Le contrôle d’accès · Modèle basé sur les matrices d’accès Modélise des relations statiques directes entre sujet-action-objet Modèle de Lampson (1971) Les lignes sont

22/11/2016 http://www.lrsi.uqo.ca 1

Le contrôle d’accès

Prof. Kamel Adi, ing. Ph. D.

Directeur du Laboratoire de Recherche en Sécurité Informatique (LRSI)

Université du Québec en Outaouais

http://lrsi.uqo.ca

Définition du Contrôle d’Accès (CA)

Terme générique désignant tout processus qui permet à un système informatique de contrôler l’accès à ses ressources.

Permet d’implémenter une politique de sécurité exprimée en termes :

Exigences organisationnelles

Exigences technique

Exigences légales, etc.

Éléments d’un système de CA

Sujet

Entité active dans le système informatique

Utilisateur, processus, etc.

Object

Entité passive ou ressource dans le système informatique

Fichier, répertoire, serveur, etc.

Action

Représente l’interaction entre

le sujet et l’objet : lire, écrire,

exécuter, etc.


Étapes pour accéder à une ressource


Source : CIISP

Schéma général d’un système de CA


Utilisateur

Policy Enforcement Point (PEP)

Ressources à protéger

Policy Decision

Point (PDP)

Politique de sécurité

Requête réponse

Modèle basé sur les matrices d’accès

Modélise des relations statiques directes entre sujet-action-objet

Modèle de Lampson (1971)

Les lignes sont indexés par les sujets

Les colonnes sont indexés par les objets

Les entrée représentent un ensemble d’opérations de contrôle d’accès.


rapport.doc

x

Statistiques

(rep)

*.txt

Kamel {r,w} {r,w,x} {r,w}

Julie {r,x} {r}

Objet

Sujet


Une requête est un triplet (s, o, a) où s est un sujet, o est un objet et a est une action.

Une requête est accordée par le PEP si a est une entrée de la matrice correspondant à l’index (s, o)

Exemple :

La requête (Kamel, rapport.doc, r) sera accordée

La requête (Julie, f.txt, w) sera reffusée



Une vue ressources (colonne) de la matrice d’accès : ACL

Souvent utilisé pour implémenter une matrice d’accès

Associe à chaque ressource une liste des sujets avec leurs droits d’accès

Une vue sujet (ligne) de la matrice d’accès : Capacités

Associe à chaque sujet ces capacités d’accès au système


Domaines d’exécution

Un domaines d’exécution permet de déterminer ce qu’un utilisateur peut faire quand il se trouve dans un domaine particulier.

L’impression de O4 peut être effectuée dans domaine D2 ou D3, mais

pas dans D1

Changement de domaines d’exécution

À chaque moment un utilisateur se trouve dans un domaine d’exécution.

Un utilisateur peut passer d’un domaine à un autre. Dans ce cas ses privilèges changent.

Exemple de matrice d’accès avec domaine

capacités du dom. D2

capacités sur le fichier F2

Le principe de Need-to-know

Si vous avez besoin de savoir, je vais vous le dire. Si vous n'avez pas besoin de savoir, laissez-moi tranquille.

Le principe de la nécessité de connaître est similaire au principe de moindre privilège.

Il est basé sur l'idée que les utilisateurs ne doivent avoir accès qu'aux informations dont ils ont absolument besoin pour effectuer leurs tâches.

Donner plus de droits à un utilisateur augmente uniquement la possibilité d'abus


Modèle DAC (Discretionary Access Control)

Restreindre l’accès aux objets en se basant sur l’identité et le besoin de connaitre “need-to-know” des utilisateurs

Notion de propriétaires d’objets.

Le modèle est dit discrétionnaire dans le sens où l’octrois de privilèges est laissé à la discrétion des propriétaires d’objets.


Exemple


Fichier 1 Fichier 2 Fichier 3

Imprimante

John

Own

R, W

Own

R, W

Alice

R

Own

R, W

W

imprimer

Bob

R, W

R

Own

imprimer

Bob contrôle l’accès à l’imprimante il a autorisé Alice à imprimer mais pas John.

MAC : Mandatory Access Control

Les décisions de protection ne doivent pas être prises par le propriétaire des objets concernés, et doivent lui être imposées par le système (administrateur).

L’administrateur, détermine qui peut avoir accès à quelles informations et pour en faire quoi

Accès aux informations selon les qualifications (credentials) de l’usager qui cherche à réaliser l’accès


Modèle Bell-La Padula

Les Objets sont classifiés en catégories de secrets

Exemple : Public, Secret, Très Secret

Les Sujets sont classifiés en catégories d’habilitation (clearance) par rapport aux données auxquelles ils peuvent avoir accès

Exemple : Public, Classifié, Secret, Très Secret

Modèle Bell-La Padula : propriétés

Propriété simple : ne pas lire en haut, « no read up »

Cette propriété interdit à un sujet d’accéder en lecture à un objet qui a une classification plus élevée que son habilitation


Modèle Bell-La Padula : propriétés

Propriété étoile : ne pas écrire en bas, « no write down »

Interdit à un sujet d’accéder en écriture à un objet qui a une classification moins élevée que son habilitation.


Exemple 1 : application militaire

• Un simple soldat ne peut

pas connaître (lire) ce que le

général sait

• Mais il peut l’informer

(écrire)

•Le général ne divulgue pas

les informations stratégique

à ses subordonnées

• No read up, no write down

Exemple 2 : Intel x86

Définie une architecture à 4 anneaux

Chaque segment de mémoire d’un processus est affecté à un anneau

Chaque processus est affecté à un anneau

Quand un proc. se trouve dans un anneau n, il peut

accéder librement aux segments de mémoire dans l’anneau n, ou anneaux extérieurs

il ne peut pas accéder aux segments dans les anneaux intérieurs


http://en.wikipedia.org/wiki/File:Priv_rings.svg

Modèle Biba (Kenneth J. Biba 77)

Modèle à sécurité multi-niveaux

Assure l’intégrité des données

Permet d’éviter l’altération des données par des données contaminés

Exemple :

Système d’information médicale : une infirmière peut lire les informations médicales sur un patient mais seul un médecin peut les changer


Modèle Biba : propriétés

Propriété simple : ne pas lire en bas, « no read down »

Cette propriété interdit à un sujet d’accéder en lecture à un objet qui a une classification moins élevée que son habilitation


Modèle Biba : propriétés

Propriété étoile : ne pas écrire en haut, « no write up »

Interdit à un sujet d’accéder en écriture à un objet qui a une classification plus élevée que son habilitation.


Exemple

Un cadre qui a l’habilitation « Confidentiel » peut lire les directives du directeur qui a la classification « Top Secret », mais pas celles en provenance des employés qui ont l’habilitation « non classé ».

Si la propriété simple n'était pas respectée, cela

signifierait que le directeur pourrait lire et exécuter une directive d’un de ses subordonnés (par exemple, augmenter les salaires)

Un cadre peut écrire une liste de directives pour ses employés, mais pas pour son directeur situé à un niveau hiérarchique supérieur. Ainsi, le directeur ne peut pas recevoir des fausses directives en provenance des sujets ayant des habilitations inférieures à la sienne.


Permet de réduire les conflits d'intérêts dans des organisations

Assure la propriété de confidentialité

Un conflit d’intérêts survient lorsqu’un sujet a accès aux informations confidentielles de deux organisations en compétition permettant ainsi une fuite d’information d’une organisation vers une autre


Modèle de la muraille de Chine (Brewer, Nash)

Modèle de la muraille de Chine

Éléments du modèle :

Objet : ressource appartenant à une organisation.

Organisation : entité disposant de plusieurs objets utilisés dans le cadre de ses processus d’affaire

Classe de conflits d’intérêts : regroupe des organisations qui sont en

concurrence


Exemple


Modèle de muraille de Chine : propriétés

Propriété simple : l’utilisateur ne peut pas accéder en lecture à deux objets appartenant à deux organisations qui sont dans la même classe de conflit d’intérêt

Exemple : un sujet S qui accède en lecture à l’objet inf1 de Banque1 n’a plus le droit d’accéder en lecture à l’objet inf4 de Banque2.


Modèle de la muraille de Chine

Propriété étoile : interdire l’accès en écriture à un sujet sur un objet si le sujet a déjà accédé en lecture à un objet d’une autre organisation en classe de conflit.

Exemple : un sujet S qui accède en lecture à l’objet inf1 de Banque1 n’a plus le droit d’accéder en écriture à l’objet inf4 de Banque2.


Modèle RBAC (Sandhu 1993, NIST 2004)

RBAC = Role Based Access Control

Modèle non discrétionnaire

Reflète les structures organisationnelle (entreprises, administrations, etc.)

Entités de base :

Rôle : sujet générique

Permission : action sur un objet

Fonction assignation : utilisateur → role

Fonction d’activation : rôle x condition → Booléen

Session : Utilisateur → Booléen


Modèle RBAC

Un utilisateur peut exécuter une action sur un

objet seulement s’il est assigné à un rôle qui

détient ce privilège

Exemple :

Médecin : rôle

Privilège : modifier les dossier médicaux des

patients

Michel est un médecin

Le rôle est actif de 8h00 à 16h00

Michel est dans une session valide quand il est à

son cabiné médical


Modèle RBAC


Sujets Rôles

Permissions

Actions Objets

Contextes

Ass

igna

tion

de

suje

ts

Ass

igna

tion

de

perm

issi

ons

activ

atio

n

sess

ion

Hierarchie De roles

Role-Based AC

Sujet Roles Resources

Role 1

Role 2

Role 3

Server 1

Server 3

Server 2

Les utilisateurs changent fréquement mais pas les rôles

RBAC : hiérarchie des rôles

Permet de structurer les rôles pour refléter la hiérarchie organisationnelle en termes d’autorité et de responsabilité


Ingénieur de Production 1

Responsable projet 1

Ingénieur Qualité 1

Directeur

Ingénieur de Production 2

Responsable projet 2

Ingénieur Qualité 2

Ingénieur de production

Responsable de projet

Ingénieur qualité

Directeur

Modèle RBAC

Autres éléments de RBAC

Délégation de rôles : renforce la continuité de service.

Séparation de fonctions (separation of duties): renforce les politiques d’absence de conflit d’intérêt en empêchant un utilisateur d’abuser de sa position.

Exemple: Celui qui approuve un cheque ne peut pas être celui qui le signe.


Documents

Le contrôle d’accès · Modèle basé sur les matrices d’accès Modélise des relations statiques directes entre sujet-action-objet Modèle de Lampson (1971) Les lignes sont