perin Eff. : 12 h m permanents + 20 h m non permanents Res. : 10 mois de vacations, 4 Keuros de mission Validation du cadre formel et des outils par des études de cas: Porte monnaie électronique (ACI-GECCOO) gestion mémoire carte à puce (RNTL-EDEN) Etude de cas France Telecom Etude de cas IMAG

11 MODESTE p.11/12 Fourniture 5 Animation sur le thème sécurité Collaboration externe : ACI Sécurité Informatique Resp. : M.-L. Potet et Y. Lakhnech Eff. : 0 Res. : 5 K euros Ecole de printemps sur la sécurité en connection avec l ACI Sécurité Informatique Journées de travail et de discussion au sein de l IMAG sur le thème sécurité (e.g., Sarde, INRIA, CESTI) Proposition d un cursus ingénieur sécurité Aspects réseaux et systèmes Aspects modélisation pour les systèmes d information

12 MODESTE p.12/12 Plan de la réunion L approche EDEN pour la certification Critères communs Le test en conformité Stagiaires et sujets de stage Questions/informations diverses Discussion sur la tache 1 et l outillage Rappel : lakhnech/modeste/