Cours iteam Sécurité La Politique de Sécurité Arnaud Aucher Page 1 08/02/2007
Sommaire Sommaire... 2 Sources... 3 Programme... 3 Sécurité : une question essentielle!... 4 Terminologie... 4 La sécurité des systèmes d information... 4 Le caractère privé... 4 L intégrité des données... 4 La disponibilité... 4 Notion de politique de sécurité d un système d information... 5 Définition... 5 Analyse de risques (Outils n 1)... 5 Fault tree (Outils n 2)... 6 L identification et l authentification... 8 L identification... 8 L authentification... 8 Pourquoi s identifier et s authentifier?... 8 Menaces... 8 Le Contrôle d accès... 9 Terminologie... 9 Préciser le contrôle d accès... 9 Modes d accès... 9 Moyens... 9 Principe du moindre privilège... 9 Avantages des domaines de protection restreint... 10 Mécanismes de contrôle... 10 Accès Hiérarchique... 10 Listes d accès... 10 Les Capacités... 10 Systèmes TAKE / GANT... 11 eprésentation Graphique... 11 Définitions... 11 Problème de sécurité... 11 Arnaud Aucher Page 2 08/02/2007
Sources 1. Notes de Cours Option sécurité Master1 Informatique d Orsay 2. Les protocoles de sécurité d internet, de Stéphane Natkin, éditions Dunod. Programme 1. 08/02/07 : Politique de sécurité, Analyse de risques, Falt Tree, Solutions, Contrôle d accès, 2. 08/03/07 Conférence avec un intervenant extérieur sur le Correspondant auprès de la CNIL, à confirmer! 3. Film sur la vie de Kevin Mitnick : CYBETAQUE : importance du facteur humain : Social Engineering. Comme nous l a encore confirmé dernièrement le directeur de la DST!!! Arnaud Aucher Page 3 08/02/2007
Sécurité : une question essentielle! Pour obtenir plus de sécurité, il faut nécessairement restreindre les accès. Un exemple de politique de sécurité serait de réserver l accès de ma maison à mes seuls amis : 0. Solution (niveau de confiance) 1. Louer des services de gardiennage (implique que je fasse confiance aux gardiens). 2. Placer des serrures sur les portes et fenêtres (implique que je fasse confiance aux serrures). 3. Mettre en place une vidéo surveillance en relation directe avec le poste de police 4. Terminologie La sécurité des systèmes d information Ce terme français couvre deux domaines qui sont distingués en anglais par les termes «safety» et «security». Premier aspect : méthodes et moyens mis en œuvre pour éviter les défaillances naturelles (safety). Un exemple de problème concret est la conception, la réalisation et la validation du système de pilotage automatique du métro Meteor. Ce métro est entièrement piloté par des ordinateurs reliés par réseau entre la rame et le sol. Ces ordinateurs sont chargés de fonctions complexes, allant de la gestion des voyageurs (ouverture et fermeture des portes) jusqu à la conduite du métro proprement dite (courbe de vitesses, anticollision). Une défaillance résultant, soit d un phénomène physique, soit d une erreur de conception (en particulier du logiciel) peut avoir des conséquences catastrophiques. Dans ce cadre, des méthodes complexes d architecture informatiques, de développement formel de logiciel, de validation et de tests ont été mises en œuvre. Le concept de sécurité est alors un des aspects du domaine plus général de la sûreté de fonctionnement des SI qui couvre toutes les méthodes de traitement des fautes et défaillances du logiciel et du matériel. Menace Physique : température, feu, gel, Deuxième aspect : méthodes et moyens mis en œuvre pour se protéger contre les défaillances résultant d une action intentionnelle (security) visant au vol ou au sabotage portant sur des SI. Prenons par exemple, le cas d un organisme financier qui doit, d une part, se protéger contre le vol d argent électronique et, d autre part, assurer la confidentialité de données, comme l état des comptes de ses clients. Menaces humaines : vol, chantage, corruption; ou Menaces logiciels : virus, vers, cheval de Troie, dénis de service, Le caractère privé Faire en sorte que les informations, que je veux garder secrètes, le restent; et que celles que je veux communiquer à certain ne le soit pas par d autres. L intégrité des données Faire en sorte que mes données et programmes ne soient pas remplacés, modifiés ou détruits. La disponibilité Faire en sorte que je rende correctement et sans interruption les services que je suis censé rendre. Arnaud Aucher Page 4 08/02/2007
Notion de politique de sécurité d un système d information Définition La sécurité des systèmes informatiques n est qu une toute petite partie du problème de sécurité des systèmes d information. Il est évident qu un voleur d informations qui a le choix entre acheter quelques poubelles pleines et espionner avec un matériel complexe un réseau, choisira la première solution. Il n est pas nécessaire de crypter des informations si tous les documents traînent en clair sur les bureaux. Il peut être impossible parfois d éliminer ces mêmes documents pour des questions d efficacité ou de sociologie. Il est donc inutile dans ce genre de situation de se poser des problèmes de pare-feu ou de cryptographie tant que n est pas déterminé ce qui doit être protégé et contre quelles attaques cette protection est envisageable. C est l objet d une politique de sécurité de spécifier : Un périmètre d application (Qui, Où, Quand, Quels moyens, ) qui détermine quel système d information est concerné. Les règles définissant les actions autorisées (Droits d accès) ou interdites, réalisées par des hommes (Sujets de la politique) sur des hommes ou des biens matériels ou immatériels (Objets de la politique). La nature et la force des attaquants éventuels. La nature des défaillances auxquelles elle doit être capable de résister. Analyse de risques (Outils n 1) Il s agit d une approche qualitative et quantitative de la sécurité : 1. Identifier l Objet de la politique qui doit être protégé. 2. Evaluer les Sources possibles de risque et placer la confiance. 3. Elaborer les Contre mesures des attaques possibles. Ex : Un aéroport 1. Les avions, le système de réservation, les systèmes d information en général, les personnes, les bagages, les pilotes, l argent, le contrôle aérien, 2. Attardons nous sur l avion et les bagages : a. Avion i. Sabotage ii. Défaut technique iii. Détournement iv. Phénomènes naturels v. Pilote, Incident dans le cockpit b. Bagages i. Perte ii. Vol iii. Dégradation iv. Destruction v. Mauvaise destination 3. Attardons nous sur l avion : a. Sabotage i. estriction d accès ii. Contrôle d accès b. Défaut technique i. Mécaniciens vérification ii. Check-up et tests avant décollage Arnaud Aucher Page 5 08/02/2007
Fault tree (Outils n 2) Il s agit de construire un arbre en suivant la méthode suivante : 1. Commencer en haut par la racine qui représente le système à protéger. 2. épertorier les différentes vulnérabilités du système. 3. Déterminer comment ces vulnérabilités se combinent (Algèbre de Boole). 4. Continuer de raffiner l arbre. 5. S arrêter à une feuille avec une entité en qui on place la confiance. Ex 1 : Echec d un examen Echec d un examen Sujet Correct Sujet Erroné Erreur dans la copie Mauvais Elève Mauvais Prof Erreur d attention Le prof ne t aime pas Elève paresseux Elève trop nul Prof saoul Prof trop nul Ex 2 : Version simplifiée d une intrusion dans un système Intrusion du Système XO Deviner le mot de passe Attaque d une faille P (A) = 0.005 AND Exploitation d une faille de base Machine non mise à jour ou male configurée P (B) = 0.05 P (C) = 0.1 Arnaud Aucher Page 6 08/02/2007
On en déduit la probabilité d une possible intrusion : P (Intrusion) = P (A) XO P (B AND C) = P (A) O P (NOT (A) AND (B AND C)) = P (A) + (1 P (A)) * P (B) * P (C) = 1% Ex 3 : Calcul de risques Victor a acheté 2 machines d identification pour contrôler l accès à une zone réservée aux seules personnes autorisées. La première teste les empreintes digitales et est caractérisée par un taux de fausse acceptation Pfa1 et un taux de faux rejet Pfr1 (sur 100 personnes Pfa1 personnes non autorisées sont faussement reconnues et acceptées et Pfr1 autorisées sont faussement reconnues et rejetées). La seconde machine utilise des photos du visage et a des taux correspondants Pfa2 et Pfr2. Victor n est pas sûr de la manière dont il doit combiner ces machines, mais il pense aux 2 possibilités suivantes : 1. Une personne n est acceptée que si elle est acceptée par les 2 machines. 2. Une personne n est acceptée que si elle est acceptée par l une ou l autre des 2 machines. Calculer les fausses acceptations et de faux rejets dans chacun des cas, en supposant que les 2 critères d identification sont indépendants. Application numérique : Pfa1 = 0.1 ; Pfr1 = 0.2 ; Pfa2 = 0.3 ; Pfr2 = 0.4 Vous ne connaissez pas exactement les conditions précises d utilisation des machines, que conseilleriez-vous à Victor? Solutions : 1 ère question a. Pfa total = Pfa1 * Pfa2 = 0.03 ; aisonnement : A B Pfr total = Pfr1 + Pfr2 Pfr1 * Pfr2 = 0.6 0.08 = 0.52 ; aisonnement : A U B - A B b. Pfa total = Pfa1 + Pfa2 Pfa1 * Pfa2 = 0.4 0.03 = 0.37 ; aisonnement : A U B - A B Pfr total = Pfr1 * Pfr2 = 0.08 ; aisonnement : A B 2 nde question a. Si on privilégie Confort > Sécurité alors choix 2 b. Si on privilégie Sécurité > Confort alors choix 1 Arnaud Aucher Page 7 08/02/2007
L identification et l authentification L identification C est dire qui l on est : le login, le nom d utilisateur. L authentification C est prouver que l on est bien la personne que l on prétend être : le password. La base de l authentification repose sur le fait de faire la preuve que l on possède un secret ou particularité (propriété) que l on est seul à connaître ou posséder. Pourquoi s identifier et s authentifier? Pour réaliser le contrôle d accès. Faciliter les Audits : pouvoir enregistrer les actions de chaque utilisateur, suivre leur parcours. Si il y a correspondance du couple (Login, Password) avec les données stockées par le système alors on autorise les accès. TOCTOU : Time Of Check to Time Of Use, il s agit du problème de l écran de veille protégé par un mot de passe après une période d inactivité de l utilisateur. Menaces Deviner le mot de passe (recherche exhaustive : programme générant tous les password si le système autorise plusieurs cas d erreur, test de passe non limité ; ou recherche intelligente : dictionnaires). Voler ou acheter un mot de passe. NE JAMAIS sous estimer le facteur humain (Social Engineering). Corruption du fichier des passwords. Arnaud Aucher Page 8 08/02/2007
Le Contrôle d accès Terminologie Sujet : entité active, en général un processus. Objet : entité passive, en général une ressource. Modalité d accès : lien entre le Sujet et l Objet. Contrôle d accès : définit quels sont les sujets qui ont le droit d accéder à quels objets et de quelle façon. Droit d accès : Couple formé d un objet et de son mode d accès. Préciser le contrôle d accès Au niveau du sujet : on précise tout ce qu un sujet a le droit de faire : SGBD. Au niveau de l objet : on précise quels sujets ont le droit d accéder à l objet et comment : Système d exploitation. Modes d accès Au niveau le plus élémentaire, un sujet peut soit observer un objet, soit l altérer. Au niveau supérieur on a le modèle Bell-Lapadula : Exécuter Modifier Lire Ecrire Observer X X X Altérer X X Ex : Unix : Exécuter, Lire, Ecrire Windows NT : Exécuter, Lire, Ecrire, Supprimer, Changer les permissions, Changer le propriétaire, Accorder l accès (GANT), évoquer (EVOKE), Décider (ALETE), Dénier (DENY) Moyens Mécanique de protection Hardware : igide Matrice de sécurité : OBJETS File 1 File 2 Segment 1 Processus 1 SUJETS Processus 1 Lire Exécuter Entrer Processus 2 Lire, Ecrire Lire, Ecrire, Exécuter DOITS D ACCES Principe du moindre privilège Un programme ne peut pas endommager un objet auquel il n a pas accès. Un programme est constitué d un ensemble de modules (procédures). Le principe du moindre privilège implique que chaque procédure s exécute dans le domaine le plus réduit possible (uniquement accès aux objets nécessaires). Arnaud Aucher Page 9 08/02/2007
Avantages des domaines de protection restreint Le degré de protection d un système dépend du maillon le plus faible. On a observé que très souvent les systèmes lourds et rigides avaient une porte dérobée. Chaque fois que des mesures lourdes et rigides pénalisent les performances du système, l expérience montre que les utilisateurs débranchent ces mesures. Il est intéressant de distinguer différentes catégories d utilisateurs (Administrateurs, Invités, ). Le changement de domaine de protection rend très facile l établissement de contrôles intermédiaires ou redondants. Certains problèmes ne supportent pas la rigidité : Cheval de Troie. Mécanismes de contrôle Accès Hiérarchique Le plus simple : 2 modes maître et esclave, super utilisateur et utilisateur. Ex : MULTICS 8 2 1 0 8 niveaux sachant que 0 = tout et le niveau (n+1) est inclus dans le niveau n. Chaque anneau est lié à un domaine de protection, la mémoire est segmentée. Chaque segment est associé de manière statique à un anneau. Les descripteurs sont des entiers de 0 à 7 et 3 bits contrôlant la lecture, écriture, exécution, Chaque processus est associé à un domaine de protection à un instant donné. Quand un processus Pi s exécute dans le domaine Di, il ne peut pas accéder à un segment Lj pour j i. Ce mécanisme ne permet pas d implanter le principe de moindre privilège. En effet, le seul moyen de permettre l accès au segment Lj est de changer le numéro de domaine de Pi en i = j. Mais alors Pi peut accéder à tous les segments de Dj. Listes d accès Chaque fois qu un sujet souhaite accéder à un objet, le système explore la liste des modalités d accès de l objet pour voir si le sujet possède ou non les droits. Les Capacités Nom Modalité d Accès @ de l Objet Editeur Exécuter @ Editeur Processus Lire, Exécuter @ Processus File n Lire, Ecrire @ File n Une capacité est un ticket d entrée qui contient l adresse d un objet et une liste de modalités d accès pour celui-ci. La possession d une capacité pour un objet est le seul moyen de pouvoir y accéder. Le domaine de protection d un processus à un instant donné est défini par la liste des capacités qu il possède : C_liste. Changer de domaine de protection revient à changer de C_liste. Arnaud Aucher Page 10 08/02/2007
Systèmes TAKE / GANT eprésentation Graphique Sujet Objet Définitions Si P a un droit TAKE sur Q, alors P peut prendre et utiliser un droit possédé par Q. Si P a un droit GANT sur Q, alors P peut donner (transmettre) un droit qu il possède à Q. Si P crée ou possède un fichier F, alors il peut GANT ses droits sur F à un autre processus Q. Si P contrôle un processus Q, alors il peut TAKE les droits de Q pour lui-même. T : on peut remonter le droit selon la flèche. G : on peut descendre le droit selon la flèche. T pour TAKE G pour GANT Problème de sécurité Un processus Q peut-il obtenir un droit d accès pour l objet O? Exemple 1 Montrer que dans les 2 cas suivants, p peut obtenir le droit r pour x : P a un droit G pour S et S a un droit pour X. S a un droit T pour P et un droit pour X. OWN Z G, T P S X G X S P Q T OWN T, G Arnaud Aucher Page 11 08/02/2007
Exemple 2 P a un droit T pour U, qui a un droit T pour V, S a un droit pour X et un droit T pour W, qui a un droit G pour V. Montrer que le droit pour X peut être transféré à chaque membre. T T G T P U V W S X OWN Z G, T Arnaud Aucher Page 12 08/02/2007