INF4420: Éléments de Sécurité Informatique · INF4420 Sécurité Informatique INF4420 Sécurité Informatique 3 Plan de ce chapitre Objets protégés et méthodes de protection

José M. Fernandez

M-3109340-4711 poste 5433

INF4420: Éléments de Sécurité Informatique

Module II : Sécurité SE et des logiciels

INF4420Sécurité Informatique


2

Module II – AperçuModule II – Aperçu

� Semaine 5 – Sécurité dans les systèmes d'exploitation (SE)� Contrôle d'accès dans les SE

� Authentification dans les SE

� Semaine 6 – Sécurit dans les SE (suite)� Contrôle d'intégrité

� Code malicieux

� Contre-mesures

� Semaine 7 – Sécurité du logiciel� Failles typiques et vulnérabilités

� Techniques d'exploitation

� Contre-mesures

� Semaine 8 – période de relâche

� Semaine 9 –Sécurité des BD et des applications Web

� Semaine 10 – Contrôle périodique (jusqu'à semaine 7)



3

Plan de ce chapitrePlan de ce chapitre

� Objets protégés et méthodes de protection� Contrôle de l'accès aux objets généraux� Protection des fichiers� Protection de la mémoire et de l'adressage� Authentification des usagers



4

Objets et méthodes de protectionObjets et méthodes de protection

� Objets protégés� mémoire� dispositifs E/S, p.ex. les disques� dispositifs réutilisables, p.ex. les imprimantes� programmes et procédures (e.g. les DLL en Windows) partagés� ressources réseaux � données partagées

� Méthodes de protection dans les systèmes d'exploitation� séparation physique� séparation temporelle� séparation logique� séparation cryptographique



5

Niveaux de protectionNiveaux de protection

� Niveaux de protection� Aucune� Isolation� Partage tout ou rien� Partage par contrôle d'accès� Partage par capabilités� Imposition de limites à l'usage

� Granularité� contrôle au niveau du bit, octet, mot, élément, champ, fiche



6

Modèles de contrôle d'accèsModèles de contrôle d'accès

� Objets généraux� mémoire� fichier� programme exécutable� répertoire� un dispositif matériel� structure de données, e.g. pile� tables du système d'exploitation� instructions, surtout instructions

"privilégiées"� mots de passe et mécanismes

d'authentification� le mécanisme de protection lui-

même� Sujets

� Processus� Utilisateurs� Groupe d'utilisateurs� …

� Mode d'accès� Lecture� Écriture� Exécution� Propriété ("ownership")� "Grant" � …

� Matrice de contrôle d'accès� Établi quel mode d'accès les sujets

ont sur quels objets� Objectifs

� vérifier chaque accès, tous les accès

� principe du privilège minimum� vérifier l'usage approprié et

acceptable



7

Problématique du contrôle d'accèsProblématique du contrôle d'accès

� Définition du problème� Complexe� Utilisation de "politique de sécurité" en terme plus abstrait� Traduction des spécifications abstraites en propriétés vérifiables

de bas niveau

� Vérification et réalisation� Vérification bas niveau faite par les mécanismes internes du SE� Vérification de la traduction par méthodes formelles

� Authentification� Est-ce que le sujet S voulant accéder à l'objet O en mode M –en

ayant la permission– est vraimentle sujet S?� Mécanismes d'authentification

• du code• des utilisateurs du systèmes



8

Contrôle d'accès sur Unix/Linux et WindowsContrôle d'accès sur Unix/Linux et Windows

� Unix/Linux� Objets

• "Everything is a file"� Périphériques� Processus� Mémoire

� Sujets• Utilisateurs

� Fichier : /etc/passwd� Fichier : /etc/shadow

• Groupe d'utilisateurs� Fichier : /etc/group

� Mode d'accès• Lecture• Écriture• Exécution

� répertoire• "Ownership"

� Permet d'attribuer/révoquer des droits

� Gestion des droits• chmod, chgrp, chown

� Windows� Objets

• Fichiers• "Shared Pipes"

� Sujets• Utilisateurs• Groupe d'utilisateurs

� Groupe locaux vs. globaux• Base de donnée interne (SAM)

� Mode d'accès• Plus de granularité

� Create� Traverse� …

� Gestion des droits• Interface directe Explorer



9

Philosophie de gestion des accès AGLPPhilosophie de gestion des accès AGLP

� AGLP� Access – Global – Local – Permissions� Terminologie Windows, mais applicable partout

� Éléments � Groupes "Locaux" :

• auxquels sont attribués des Permissions sur des ressources• généralement définis et résidants sur les serveurs où ces ressources se trouvent (d'où le nom)• les membres sont exclusivement des groupes globaux

� Groupe "Globaux"• regroupement des utilisateurs, typiquement selon leur rôles• généralement définis sur des serveurs de domaine globaux (d'où le nom)

� Principes :� On n'attribue pas de permissions aux groupes globaux ni aux utilisateurs� On n'ajoute pas d'utilisateurs dans les groupes locaux� Séparation des responsabilités

• Gestion des usagers : A et G• Politique de sécurité : G et L, et possiblement L et P• Administrateur de système : L et P



10

Protection de la mémoireProtection de la mémoire

� Problème� Éviter que certaines parties de la mémoire soit accédées� Il est difficile pour le SE (machine de registre) de savoir ce qui est

mémoire légitime en run-time

� Mesures de protection possibles:� Registre "frontière"� Registres de base et de limite� Mémoire avec étiquettes ("tags")� Segmentation� Pagination

� Pagination plus segmentation



11

Authentification des usagersAuthentification des usagers

� Par quelque chose qu'il connaît� mot de passe

� phrase de passe

� information personnelle• nom

• date de naissance

• No. d'ass. sociale

• …

� Par quelque chose qu'il possède� carte magnétique

� "dongle"

� carte à puce

� dispositif "Secure ID"

� dispositif ou carte RFID

� Par quelque chose qu'il est (biométrie)� empreintes digitales

� géométrie de la main

� rétine de l'œil

� iris de l'œil

� caractéristiques du visage

� Par quelque chose qu'il fait� signature

� voix

� rythme au clavier



12

Modèle généralModèle général

Conservation en base de données

Saisie de l'information

Extraction unidirectionnelle

Saisie de l'information

Extraction unidirectionnelle

Comparaison

Décisionfaux positif?faux négatif?



13

Mot de passe:Mot de passe:

� Exemple 1WELCOME TO THE XYZ COMPUTING SYSTEMENTER USER'S NAME: gasparINVALID USER NAME: UNKNOWN USERENTER USER'S NAME:

� Exemple 2WELCOME TO THE XYZ COMPUTING SYSTEMENTER USER'S NAME: gasparENTER PASSWORD: ghjfdsINVALID ACCESSENTER USER'S NAME:



14

Attaque sur les mots de passeAttaque sur les mots de passe

� Techniques de base� Capturer et lire le fichier des

mots de passe• surtout s'il n'est pas encrypté

� Recherche exhaustive• l'algorithme d'encryptage

unidirectionnel est connu

� Demander à l'usager• à son insu

� Social engineering

� Supplantation

• avec sa collaboration

� $$$

� "Talents"

� Vulnérabilités de mots de passe� mots de passe probables

• mots de passe courts

• mots du dictionnaire

� mots de passe avec lien à

l'usager• information personnelle

• information familiale

(Problème de base : faible entropie

des choix de mots de passe !!! )

� mauvaise protection des

fichiers de mots de passe

� pas d'authentification du

système



15

Mots de passe – ContremesuresMots de passe – Contremesures

� Algorithme unidirectionnel� Introduire une variation aléatoire pour permettre plus d'une variation

possible ("salt" en Unix)� Utilisation de fonction de hachage cryptographique sécuritaire

� Choix du mot de passe� Utiliser plus que 26 caractères: majuscule, minuscules, chiffres et

symboles spéciaux� Utiliser un mot de passe suffisamment long ("phrase de passe")� Éviter des mots de passe qui sont des mots du dictionnaire(s)

� Politique de gestion de mot de passe� Expiration des mots de passe� Mots de passe à usage unique: Un mot de passe = Un système� Contrôle des mécanismes de mise à zéro ("password reset")� etc.

� MOTS DE PASSE = TALON D'ACHILES !!!



16

Authentification par possession d'un objet unique

Authentification par possession d'un objet unique

� Doit être vraiment unique� Possiblement indépendant

d'une base de données� Doit être difficile/coûteux à

reproduire� Problème de gestion de ces

objets� émission

� contrôle de possession

� perte ou vol

� récupération

� Faiblesses� coût

� possibilité de falsification

� perte ou vol

� Cas particulier� Ré-authentification

� détection de la présence

continue de l'usager

� distinct de l'activité de

l'usager



17

Authentification biométrique statiqueAuthentification biométrique statique

� Empreintes digitales� bonne précision: expérience

policière antérieure� la contrefaçon est possible

� Géométrie de la main� assez précise� contrefaçon?

� Rétine de l'œil� la plus précise des méthodes

biométriques� utilisation d'un laser:

réticence des usagers

� Iris de l'œil� très précise: 266

caractéristiques => 1078

combinaisons� lecture jusqu'à un mètre� n'est pas affecté par l'age , la

maladie incluant la cataracte� Caractéristiques du visage

� se rapproche le plus de la méthode humaine

� le taux de précision reste àaméliorer

� utilisé pour identifier des individus dans des lieux publics



18

Authentification biométrique dynamiqueAuthentification biométrique dynamique

� Signature� tient compte de la dynamique

du geste et non seulement de l'apparence de la signature

� il faut entrainer le système: décision "floue"

� la décision est sous forme d'une probabilité

� Voix� le moins précis de toutes ces

méthodes biométriques� il faut entrainer le système� sensible à l'état de santé de la

personne (laryngite)� contrefaçon facile� très accepté en général

� Rythme au clavier� pas encore très développé

� décision "floue"

� complètement transparent

pour l'usager

� surveillance continuelle tant

que le clavier est utilisé

� non-applicable si une interface

graphique d'usager est utilisée



19

Authentification dans les réseauxAuthentification dans les réseaux

� Problématiques additionnelles� Interception de la session d'authentification� Supplantation du système

� "Replay attacks"� Session hi-jacking� Chess-master attack



20

Système de "challenge-response"Système de "challenge-response"

� La possession d'une information I authentifie l'utilisateur au système� Au lieu de dévoiler I,

1. le système émet un "challenge"

2. L'utilisateur répond au "challenge" avec une réponse, que seul quelqu'un

connaissant l'information I peut calculer

3. Le système vérifie que la réponse est bonne

� Avantages: � Protège contre l'interception

� Désavantages :� Le système doit connaître I

� Vulnérable à l'attaque de supplantation

� Vulnérable à l'attaque de "replay"



21

Preuves à connaissance nullePreuves à connaissance nulle

� "Zero-Knowledge Proofs", en

anglais

� Protocoles permettant à un

démonstrateur P de prouver à un

vérificateur V qu'il connaît quelque

chose ou est capable de réaliser une

tâche, sans que V n'apprenne rien

d'autre que ce fait.

� Sécurité basée sur des problèmes

calculatoire difficiles :� Coloriage de graphe (NP-complet)

� Isomorphisme de graphe (NP)

� Calcul de résidu quadratique

modulo N = p.q (NP)

� Applications en authentification� P détient une information I qui

l'authentifie au système

� V connaît émet un "challenge"

aléatoire, que seul quelqu'un

connaissant I peut résoudre

� V ne connaît pas I

� Avantages� Résout le problème de

supplantation

� Désavantages� Vulnérable au session hi-jacking

et attaque "chessmaster"

� Requiert une capacité de calcul

chez l'utilisateur



22

Architecture d'authentification en réseauxArchitecture d'authentification en réseaux

� Principe d'authentification unique� On veut que l'utilisateur s'authentifie une fois seulement pour tous les

systèmes• Convivialité• Centralisation de la gestion des utilisateurs et accès• Efficacité

� Solutions existantes� Kerberos

• "Tickets" émis par le serveur d'authentification• Durée limitée dans le temps• Accès et utilisation limité

� "Domain trusts" (ou "rhosts")• Relation de confiance entre serveurs/domaines

� Établis par les administrateurs de systèmes� Pas nécessairement bi-directionnelles� Statique et non-dynamique

• Transitivité de la relation de confiance

Documents

INF4420: Éléments de Sécurité Informatique · INF4420 Sécurité Informatique INF4420 Sécurité Informatique 3 Plan de ce chapitre Objets protégés et méthodes de protection