Le contrôle d’accès · Modèle basé sur les matrices d’accès Modélise des relations...
Transcript of Le contrôle d’accès · Modèle basé sur les matrices d’accès Modélise des relations...
22/11/2016 http://www.lrsi.uqo.ca 1
Le contrôle d’accès
Prof. Kamel Adi, ing. Ph. D.
Directeur du Laboratoire de Recherche en Sécurité Informatique (LRSI)
Université du Québec en Outaouais
http://lrsi.uqo.ca
Définition du Contrôle d’Accès (CA)
Terme générique désignant tout processus qui permet à un système informatique de contrôler l’accès à ses ressources.
Permet d’implémenter une politique de sécurité exprimée en termes :
Exigences organisationnelles
Exigences technique
Exigences légales, etc.
Éléments d’un système de CA
Sujet
Entité active dans le système informatique
Utilisateur, processus, etc.
Object
Entité passive ou ressource dans le système informatique
Fichier, répertoire, serveur, etc.
Action
Représente l’interaction entre
le sujet et l’objet : lire, écrire,
exécuter, etc.
22/11/2016 http://www.lrsi.uqo.ca 3
Étapes pour accéder à une ressource
22/11/2016 http://www.lrsi.uqo.ca 4
Source : CIISP
Schéma général d’un système de CA
22/11/2016 http://www.lrsi.uqo.ca 5
Utilisateur
Policy Enforcement Point (PEP)
Ressources à protéger
Policy Decision
Point (PDP)
Politique de sécurité
Requête réponse
Modèle basé sur les matrices d’accès
Modélise des relations statiques directes entre sujet-action-objet
Modèle de Lampson (1971)
Les lignes sont indexés par les sujets
Les colonnes sont indexés par les objets
Les entrée représentent un ensemble d’opérations de contrôle d’accès.
22/11/2016 http://www.lrsi.uqo.ca 6
rapport.doc
x
Statistiques
(rep)
*.txt
Kamel {r,w} {r,w,x} {r,w}
Julie {r,x} {r}
Objet
Sujet
Modèle basé sur les matrices d’accès
Une requête est un triplet (s, o, a) où s est un sujet, o est un objet et a est une action.
Une requête est accordée par le PEP si a est une entrée de la matrice correspondant à l’index (s, o)
Exemple :
La requête (Kamel, rapport.doc, r) sera accordée
La requête (Julie, f.txt, w) sera reffusée
22/11/2016 http://www.lrsi.uqo.ca 7
Modèle basé sur les matrices d’accès
Une vue ressources (colonne) de la matrice d’accès : ACL
Souvent utilisé pour implémenter une matrice d’accès
Associe à chaque ressource une liste des sujets avec leurs droits d’accès
Une vue sujet (ligne) de la matrice d’accès : Capacités
Associe à chaque sujet ces capacités d’accès au système
22/11/2016 http://www.lrsi.uqo.ca 8
Domaines d’exécution
Un domaines d’exécution permet de déterminer ce qu’un utilisateur peut faire quand il se trouve dans un domaine particulier.
L’impression de O4 peut être effectuée dans domaine D2 ou D3, mais
pas dans D1
Changement de domaines d’exécution
À chaque moment un utilisateur se trouve dans un domaine d’exécution.
Un utilisateur peut passer d’un domaine à un autre. Dans ce cas ses privilèges changent.
Exemple de matrice d’accès avec domaine
capacités du dom. D2
capacités sur le fichier F2
Le principe de Need-to-know
Si vous avez besoin de savoir, je vais vous le dire. Si vous n'avez pas besoin de savoir, laissez-moi tranquille.
Le principe de la nécessité de connaître est similaire au principe de moindre privilège.
Il est basé sur l'idée que les utilisateurs ne doivent avoir accès qu'aux informations dont ils ont absolument besoin pour effectuer leurs tâches.
Donner plus de droits à un utilisateur augmente uniquement la possibilité d'abus
22/11/2016 http://www.lrsi.uqo.ca 12
Modèle DAC (Discretionary Access Control)
Restreindre l’accès aux objets en se basant sur l’identité et le besoin de connaitre “need-to-know” des utilisateurs
Notion de propriétaires d’objets.
Le modèle est dit discrétionnaire dans le sens où l’octrois de privilèges est laissé à la discrétion des propriétaires d’objets.
22/11/2016 http://www.lrsi.uqo.ca 13
Exemple
22/11/2016 http://www.lrsi.uqo.ca 14
Fichier 1 Fichier 2 Fichier 3
Imprimante
John
Own
R, W
Own
R, W
Alice
R
Own
R, W
W
imprimer
Bob
R, W
R
Own
imprimer
Bob contrôle l’accès à l’imprimante il a autorisé Alice à imprimer mais pas John.
MAC : Mandatory Access Control
Les décisions de protection ne doivent pas être prises par le propriétaire des objets concernés, et doivent lui être imposées par le système (administrateur).
L’administrateur, détermine qui peut avoir accès à quelles informations et pour en faire quoi
Accès aux informations selon les qualifications (credentials) de l’usager qui cherche à réaliser l’accès
22/11/2016 http://www.lrsi.uqo.ca 15
Modèle Bell-La Padula
Les Objets sont classifiés en catégories de secrets
Exemple : Public, Secret, Très Secret
Les Sujets sont classifiés en catégories d’habilitation (clearance) par rapport aux données auxquelles ils peuvent avoir accès
Exemple : Public, Classifié, Secret, Très Secret
Modèle Bell-La Padula : propriétés
Propriété simple : ne pas lire en haut, « no read up »
Cette propriété interdit à un sujet d’accéder en lecture à un objet qui a une classification plus élevée que son habilitation
22/11/2016 http://www.lrsi.uqo.ca 17
Modèle Bell-La Padula : propriétés
Propriété étoile : ne pas écrire en bas, « no write down »
Interdit à un sujet d’accéder en écriture à un objet qui a une classification moins élevée que son habilitation.
22/11/2016 http://www.lrsi.uqo.ca 18
Exemple 1 : application militaire
• Un simple soldat ne peut
pas connaître (lire) ce que le
général sait
• Mais il peut l’informer
(écrire)
•Le général ne divulgue pas
les informations stratégique
à ses subordonnées
• No read up, no write down
Exemple 2 : Intel x86
Définie une architecture à 4 anneaux
Chaque segment de mémoire d’un processus est affecté à un anneau
Chaque processus est affecté à un anneau
Quand un proc. se trouve dans un anneau n, il peut
accéder librement aux segments de mémoire dans l’anneau n, ou anneaux extérieurs
il ne peut pas accéder aux segments dans les anneaux intérieurs
22/11/2016 http://www.lrsi.uqo.ca 20
Modèle Biba (Kenneth J. Biba 77)
Modèle à sécurité multi-niveaux
Assure l’intégrité des données
Permet d’éviter l’altération des données par des données contaminés
Exemple :
Système d’information médicale : une infirmière peut lire les informations médicales sur un patient mais seul un médecin peut les changer
22/11/2016 http://www.lrsi.uqo.ca 21
Modèle Biba : propriétés
Propriété simple : ne pas lire en bas, « no read down »
Cette propriété interdit à un sujet d’accéder en lecture à un objet qui a une classification moins élevée que son habilitation
22/11/2016 http://www.lrsi.uqo.ca 22
Modèle Biba : propriétés
Propriété étoile : ne pas écrire en haut, « no write up »
Interdit à un sujet d’accéder en écriture à un objet qui a une classification plus élevée que son habilitation.
22/11/2016 http://www.lrsi.uqo.ca 23
Exemple
Un cadre qui a l’habilitation « Confidentiel » peut lire les directives du directeur qui a la classification « Top Secret », mais pas celles en provenance des employés qui ont l’habilitation « non classé ».
Si la propriété simple n'était pas respectée, cela
signifierait que le directeur pourrait lire et exécuter une directive d’un de ses subordonnés (par exemple, augmenter les salaires)
Un cadre peut écrire une liste de directives pour ses employés, mais pas pour son directeur situé à un niveau hiérarchique supérieur. Ainsi, le directeur ne peut pas recevoir des fausses directives en provenance des sujets ayant des habilitations inférieures à la sienne.
22/11/2016 http://www.lrsi.uqo.ca 24
Permet de réduire les conflits d'intérêts dans des organisations
Assure la propriété de confidentialité
Un conflit d’intérêts survient lorsqu’un sujet a accès aux informations confidentielles de deux organisations en compétition permettant ainsi une fuite d’information d’une organisation vers une autre
22/11/2016 http://www.lrsi.uqo.ca 25
Modèle de la muraille de Chine (Brewer, Nash)
Modèle de la muraille de Chine
Éléments du modèle :
Objet : ressource appartenant à une organisation.
Organisation : entité disposant de plusieurs objets utilisés dans le cadre de ses processus d’affaire
Classe de conflits d’intérêts : regroupe des organisations qui sont en
concurrence
22/11/2016 http://www.lrsi.uqo.ca 26
Exemple
22/11/2016 http://www.lrsi.uqo.ca 27
Modèle de muraille de Chine : propriétés
Propriété simple : l’utilisateur ne peut pas accéder en lecture à deux objets appartenant à deux organisations qui sont dans la même classe de conflit d’intérêt
Exemple : un sujet S qui accède en lecture à l’objet inf1 de Banque1 n’a plus le droit d’accéder en lecture à l’objet inf4 de Banque2.
22/11/2016 http://www.lrsi.uqo.ca 28
Modèle de la muraille de Chine
Propriété étoile : interdire l’accès en écriture à un sujet sur un objet si le sujet a déjà accédé en lecture à un objet d’une autre organisation en classe de conflit.
Exemple : un sujet S qui accède en lecture à l’objet inf1 de Banque1 n’a plus le droit d’accéder en écriture à l’objet inf4 de Banque2.
22/11/2016 http://www.lrsi.uqo.ca 29
Modèle RBAC (Sandhu 1993, NIST 2004)
RBAC = Role Based Access Control
Modèle non discrétionnaire
Reflète les structures organisationnelle (entreprises, administrations, etc.)
Entités de base :
Rôle : sujet générique
Permission : action sur un objet
Fonction assignation : utilisateur → role
Fonction d’activation : rôle x condition → Booléen
Session : Utilisateur → Booléen
22/11/2016 http://www.lrsi.uqo.ca 30
Modèle RBAC
Un utilisateur peut exécuter une action sur un
objet seulement s’il est assigné à un rôle qui
détient ce privilège
Exemple :
Médecin : rôle
Privilège : modifier les dossier médicaux des
patients
Michel est un médecin
Le rôle est actif de 8h00 à 16h00
Michel est dans une session valide quand il est à
son cabiné médical
22/11/2016 http://www.lrsi.uqo.ca 31
Modèle RBAC
22/11/2016 http://www.lrsi.uqo.ca 32
Sujets Rôles
Permissions
Actions Objets
Contextes
Ass
igna
tion
de
suje
ts
Ass
igna
tion
de
perm
issi
ons
activ
atio
n
sess
ion
Hierarchie De roles
Role-Based AC
Sujet Roles Resources
Role 1
Role 2
Role 3
Server 1
Server 3
Server 2
Les utilisateurs changent fréquement mais pas les rôles
RBAC : hiérarchie des rôles
Permet de structurer les rôles pour refléter la hiérarchie organisationnelle en termes d’autorité et de responsabilité
22/11/2016 http://www.lrsi.uqo.ca 34
Ingénieur de Production 1
Responsable projet 1
Ingénieur Qualité 1
Directeur
Ingénieur de Production 2
Responsable projet 2
Ingénieur Qualité 2
Ingénieur de production
Responsable de projet
Ingénieur qualité
Directeur
Modèle RBAC
Autres éléments de RBAC
Délégation de rôles : renforce la continuité de service.
Séparation de fonctions (separation of duties): renforce les politiques d’absence de conflit d’intérêt en empêchant un utilisateur d’abuser de sa position.
Exemple: Celui qui approuve un cheque ne peut pas être celui qui le signe.
22/11/2016 http://www.lrsi.uqo.ca 35