Analyse par typage sensible aux flots - Contrôle du flot d'information par des techniques basée

3.2.1 Le syst`eme de types de Hunt et Sands

Introduction

C’est en 1996 que Volpano propose pour la première fois un système de types pour l’analyse de la sécurité du flot d’information [32]. Dix ans plus tard, Hunt et Sands [16] proposent un nouveau système de types pour l’analyse de la sécurité du flot d’information. La nouveauté de ce dernier par rapport à celui de Volpano réside dans la prise en compte de la sensibilité aux flots dans l’analyse. Le système de types est défini pour un langage impératif simple, puis étendu à un langage avec la commande output par Russo et Sabelfeld.

L’approche en bref

On suppose que le programme est écrit dans le langage décrit dans le paragraphe 2.3.3. Soit Var l’ensemble fini des variables du programme, on attribue initialement à chaque élément de Var un type qui est une étiquette correspondant à son niveau de sécurité, ce qui définit une fonction entre l’ensemble des variables du programme et l’ensemble des niveaux de sécurité notée Γ. On note L l’ensemble des niveaux de sécurité et on définit sur L une relation d’ordre partiel notée v. On montre que le couple (L, v) possède les propriétés d’un treillis telles que décrites dans2.3.1. Ce sera dans la suite notre treillis de sécurité.

Rappelons que dans un système de types insensible aux flots comme celui de Volpano et Smith [32], on attribue aussi des niveaux de sécurité aux variables du programme et, lorsqu’on affecte une expression à une variable sous la forme x := Exp, toutes les variables de Exp doivent avoir un niveau de sécurité plus bas ou égal à celui de x. De plus, si l’affectation a lieu dans une branche d’un bloc conditionnel ou dans une boucle, le niveau de x doit être au moins

aussi haut que celui de toutes les variables des expressions de garde. L’idée derrière le modèle de Hunt et Sands est de ne pas bloquer un flot (implicite ou explicite) d’une variable de haut niveau vers une autre variable dont le niveau est plus bas. Ils proposent de laisser aller le flot, mais de s’assurer que le contenu de la variable nouvellement affectée ne sera pas révélé par la suite. Pour ce faire, ils modifient le niveau de sécurité de cette dernière variable, pour le mettre à la hauteur du secret qu’elle contient. Afin de tenir compte de la sensibilité aux flots dans un bloc conditionnel ou une boucle, Hunt et Sands introduisent une nouvelle variable pc, qui garde en tout temps le niveau de sécurité du contexte. Ceci va permettre de bien contrôler les changements des niveaux de sécurité du contexte pour éviter les flots implicites illégaux. Par exemple, considérons le treillis de sécurité à deux points {L v H}. Lorsqu’on affecte une expression à une variable x := y + x, si x est de type L avant l’affectation, et y de type H, alors après l’affectation x doit prendre le type H. Plus généralement, si l’affectation x := Exp se fait dans un contexte de niveau pc, le niveau de la variable affectée x devient la borne supérieure de pc et du niveau de l’expression affectée.

Le syst`eme de types

Le système de types définit les jugements de la forme : pc ` Γ {C} Γ0, où pc est le niveau de sécurité du contexte, Γ et Γ0 sont des fonctions définies de l’ensemble des variables vers le treillis de sécurité. Le jugement stipule que le niveau de sécurité des variables est déterminé par Γ avant l’exécution de la commande C, et Γ0 après son exécution. Ces jugements utilisent une extension de Γ aux expressions, définie pour une expression e par : Γ(e) est égale à la borne supérieure des Γ(x), pour toutes les variables x impliquées dans la définition de e. Ces jugements utilisent aussi la variable pc. Au début du processus de typage d’un programme, la variable pc est initialisée avec le plus petit élément du treillis de sécurité. Son contenu change de valeur dès qu’on entre ou sort d’un bloc conditionnel ou d’une boucle. À l’entrée, la nouvelle valeur de pc devient la borne supérieure de son ancienne valeur et du niveau de sécurité de l’expression de garde. À la sortie, la variable pc reprend la valeur qu’elle avait avant l’entrée dans ledit bloc.

Les r`egles de typage des commandes s’´enoncent comme suit :

skip, end et stop

Les commandes skip, end et stop ne modifient pas l’environnement de typage. On a :

(skip)

Γ{skip}Γ (ST OP ) Γ{stop}Γ (EN D) Γ{end}Γ

L’affectation

(aff) Γ ` E : t

pc ` Γ{x := E}Γ[x 7→ pc t t].

La règle pour les affectations capture l’essence même de la sensibilité aux flots. Une affectation vérifie toujours les types, mais le niveau de sécurité de la variable affectée est mis à jour avec la borne supérieure de pc et le niveau de l’expression.

La s´equence

La règle pour la séquence s’énonce :

(seq) pc ` Γ{C1}Γ

0 _{pc ` Γ}0_{C 1}Γ00

pc ` Γ{C1; C2}Γ00

Pour typer la s´equence C1; C2, on commence par typer C1 en partant de l’environnement Γ

pour aboutir `a l’environnement Γ0, puis on type C2 en partant de Γ0 pour aboutir `a l’environ-

nement d’arriv´ee Γ00.

Le If Then et le While

Les règles pour ces deux commandes utilisent une extension de la définition de la relation d’ordre v aux environnements de typage. Cette extension s’énonce comme suit :

(sub) Dom(Γ1) = Dom(Γ2) ∀x ∈ Dom(Γ1).Γ1(x) v Γ2(x) Γ1v Γ2

Elle stipule que Γ1 v Γ2 si les deux environnements ont le mˆeme domaine et que pour tout

´el´ement x du domaine, on a Γ1(x) v Γ2(x).

La r`egle pour le if s’´enonce comme suit :

(if) Γ ` E : t pc t t ` Γ{Ci}Γi Γiv Γ

0 _{i = 1, 2}

pc ` Γ{if E C1 C2}Γ0

Elle stipule que le jugement pc ` Γ{if E C1 C2}Γ0 est valide si les deux conditions suivantes

sont r´eunies pour chaque i (i = 1,2) :

– Le jugement pc t t ` Γ{Ci}Γi, o`u t est le type de l’expression e dans l’environnement,

est valide. – Γiv Γ0.

La r`egle pour le while s’´enonce comme suit :

(where) Γ v Γ

0 _Γ0_{` e : t} _{pc t t ` Γ}0_{C}Γ00 _Γ00 _{v Γ}0

Elle stipule que le jugement , pc ` Γ{while E do C}Γ0 est valide si les conditions suivantes sont r´eunies :

– Il existe un environnement de typage Γ00tel que Γ00v Γ0 et le jugement pc t t ` Γ0{C}Γ00, o`u t est le type de l’expression e dans l’environnement Γ0, est valide.

– Γ v Γ0.

D’après ces règles, une commande C est bien typée si pour un certain niveau de sécurité du contexte pc, et étant donnés deux environnements de typage Γ et Γ0, il existe une dérivation `

a partir des règles de typage qui rend valide le jugement pc ` Γ{C}Γ0. La règle de dérivation assure que seules les variables qui se terminent dans Γ0 avec un niveau plus grand ou égal `

a pc peuvent être mises à jour par le programme C. De ce fait, dans le triplet pc, Γ et Γ0, l’environnement Γ0 n’est pas arbitraire, mais doit respecter cet invariant par rapport à l’environnement initial Γ pour que la commande C soit bien typée. En d’autres termes, la propriété de non-interférence est traduite par des contraintes imposées à l’environnement d’arrivée Γ0 par rapport à l’environnement de départ Γ.

Version algorithmique du syst`eme de types

Dans cette section, on introduit une variante des règles de typage qui calcule le plus petit environnement Γ0 étant donnés un programme C et un environnement initial Γ. Les règles pour le skip, l’affectation et la séquence ne changent pas dans cette version. Pour établir les nouvelles règles pour le if et le while, on aura besoin d’étendre la définition de l’opérateur t aux environnements de typage. Cette extension s’énonce comme suit :

Γ1t Γ2(x) =      Γ1(x) si x ∈ dom(Γ1) \ dom(Γ2) Γ2(x) si x ∈ dom(Γ2) \ dom(Γ1) Γ1(x) t Γ2(x) sinon.

Dans les nouvelles r`egles, on utilise le symbole `A _{comme version algorithmique de `, pour}

marquer la différence entre les deux. La règle pour le if s’énonce comme suit :

Γ ` E : t pc t t `A Γ{Ci}Γ0i i = 1, 2

pc `A _{Γ{if E C}

1 C2}Γ0

Γ0= Γ0₁t Γ0₂.

La r`egle pour le while s’´enonce comme suit :

Γ0_i` E : ti pc t ti `AΓ0i{C}Γ00i 0 6 i 6 n

pc `A_{Γ{while E do C}Γ}0 n

Les règles sont déterministes, en ce sens que pour un programme C et étant donnés un environnement de typage initial Γ et un niveau de contexte pc, on a exactement une dérivation possible Γ0 qui rend valide le jugement pc ` Γ{C}Γ0.

On note que l’unicité n’est pas tout à fait absolue, car la règle pour le while permet à la chaˆıne d’environnement Γ0₀, Γ0₁, ..., Γ0_n d’être étendue arbitrairement en ajoutant des répétitions non nécessaires. On suppose que l’entier n est choisi de fa¸con minimale.

L’existence et l’unicité d’une telle dérivation sont formalisées par : Théorème 4. Exactitude de l’algorithme

Pour tout treillis de s´ecurit´e L, pour tout programme C, on a :

(1) Pour tout p ∈ L et Γ un environnement, il existe un autre environnement Γ0 unique tel que p À Γ{C}Γ0. De plus, en notant AC(p,Γ) la fonction qui qui associe à Γ cet unique Γ0 pour un p donné, la fonction AC(p,Γ) est monotone.

(2) Si p ` Γ{C}Γ0, alors AC(p,Γ) v Γ0. (3) Si p `A Γ{C}Γ0, alors p ` Γ{C}Γ0. Corollaire 5.

AC_{(p,Γ) est le plus petit Γ}0 _{tel que p ` Γ{C}Γ}0_.

Cette r`egle sp´ecifie implicitement un calcul du point fixe.

La version algorithmique permet d’affirmer qu’étant donné un environnement de typage Γ, tout programme C est typable pour un certain environnement Γ0. Ce qui veut dire qu’on peut toujours avoir une description valide du flot d’information dans le programme. Cela n’implique pas que tous ces flots d’information sont ceux qu’on désire ! Le caractère sécuritaire dépend du niveau de sécurité que l’on souhaite avoir dans Γ0. Supposons par exemple un programme C avec une seule instruction z := x + y et un environnement de typage initial Γ avec les variables x publique et y privée. Supposons que z est une variable qui sera visible par le public lorsque le programme va se terminer. Un environnement de typage final dans lequel la variable z est publique sera sécuritaire, alors qu’un autre environnement final dans lequel z sera secret ne sera pas sécuritaire. Une manière de rendre ceci plus explicite serait d’ajouter au langage la primitive de sortie output. La règle pour cette commande va permettre de bloquer les programmes non typables.

Extension du langage avec la commande Output ´

Etant donn´es une expression e et un canal C, la commande outputC(e) envoie sur le canal

C le résultat de l’évaluation de l’expression e. Pour simplifier, on identifiera souvent le canal avec son niveau de sécurité. Pour un élément quelconque l du treillis L, on écrira outputl(e)

Le langage cible du système de types de Hunt et Sands [16] n’inclut pas la commande output. C’est Russo et Sabelfeld [24] qui ajoutent par la suite au système de types la règle pour le typage de cette commande dans leurs travaux où ils transcrivent les règles de typage de Hunt et Sands dans le comportement d’un moniteur pour le contrôle du flot d’information.

La r`egle pour la commande output s’´enonce comme suit : Γ ` e : t pc t t v l pc ` Γ{outputl(e)}Γ

D’après cette règle, la commande ne modifie pas l’environnement de typage initial. Elle exige que le niveau de sécurité du canal soit plus grand que la borne supérieure du niveau de sécurité de l’expression e et pc. Dans le cas d’un treillis à deux niveaux, L pour public et H pour secret, on aura deux canaux d’affichage. Seul le canal public sera visible par un attaquant. Avec cette règle, les programmes malicieux comme outputl(secret) ou if secret then outputl(v) else skip

seront rejet´es.

Cette règle permettra de piéger les programmes non sécuritaires lors de la tentative d’exécution de la commande d’affichage. Elle joue un rôle particulièrement déterminant dans l’instrumentation du code comme on le verra dans la suite.

3.2.2 Le syst`eme de types de Desharnais et al.

Introduction

Ce système de types a été proposé en 2012 par Desharnais et al. [12]. Les auteurs partent du constat que l’analyse statique rejette souvent un programme tout simplement parce qu’il n’est pas possible d’établir avec précision le niveau de sécurité de certaines variables ou autres entités du programme. C’est dans le but de réduire l’impact de cette approximation qu’un nouvel élément est ajouté à l’ensemble {L, H} des niveaux de sécurité, en l’occurrence le niveau U pour incertain (de l’anglais uncertain). Lors de l’analyse statique, ce niveau de sécurité est attribué aux variables du programme dont le niveau ne peut être déterminé qu’à l’exécution.

Langage de programmation et propriété de sécurité

Le langage considéré est une extension de celui décrit au paragraphe 2.3.3. Les nouvelles primitives ajoutées sont utilisées pour envoyer ou recevoir de l’information sur les canaux. En effet, des constantes de type « nom de canal » sont ajoutées à la syntaxe du langage. Ce nouveau type garde le nom de tous les canaux de communication par lesquels le programme peut échanger avec l’extérieur, comme un fichier d’entrée ou de sortie, un clavier, un moniteur ou toute autre périphérie sur le réseau. Le programme peut ainsi lire la valeur x1 sur le canal

une variable de nom de canal, la primitive receiven est utilis´ee `a la place de receivec. De la

mˆeme fa¸con, le programme peut envoyer l’information x1 sur le canal x2 avec la commande

send x1 to x2. La commande send met `a jour le contenu du canal dont la variable de nom de

canal x2 contient le nom. Ce nom n’est donc pas modifi´e par la commande send.

La condition de sécurité s’énonce comme suit : les sorties sur les canaux publics ne doivent pas être influencées par les entrées à partir des canaux privés. Autrement, une personne qui observe les sorties publiques ne peut deviner ni en partie ni en entier le contenu des entrées privées. Le treillis de sécurité est constitué de l’ensemble {L, U, H} muni de la relation d’ordre v défini par L v U v H.

Le syst`eme de types

Le typage d’un programme se fait par l’attribution d’un type aux variables, aux noms de canaux et aux commandes. Une variable peut être typée avec la valeur τ val, ce qui signifie qu’elle a un contenu dont le niveau de sécurité est τ , avec τ ∈ {L, U, H}. Une variable nom de canal peut être typée avec la valeur τ chan, ce qui signifie qu’elle peut conserver l’information dont le niveau de sécurité est τ ou inférieur. Comme dans le système de types de Volpano et al. [32], une commande peut être associée à un type de la forme τ cmd, ce qui garantit que la commande ne peut que véhiculer un flot vers un canal de type τ chan ou supérieur. Le système de types utilise aussi une variable particulière, en l’occurrence instr, unique pour un programme et dont le contenu peut prendre une des valeurs L, U ou H. Le contenu de instr indique si le programme aura besoin d’être instrumenté ou pas. Cette variable est initialisée avec la valeur L. Si à la fin du typage du programme, la variable instr contient comme valeur U ou H, alors une instrumentation du programme est nécessaire. Sinon, pas besoin d’instrumenter le programme. Pour les besoins du programme d’instrumentation, une extension de l’environnement de typage inclut la variable instr typée avec son contenu. Le système de types définit les jugements de la forme Γ, pc ` p : ρ, Γ0; où pc est le niveau de sécurité du contexte, Γ et Γ0sont deux environnements de typage qui associent les variables du programme à un type de la forme τ val ou τ chan. La variable pc garde la même signification que dans le modèle de Hunt et Sands. Le jugement stipule qu’avec un environnement de typage initial Γ et dans un contexte de niveau pc, le programme p a pour type ρ, et son exécution aboutit à l’environnement de typage Γ0. Ces jugements utilisent le type d’une expression, qui correspond à son niveau de sécurité tel que défini dans la section 3.2.1.

Les règles de typage sont représentées dans la figure3.1.

On suppose au d´ebut du typage que toutes les constantes enti`eres sont de type L val et que la commande skip est de type H cmd.

Figure 3.1 – Règles de typage du modèle Desharnais et al. tirées de [12]

Pour que le système de types reste sensible aux flots, les règles (ASSIGN -VAL S ) et (RECEIVE - CONTENT S ) calculent d’abord la borne supérieure entre le niveau de l’expression à droite de l’affectation ou la valeur re¸cue du canal d’une part et le niveau du contexte pc d’autre part. Le résultat associé à l’étiquette val est attribué au type de la variable modifiée. La commande est aussi typée avec ce même résultat, associé cette fois à l’étiquette cmd.

Les règles (ASSIGN -CHAN S ) et (RECEIVE -NAME S ) modifient toutes les deux le contenu d’une variable de nom de canal. Pour typer ces deux commandes, les auteurs définissent une autre relation d’ordre sur l’ensemble des niveaux de sécurité notée et définie par :

Cette relation, qui peut être interprétée comme « peut être v », est utilisée pour identifier et empêcher seulement les flots de H vers L. La règle (ASSIGN -CHAN S ) affecte à une variable de nom de canal un nom de canal dont le type τ chan est connu, dans un contexte donc le niveau est pc. La règle impose que pc τ pour que cette affectation soit possible et met à jour l’environnement de typage comme suit : le type de la variable de nom de canal est modifié avec la valeur τ chan (en accord avec la sensibilité aux flots) et la variable instr re¸coit comme valeur la borne supérieure de τ et pc.

La commande receiven affecte `a une variable de nom de canal un nom de canal lu sur un

autre canal. Le niveau du canal dont le nom vient d’être lu ne sera connu qu’à l’exécution. La règle (RECEIVE -NAME S ) impose que pc τ pour que cette opération soit possible. Si c’est le cas, l’environnement de typage est mis à jour de fa¸con suivante : le type de la variable qui vient d’être modifiée devient U chan et la variable d’instrumentation instr re¸coit comme valeur la borne supérieure de τ et pc.

Remarquons que la prémisse pc τ dans les deux dernières règles permet, d’après la définition de la relation , de rejeter le programme immédiatement dans le cas où τ = H et pc = L. Cela permet d’empêcher les flots implicites entre une variable de type H et une autre de type L à l’intérieur d’un bloc conditionnel ou d’une boucle. Dans tous les autres cas, les deux commandes se typent normalement et, en fonction de la valeur re¸cue par la variable instr, c’est-à-dire τ chan t pc, le programme pourra être accepté ou instrumenté.

La règle (SEN D S) exige que le canal de sortie soit à un niveau de sécurité supérieur, au sens de la relation d’ordre , à celui de l’expression qui est envoyée (τ ) et à celui du contexte courant (pc). Cette règle attribue à l’instruction le même type que celui du canal, auquel est ajoutée l’étiquette cmd.

Am´elioration du mod`ele avec le blocage des canaux

En 2013, Bedford et al. [5] introduisent dans l’analyse de Desharnais et al. [12] la notion de blocage des canaux. Bloquer un canal consiste à empêcher toute tentative de sortie sur un canal en bloquant ce dernier. Cette intervention est nécessaire lorsqu’une variable de nom de canal de niveau public est mise à jour dans un contexte privé. Pour ce faire, un quatrième niveau de

Dans le document Contrôle du flot d'information par des techniques basées sur le langage de programmation (Page 42-51)