Gestionnaire contextualisé de sécurité pour des « Process 2.0 » / Contextualized security management for “Process 2.0”

Ouedraogo, Wendpanga Francis

29 November 2013

Compte tenu de l’environnement économique globalisé et de plus en plus concurrentiel, les entreprises et en particulier les PME/PMI, pour rester compétitif,doivent développer de nouvelles stratégie de collaborations (intra et inter-entreprises) et se restructurer pour rendre leur organisation et le système d’information agile. Alors que jusqu'à présent le Web 2.0 permettait de collaborer sur les données elles-mêmes, nous proposons de passer à une logique de « process 2.0 » permettant de rechercher / composer sémantiquement des services existants pour collaborer directement en partageant des fonctionnalités et non plus seulement des données. Couplé au développement du Cloud Computing, facilitant l’hébergement, une telle stratégie permettrait de coupler plus fortement les niveaux SaaS et PaaS. Toutefois, ceci pose d’évidents problèmes de gestion des contraintes de sécurité. Le développement de stratégies de sécurité est usuellement basé sur une analyse systématique des risques afin de les réduire en adoptant des contre-mesures. Ces approches sont lourdes, complexes à mettre en œuvre et sont souvent rendues caduques car les risques sont évalués dans un monde « fermé », ce qui n’est pas le cas d’une approche par composition de services métier réutilisable où le contexte d’utilisation des différents services au niveau métier et plateforme est inconnu a priori. Dans ce type d’approche, le contexte au niveau métier évoque à la fois les fonctionnalités apportées par chaque service, l’organisation (Qui fait à quoi ?) et l’enchainement de ces services ainsi que les types de données (d’ordre stratégique ou pas,..) que manipulent ces services. Au niveau plateforme, le contexte dépend de l’environnement (privé, public,..) dans lequel les services vont s’exécuter. C’est donc sur la base de l’analyse du contexte que l’on peut définir les contraintes de sécurités propres à chaque service métier, pouvoir spécifier les politiques de sécurités adéquates et mettre en œuvre les moyens de sécurisation adaptés. En outre, il est aussi nécessaire de pouvoir propager les politiques de sécurités sur tout le processus afin d’assurer la cohérence et une sécurité globale lors de l’exécution du processus. Pour répondre à ces enjeux, nous proposons d’étudier la définition des politiques de sécurité à base de « patrons » apportant une réponse graduée en fonction de la confiance que l’on a sur l’environnement. Ainsi des patrons de sécurité qui répondent à des besoins de sécurité métiers et à des besoins de sécurité plateforme seront définis et permettront d’exprimer l’ensemble des politiques de sécurité. La sélection et de mise en œuvre de ces politiques de sécurités se feront à partir de patrons de contexte. Notre proposition simple à appréhender par des non spécialistes, permettra, par des transformations de modèles, d’intégrer ces politiques au niveau technologique afin de garantir un niveau de qualité de protection constant quel que soit l’environnement de déploiement. / To fit the competitive and globalized economic environment, companies and especially SMEs / SMIs are more and more involved in collaborative strategies, requiring organizational adaptation to fit this openness constraints and increase agility (i.e. the ability to adapt and fit the structural changes). While the Web 2.0 allows sharing data (images, knowledge, CV, micro-blogging, etc...) and while SOA aims at increasing service re-using rate and service interoperability, no process sharing strategies are developed. To overcome this limit, we propose to share processes as well to set a "process 2.0" framework allowing sharing activities. This will support an agile collaborative process enactment by searching and composing services depending on the required business organization and the service semantics. Coupled with the cloud computing deployment opportunity, this strategy will lead to couple more strongly Business, SaaS and PaaS levels. However, this challenges security constraints management in a dynamic environment. The development of security policies is usually based on a systematic risks analysis, reducing them by adopting appropriate countermeasures. These approaches are complex and as a consequence difficult to implement by end users. Moreover risks are assessed in a "closed" and static environment so that these methods do not fit the dynamic business services composition approach, as services can be composed and run in different business contexts (including the functionalities provided by each service, the organization (Who does what?), the coordination between these services and also the kind of data (strategic or no...) that are used and exchanged) and runtime environment (public vs private platform…). By analyzing these contextual information, we can define specific security constraints to each business service, specify the convenient security policies and implement appropriate countermeasures. In addition, it is also necessary to be able to propagate the security policies throughout the process to ensure consistency and overall security during the process execution. To address these issues, we propose to study the definition of security policies coupling Model Driven Security and Pattern based engineering approach to generate and deploy convenient security policies and protection means depending on the (may be untrusted) runtime environment. To this end, we propose a set of security patterns which meet the business and platform related security needs to set the security policies. The selection and the implementation of these security policies will be achieved thank to context-based patterns. Simple to understand by non-specialists, these patterns will be used by the model transformation process to generate these policies in a Model@Runtime strategy so that security services will be selected and orchestrated at runtime to provide a constant quality of protection (independent of the deployment).

Informatique

Informatique dans les nuages

Sécurité informatique

Patron de sécurité

Processus métier

Services Web

Information Technology

Cloud Computing

Security

Security Patterns

Business process

Web Services

005.807 2

Access control and inference problem in data integration systems / Problème d'inférence et contrôle d'accès dans les systèmes d'intégration de données

Haddad, Mehdi

01 December 2014

Dans cette thèse nous nous intéressons au contrôle d’accès dans un système issu d’une intégration de données. Dans un système d’intégration de données un médiateur est défini. Ce médiateur a pour objectif d’offrir un point d’entrée unique à un ensemble de sources hétérogènes. Dans ce type d’architecture, l’aspect sécurité, et en particulier le contrôle d’accès, pose un défi majeur. En effet, chaque source, ayant été construite indépendamment, définit sa propre politique de contrôle d’accès. Le problème qui émerge de ce contexte est alors le suivant : "Comment définir une politique représentative au niveau du médiateur et qui permet de préserver les politiques des sources de données impliquées dans la construction du médiateur?" Préserver les politiques des sources de données signifie qu’un accès interdit au niveau d’une source doit également l’être au niveau du médiateur. Aussi, la politique du médiateur doit préserver les données des accès indirects. Un accès indirect consiste à synthétiser une information sensible en combinant des informations non sensibles et les liens sémantiques entre ces informations. Détecter tous les accès indirects dans un système est appelé problème d’inférence. Dans ce manuscrit, nous proposons une méthodologie incrémentale qui permet d’aborder le problème d’inférence dans un contexte d’intégration de données. Cette méthodologie est composée de trois phases. La première, phase de propagation, permet de combiner les politiques sources et ainsi générer une politique préliminaire au niveau médiateur. La deuxième phase, phase de détection, caractérise le rôle que peuvent jouer les relations sémantiques entre données afin d’inférer une information confidentielle. Par la suite, nous introduisant, au sein de cette phase, une approche basée sur les graphes afin d’énumérer tous les accès indirects qui peuvent induire l’accès à une information sensible. Afin de remédier aux accès indirects détectés nous introduisons la phase de reconfiguration qui propose deux solutions. La première solution est mise en œuvre au niveau conceptuel. La seconde solution est mise en œuvre lors de l’exécution. / In this thesis we are interested in controlling the access to a data integration system. In a data integration system, a mediator is defined. This mediator aims at providing a unique entry point to several heterogeneous sources. In this kind of architecture security aspects and access control in particular represent a major challenge. Indeed, every source, designed independently of the others, defines its own access control policy. The problem is then: "How to define a representative policy at the mediator level that preserves sources’ policies?" Preserving the sources’ policies means that a prohibited access at the source level should also be prohibited at the mediator level. Also, the policy of the mediator needs to protect data against indirect accesses. An indirect access occurs when one could synthesize sensitive information from the combination of non sensitive information and semantic constraints. Detecting all indirect accesses in a given system is referred to as the inference problem. In this manuscript, we propose an incremental methodology able to tackle the inference problem in a data integration context. This methodology has three phases. The first phase, the propagation phase, allows combining source policies and therefore generating a preliminary policy at the mediator level. The second phase, the detection phase, characterizes the role of semantic constraints in inducing inference about sensitive information. We also introduce in this phase a graph-based approach able to enumerate all indirect access that could induce accessing sensitive information. In order to deal with previously detected indirect access, we introduce the reconfiguration phase which provides two solutions. The first solution could be implemented at design time. The second solution could be implemented at runtime.

Informatique

Sécurité informatique

Controle d'accès

Intégration de données

Problème dinférence

Intégration de politique d'autorisation

Information Technology

Data security

Access control

Data integration

Inference problem

Authorization policy integration

005.807 2

User controlled trust and security level of Web real-time communications / Niveau de confiance et de sécurité des communications Web temps-réel contrôlé par l'utilisateur

Corre, Kevin

31 May 2018

Dans cette thèse, je propose trois contributions principales : dans notre première contribution, nous étudions l'architecture d'identité WebRTC et plus particulièrement son intégration aux algorithmes de délégation d'authentification existants. Cette intégration n'a pas encore été étudiée jusqu'à présent. Dans cette perspective, nous implémentons les composants de l'architecture d'identité WebRTC ce qui nous permet de montrer que cette architecture n'est pas particulièrement adaptée à une intégration aux protocoles de délégation d'authentification existants tels qu'OpenID Connect. Pour répondre à RQ1, nous montrons ensuite comment la position centrale des fournisseurs d'identité dans l'écosystème du Web est renforcée par leur intégration à l'établissement de session WebRTC, posant ainsi un risque supplémentaire contre la discrétion des utilisateurs. Dans l'écosystème Web, la norme est l'architecture des services en silo dont les utilisateurs sont captifs. C'est en particulier le cas des systèmes de délégation d'authentification, pour lesquels la plupart du temps, il n'est pas possible de choisir son fournisseur d'identité. Afin de répondre à RQ3, nous réalisons une étude afin de déterminer pour quelles raisons les utilisateurs ne peuvent pas choisir leur fournisseur d'identité sur Web. Notre étude montre que bien que ce choix soit possible en théorie, l'absence d'implémentation de certains standards par les sites webs et les fournisseurs d'identité empêche ce choix en pratique. Dans notre seconde contribution, nous cherchons à donner plus de contrôle à l'utilisateur. Pour ce faire et en réponse à RQ2, nous proposons une extension de la spécification WebRTC afin de permettre la négociation des paramètres d'identité. Un prototype d'implémentation est proposé afin de valider notre proposition. Cette implémentation révèle certaines limites dues à l'API d'identité WebRTC empêchant notamment d'obtenir un retour sur le niveau d'authentification de l'autre utilisateur ainsi que l'impossibilité de changer de fournisseur d'identité en cours de session. Nous proposons ensuite une API Web permettant aux utilisateurs de choisir leur fournisseur d'identité lors d'une authentification sur un site tiers via une interface de sélection d'identité contrôlée par le navigateur. Répondant à RQ3, notre API repose sur une réutilisation de l'architecture d'identité WebRTC dans un scénario client-serveur. Nous présentons une implémentation de notre solution, basée sur une extension du navigateur Firefox, afin d'en démontrer l'utilisabilité. Nos résultats montrent qu'à long terme, l'adoption de cette API pourrait réduire la charge d'implémentation pour les développeurs de sites Web et permettre aux utilisateurs de préserver leur discrétion en choisissant des fournisseurs d'identité de confiance. / In this thesis, we propose three main contributions : In our first contribution we study the WebRTC identity architecture and more particularly its integration with existing authentication delegation protocols. This integration has not been studied yet. To fill this gap, we implement components of the WebRTC identity architecture and comment on the issues encountered in the process. In order to answer RQ1, we then study this specification from a privacy perspective an identify new privacy considerations related to the central position of identity provider. In the Web, the norm is the silo architecture of which users are captive. This is even more true of authentication delegation systems where most of the time it is not possible to freely choose an identity provider. In order to answer RQ3, we conduct a survey on the top 500 websites according to Alexa.com to identify the reasons why can't users choose their identity provider. Our results show that while the choice of an identity provider is possible in theory, the lack of implementation of existing standards by websites and identity providers prevent users to make this choice. In our second contribution, we aim at giving more control to users. To this end and in order to answer RQ2, we extend the WebRTC specification to allow identity parameters negotiation. We present a prototype implementation of our proposition to validate it. It reveals some limits due to the WebRTC API, in particular preventing to get feedback on the other peer's authentication strength. We then propose a web API allowing users to choose their identity provider in order to authenticate on a third-party website, answering RQ2. Our API reuse components of the WebRTC identity architecture in a client-server authentication scenario. Again, we validate our proposition by presenting a prototype implementation of our API based on a Firefox extension. Finally, in our third contribution, we look back on RQ1 and propose a trust and security model of a WebRTC session. Our proposed model integrates in a single metric the security parameters used in the session establishment, the encryption parameters for the media streams, and trust in actors of the communication setup as defined by the user. Our model objective is to help non-expert users to better understand the security of their WebRTC session. To validate our approach, we conduct a preliminary study on the comprehension of our model by non-expert users. This study is based on a web survey offering users to interact with a dynamic implementation of our model.

Web

Voix sur IP

Sécurité Informatique

JavaScript

Preuve électronique

Droit à la vie privée

Authentification

WebRTC

Web

Voice over IP

Computer Security

JavaScript

Assertion

Privacy

Authentication

WebRTC

La convergence de la sécurité informatique et de la protection des renseignements personnels : vers une nouvelle approche juridique

Vincente, Ana Isabel

07 1900

Le développement exponentiel des réseaux informatiques a largement contribué à augmenter le volume des renseignements personnels disponibles et à remplacer les méthodes désuètes de collecte des renseignements par des méthodes plus rapides et plus efficaces. La vie privée et le contrôle sur les informations personnelles, telles que nous les connaissions il y a quelques décennies, sont des notions difficilement compatibles avec la société ouverte et commerciale comme la nôtre. Face à cette nouvelle réalité menaçante pour les droits et libertés de l'homme, il est essentiel de donner un cadre technique et légal stable qui garantisse un niveau de protection adéquat de ces données personnelles. Pour rester dans le marché ou bénéficier de la confiance des individus, les entreprises et les gouvernements doivent posséder une infrastructure de sécurité informatique efficace. Cette nouvelle donne a tendance à devenir plus qu'une simple règle de compétitivité, elle se transforme en une authentique obligation légale de protéger les données à caractère personnel par des mesures de sécurité adéquates et suffisantes. Ce mémoire aborde justement ces deux points: premièrement, l'étude du développement d'une obligation légale de sécurité et ensuite, l'encadrement juridique de la mise en place d'un programme de sécurisation des données personnelles par des mesures de sécurités qui respectent les standards minimaux imposés par les textes législatifs nationaux et internationaux. / The latest development in information networks largelly contributed to the increasing amount of personal data being collected by the public and private sector and the replacement of old fashioned collection methods by faster and cheaper techniques. Notions of privacy and control of personnal data are not as we used to know them a decade ago and they became somehow incompatible with an open and commercial society in which we live. Facing this new and dangerous reality to fondamental human rights and liberties, it is pressing to give a legal and technical stable framework insuring an adequate level of protection to personnal data. To keep a competitive position in the market and maintain individuals trust in the system, companies and governments must guarantee an efficent security infrastructure. If this feature was until now a strategie advantage, it has become an authentic legal obligation to protect personnal data by suffisant safeguards. The purpose of this work is essentially consider those two statements: the study of the development of a legal obligation to guarantee the security of personnal data and the legal backing for the implementation of a security policy respecting minimal standards imposed by national and international laws. / "Mémoire présenté à la Faculté des études supérieures en vue de l'obtention du grade de maîtrise en droit (LL.M.) option Nouvelles technologies de l'information"

Sécurité informatique

Renseignements personnels

Niveau de protection adéquat

Politique de sécurité

Obligation légale de sécurité

Information security

Personnal data

Adequate safeguards

Security policy

Legal obligation for security

Vers une évaluation quantitative de la sécurité informatique

Dacier, Marc

20 January 1994

Les systèmes d'information actuels doivent, à la fois, protéger les informations qui leur sont confiées et se plier à des environnements opérationnels variables. Cesdeux objectifs, sécurité et flexibilité, peuvent être antinomiques. Ce conflit conduit généralement à l'utilisation de systèmes offrant un niveau de sécurité acceptable, mais non maximal. Définir un tel niveau présuppose l'existence de méthodes d'évaluation de la sécurité. Cette problématique fait l'objet de cette thèse. L'auteur y passe en revue les différents critères d'évaluation existant ainsi que les méthodes dites d'analyse de risques. Ceci introduit la nécessité de définir un cadre formel capable de modéliser tout système et d'évaluer dans quelle mesure il satisfait à des objectifs de protection précis.<br />Les modèles formels développés pour l'étude de la sécurité informatique, n'offrent pas le cadre mathématique désiré. L'auteur montre qu'ils adoptent une hypothèse de pire cas sur le comportement des utilisateurs, incompatible avec une modélisation réaliste. Après avoir montré, sur la base du modèle take-grant, comment s'affranchir de cette hypothèse, l'auteur définit un nouveau modèle, le graphe des privilèges, plus efficace pour gérer certains problèmes de protection. Il illustre son utilisation dans le cadre des systèmes Unix.<br />Enfin, l'auteur propose d'évaluer la sécurité en calculant le temps et l'effort nécessaires à un intrus pour violer les objectifs de protection. Il montre comment définir un cadre mathématique apte à représenter le système pour obtenir de telles mesures. Pour cela, le graphe des privilèges est transformé en un réseau de Petri stochastique et son graphe des marquages est dérivé. Les mesures sont calculées sur cette dernière structure et leurs propriétés mathématiques sont démontrées. L'auteur illustre l'utilité du modèle par quelques résultats issus d'un prototype développé afin d'étudier la sécurité opérationnelle d'un système Unix.

sécurité informatique

analyse de risques

critères d'évaluation

modèles formels

graphes de markov

réseaux de Petri

Adaptiveness and Social-Compliance in Trust Management - A Multi-Agent Based approach / Adaptation et conformité sociale dans la gestion de la confiance - Une approche multi-agent

Yaich, Mohamed Reda

29 October 2013

Les communautés virtuelles sont des systèmes sociotechniques dans lesquels des entités (humaines et/ou artificielles) répartis à travers le monde se réunissent autour d’intérêts et/ou d’objectifs communs. Afin de réaliser ces objectifs, les membres de la communauté doivent collaborer en partageant leurs ressources et/ou connaissances. Or, toute collaboration comporte une part de risque dans la mesure où les membres peuvent se comporter de manière non coopérative ou malveillante. Dans de tels contextes, où les mécanismes de sécurité standard ne suffissent plus, la confiance est rapidement devenue un facteur déterminant lors de la prise de décision. Le travail présenté dans cette thèse s’attaque à la problématique de la gestion de la confiance dans les communautés virtuelles ouvertes et décentralisées. Pour cela, nous avons proposé une infrastructure de gestion de la confiance adaptative et conforme socialement (ASC-TMS). L’aspect novateur de ce système réside dans sa faculté à exhiber des propriétés sociales et adaptatives. L’aspect social du ASC-TMS fait référence à la capacité de notre système à prendre des décisions qui soient sûres non seulement pour l’individu mais également et surtout pour les autres membres de la communauté. Par ailleurs, l’aspect adaptatif du système fait référence à la capacité du système à prendre des décisions qui soient en parfaite adéquation avec l’environnement dans lequel ces décisions sont prises. Ainsi, cette thèse constitue une nouvelle étape vers l’automatisation de l’évaluation de la confiance en assistant les membres des communautés virtuelles ouvertes et décentralisées dans leur prise de décision. Le système a été implémenté et déployé en utilisant la plateforme de développement multi-agent JaCaMo. Nous avons également illustré l’applicabilité de notre approche sur un scénario réel de communauté virtuelle d’innovation ouverte. Enfin, nous avons évalué notre système expérimentalement en utilisant la plateforme de simulation multi-agent Repast. Les résultats obtenus montrent que l’utilisation de notre système avait un impact positif sur la dynamique des communautés dans lesquels il est a été utilisé. / Virtual communities (VCs) are socio-technical systems wherein distributed individuals (human and/or artificial) are grouped together around common objectives and goals. In such systems, participants are massively collaborating with each other’s by sharing their private resources and knowledge. A collaboration always bears the risk that one partner exhibits uncooperative or malicious behaviour. Thus, trust is a critical issue for the success of such systems. The work presented in this dissertation addresses the problem of trust management in open and decentralised virtual communities (VCs). To address this problem, we proposed an Adaptive and Socially-Compliant Trust Management System (ASC-TMS). The novelty of ASC-TMS lies in its ability to exhibit social-awareness and context-awareness features. Social-awareness refers to the ability of the trust management system (TMS) to handle the social nature of VCs by making trust evaluations that are collectively harmful, while context-awareness refers to the ability of the system to handle the dynamic nature of VCs by making trust evaluations that are always in adequacy with the context in which these evaluations are undertaken. Thus, the contributions made in this thesis constitute an additional step towards the automation of trust assessment. We provided accordingly a novel trust management system that assists members of open and decentralised virtual communities in their trust decisions. The system has been implemented and deployed using the JaCaMo multi-agent platform. We illustrated also the applicability of on a real life open innovation virtual community scenario. Finally, the ASC-TMS has been experimentally evaluated using the multi-agent based Repast simulation platform. The preliminary results show that the use of our system significantly improves the stability of the virtual communities in which it has been deployed.

Système de gestion de la confiance

Communautés Virtuelles

Systèmes multi-agent

Politiques de confiance

Réseaux Sociaux

Innovation ouverte

Contrôle d’Accès

Sécurité Informatique

Trust management

Virtual communities

Multi-agent systems

Open decentralized networks

Expert-in-the-loop supervised learning for computer security detection systems / Apprentissage supervisé et systèmes de détection : une approche de bout-en-bout impliquant les experts en sécurité

Beaugnon, Anaël

25 June 2018

L’objectif de cette thèse est de faciliter l’utilisation de l’apprentissage supervisé dans les systèmes de détection pour renforcer la détection. Dans ce but, nous considérons toute la chaîne de traitement de l’apprentissage supervisé (annotation, extraction d’attributs, apprentissage, et évaluation) en impliquant les experts en sécurité. Tout d’abord, nous donnons des conseils méthodologiques pour les aider à construire des modèles de détection supervisés qui répondent à leurs contraintes opérationnelles. De plus, nous concevons et nous implémentons DIADEM, un outil de visualisation interactif qui aide les experts en sécurité à appliquer la méthodologie présentée. DIADEM s’occupe des rouages de l’apprentissage supervisé pour laisser les experts en sécurité se concentrer principalement sur la détection. Par ailleurs, nous proposons une solution pour réduire le coût des projets d’annotations en sécurité informatique. Nous concevons et implémentons un système d’apprentissage actif complet, ILAB, adapté aux besoins des experts en sécurité. Nos expériences utilisateur montrent qu’ils peuvent annoter un jeu de données avec une charge de travail réduite grâce à ILAB. Enfin, nous considérons la génération automatique d’attributs pour faciliter l’utilisation de l’apprentissage supervisé dans les systèmes de détection. Nous définissons les contraintes que de telles méthodes doivent remplir pour être utilisées dans le cadre de la détection de menaces. Nous comparons trois méthodes de l’état de l’art en suivant ces critères, et nous mettons en avant des pistes de recherche pour mieux adapter ces techniques aux besoins des experts en sécurité. / The overall objective of this thesis is to foster the deployment of supervised learning in detection systems to strengthen detection. To that end, we consider the whole machine learning pipeline (data annotation, feature extraction, training, and evaluation) with security experts as its core since it is crucial to pursue real-world impact. First, we provide methodological guidance to help security experts build supervised detection models that suit their operational constraints. Moreover, we design and implement DIADEM, an interactive visualization tool that helps security experts apply the methodology set out. DIADEM deals with the machine learning machinery to let security experts focus mainly on detection. Besides, we propose a solution to effectively reduce the labeling cost in computer security annotation projects. We design and implement an end-to-end active learning system, ILAB, tailored to security experts needs. Our user experiments on a real-world annotation project demonstrate that they can annotate a dataset with a low workload thanks to ILAB. Finally, we consider automatic feature generation as a means to ease, and thus foster, the use of machine learning in detection systems. We define the constraints that such methods should meet to be effective in building detection models. We compare three state-of-the-art methods based on these criteria, and we point out some avenues of research to better tailor automatic feature generation to computer security experts needs.

Sécurité informatique

Systèmes de détection

Apprentissage supervisé

Systèmes interactifs

Apprentissage actif

Génération automatique d'attributs

Computer Security

Detection Systems

Supervised Learning

Interactive systems

Active learning

Automatic feature generation

005.8

Fuites d'information dans les processeurs récents et applications à la virtualisation / Information leakage on shared hardware : evolutions in recent hardware and applications to virtualization

Maurice, Clémentine

28 October 2015

Dans un environnement virtualisé, l'hyperviseur fournit l'isolation au niveau logiciel, mais l'infrastructure partagée rend possible des attaques au niveau matériel. Les attaques par canaux auxiliaires ainsi que les canaux cachés sont des problèmes bien connus liés aux infrastructures partagées, et en particulier au partage du processeur. Cependant, ces attaques reposent sur des caractéristiques propres à la microarchitecture qui change avec les différentes générations de matériel. Ces dernières années ont vu la progression des calculs généralistes sur processeurs graphiques (aussi appelés GPUs), couplés aux environnements dits cloud. Cette thèse explore ces récentes évolutions, ainsi que leurs conséquences en termes de fuites d'information dans les environnements virtualisés. Premièrement, nous investiguons les microarchitectures des processeurs récents. Notre première contribution est C5, un canal caché sur le cache qui traverse les coeurs d'un processeur, évalué entre deux machines virtuelles. Notre deuxième contribution est la rétro-ingénierie de la fonction d'adressage complexe du dernier niveau de cache des processeurs Intel, rendant la classe des attaques sur les caches facilement réalisable en pratique. Finalement, dans la dernière partie nous investiguons la sécurité de la virtualisation des GPUs. Notre troisième contribution montre que les environnements virtualisés sont susceptibles aux fuites d'informations sur la mémoire d'un GPU. / In a virtualized environment, the hypervisor provides isolation at the software level, but shared infrastructure makes attacks possible at the hardware level. Side and covert channels are well-known issues of shared hardware, and in particular shared processors. However, they rely on microarchitectural features that are changing with the different generations of hardware. The last years have also shown the rise of General-Purpose computing on Graphics Processing Units (GPGPU), coupled to so-called cloud environments. This thesis explores these recent evolutions and their consequences in terms of information leakage in virtualized environments. We first investigate the recent processor microarchitectures. Our first contribution is C5, a cross-core cache covert channel, evaluated between virtual machines. Following this work, our second contribution is the reverse engineering of the complex addressing function of the last-level cache of Intel processors, rendering the class of cache attacks highly practical. In the last part, we investigate the security of GPU virtualization. Our third contribution shows that virtualized environments are susceptible to information leakage from the GPU memory.

Sécurité informatique

Fuite d'information

Virtualisation

Canal caché

Canal auxiliaire

Processeur

Cache

GPU

Computer security

Information leakage

Virtualization

Covert channel

Side channel

Processor

Cache

GPU

Protection des systèmes informatiques contre les attaques par entrées-sorties / Protecting Computer Systems against Input/Output Attacks

Lone Sang, Fernand

27 November 2012

Les attaques ciblant les systèmes informatiques vont aujourd'hui au delà de simples logiciels malveillants et impliquent de plus en plus des composants matériels. Cette thèse s'intéresse à cette nouvelle classe d'attaques et traite, plus précisément, des attaques par entrées-sorties qui détournent des fonctionnalités légitimes du matériel, tels que les mécanismes entrées-sorties, à différentes fins malveillantes. L'objectif est d'étudier ces attaques, qui sont extrêmement difficiles à détecter par des techniques logicielles classiques (dans la mesure où leur mise en oeuvre ne nécessite pas l'intervention des processeurs) afin de proposer des contre-mesures adaptées, basées sur des composants matériels fiables et incontournables. Ce manuscrit se concentre sur deux cas : celui des composants matériels qui peuvent être délibérément conçus pour être malveillants et agissants de la même façon qu'un programme intégrant un cheval de Troie ; et celui des composants matériels vulnérables qui ont été modifiés par un pirate informatique, localement ou au travers du réseau, afin d'y intégrer des fonctions malveillantes (typiquement, une porte dérobée dans son firmware). Pour identifier les attaques par entrées-sorties, nous avons commencé par élaborer un modèle d'attaques qui tient compte des différents niveaux d'abstraction d'un système informatique. Nous nous sommes ensuite appuyés sur ce modèle d'attaques pour les étudier selon deux approches complémentaires : une analyse de vulnérabilités traditionnelle, consistant à identifier une vulnérabilité, développer des preuves de concept et proposer des contre-mesures ; et une analyse de vulnérabilités par fuzzing sur les bus d'entrées-sorties, reposant sur un outil d'injection de fautes que nous avons conçu, baptisé IronHide, capable de simuler des attaques depuis un composant matériel malveillant. Les résultats obtenus pour chacunes de ces approches sont discutés et quelques contre-mesures aux vulnérabilités identifiées, basées sur des composants matériels existants, sont proposées / Nowadays, attacks against computer systems may involve hardware components in order to bypass the numerous countermeasures against malicious software. This PhD thesis focuses on this novel class of attacks and specifically deals with Input/Output attacks. In such attacks, attackers divert legitimate hardware features, such as I/O mechanisms, to achieve different malicious actions. Since detecting such attacks by conventional software techniques is not easy (as far as they do not require the intervention of the CPU), we have analyzed these attacks in order to propose appropriate countermeasures based mainly on reliable and unavoidable hardware components. This manuscript focuses on two cases : hardware components that can be deliberately designed to be malicious and acting in the same way as a program incorporating a Trojan horse ; and vulnerable hardware components that have been modified by a hacker, either locally or through the network, to include malicious functions (typically a backdoor in the firmware). To identify the potential I/O attacks, we developed an attack model which takes into account the different abstraction levels in a computer system. Then, we studied these attacks with two complementary approaches : the classical approach to vulnerability analysis consisting in identifying a vulnerability, developing a proof-of-concept and proposing countermeasures ; and fuzzing-based vulnerability analysis, using IronHide, a fault injection tool we have designed, which is able to simulate a powerful malicious hardware. The results obtained with both approaches are discussed and several countermeasures to the vulnerabilities we identified, based on existing hardware components, are proposed

Sécurité informatique

Attaques par entrées-sorties

Modèle d'attaques

Analyse de vulnérabilités

Fuzzing

Computer security

I/O attacks

Attack model

Vulnerability analysis

Fuzzing

005.8

Une approche basée sur l'Ingénierie Dirigée par les Modèles pour identifier, concevoir et évaluer des aspects de sécurité. / An approach based on Model-driven Engineering to identify, design and assess security aspects.

Denisse, Munante

19 December 2014

L'ingénierie des systèmes ou Génie Logiciel est une approche interdisciplinaire, dont le but est de formaliser la conception et le développement des systèmes. Cette approche commence par la définition des besoins, puis se poursuit avec la conception, l'implémentation et la validation du système. Historiquement, les systèmes ont été isolés et souvent basés sur des technologies propriétaires. De nos jours les systèmes informatiques s'interconnectent, s'ouvrent vers Internet, et s'appuient de plus en plus sur des technologies standards en favorisant l'inter-opérabilité. A côté d'apports indéniables, ces changements génèrent cependant de nouveaux risques de malveillance informatique. Pour y faire face, la sécurité informatique s'est fortement développée en permettant de mettre en place des contre-mesures plus ou moins fiables. Cette thèse se situe à la croisée de l'ingénierie des systèmes et de la sécurité. Elle vise à proposer une approche qui intègre ces deux domaines de manière collaborative et complémentaire. Même si ces deux domaines sont très liés l'un à l'autre, il existe relativement peu d'approches qui intègrent les aspects sécurité au processus d'ingénierie logicielle, et encore moins celles qui la considèrent dès la phase d'ingénierie des besoins, et/ou permettent l'évaluation de la politique de sécurité à un haut niveau d'abstraction. Cette thèse apporte une contribution dans ce domaine. Par conséquent, dans cette thèse nous proposons une approche basée sur l'IDM (Ingénierie Dirigée par les Modèles) et MDA (Model-Driven Architecture) qui intègre l’ingénierie des systèmes et la sécurité en utilisant les modèles. Cette approche permet d’identifier, de concevoir et d’évaluer des aspects de sécurité dans les différentes étapes de l'ingénierie des systèmes afin d'obtenir des systèmes sécurisés. / Software engineering is an interdisciplinary approach aiming to formalize the development of systems. This approach begins with defining system requirements and then continues with defining the design, implementation and validation of systems. Historically, systems were isolated and often based on proprietary technologies. Todays, computer systems are interconnected using Internet and standard technologies by promoting interoperability. In spite of undeniable contributions, these changes engender new risks of computer vulnerabilities/attacks. To cope with these risks, information security has improved to implement more or less reliable counter-measures. This thesis is situated at the intersection/crossroads of the software engineering and the information security. It aims to propose an approach that integrates these two fields in a collaborative and complementary manner. Although both fields are closely related, there are few approaches that integrate security aspects into software engineering process, much less from engineering requirements, which allow the assessment of security policies from a high level of abstraction. Hence, this thesis makes a contribution in this area. Therefore, in this thesis, we propose an approach based on MDE (Model-Driven Engineering) and MDA (Model Driven Architecture) which integrates software engineering and information security using models. This approach allows to identify, to design and to assess security aspects in the stages of the system development in order to obtain secure systems.

Sécurité informatique

Modèle de contrôle d'accès OrBAC

Ingénierie de besoins de sécurité

Security

Model-Driven Engineering

OrBAC access control mode

Security requirements engineering

Design s