Approches hybrides pour l’application des politiques de s´ ecurit´ e

La combinaison d’analyses statique et dynamique est de plus en plus populaire. Les techniques ainsi générées sont plus permissives qu’une analyse statique pure. En effet, elles peuvent utiliser certaines informations qui ne sont disponibles que dynamiquement, pour décider de l’acceptation ou du rejet du programme. De plus ces techniques permettent de réduire la surcharge d’exécution due aux tests effectués dynamiquement. En effet, ces techniques peuvent se servir d’informations obtenues lors d’une première analyse statique pour réduire les tests à effectuer dynamiquement.

Russo et Sabelfeld [39] pr´esentent un moniteur hybride sensible au flot d’information. Une configuration du moniteur est de la forme hΓ, Γsi. Γ est un environnement de

typage, qui associe à des variables, des niveaux de sécurité. L’analyse étant sensible au flot, l’environnement Γ peut changer durant l’exécution des programmes et est considéré comme faisant partie de l’état du moniteur. Le moniteur effectue des transitions de la forme, hΓ, Γsi

−

→γ hΓ0, Γ0si avec α qui désigne les différents événements internes que

peuvent déclencher les commandes de la figure 2.7, γ qui désigne un événement de sortie ou simplement un événement vide . La communication entre le programme et le moniteur se fait par le biais des événements internes. En effet, chaque fois qu’une commande déclenche un événement interne α, le moniteur permet à l’exécution de se poursuivre de fa¸con sécuritaire à la condition qu’il soit lui même capable d’effectuer la transition étiquetée α. La règle suivante résume cette situation :

hc, mi−→ hcα 0_{, m}0_i _{hΓ, Γ} si α − →γ hΓ0, Γ0si hhc, mi |µΓ, Γsi γ − → hhc0_{, m}0_{i |} µ Γ0, Γ0si

Chaque événement α est synchronisé avec le moniteur et l’événement γ est la réponse `

a un tel événement. La figure2.7 représente une sémantique à petits pas (small − step) des commandes. Le langage et la sémantique sont standard, excepté la commande end qui sert à marquer la fin des blocs conditionnels ( if et while). Celle-ci est générée lors de l’exécution et ne fait pas partie des commandes disponibles dans les configurations avant exécution. De fa¸con sommaire, les événements informent le moniteur des com- portements du programme. Le moniteur s’en sert pour évaluer si l’instruction exécutée est sécuritaire ou pas. Il pourra éventuellement soit décider de modifier l’exécution du programme, soit de l’arrêter. La sémantique du moniteur est décrite à la figure 2.8. La pile Γsdans la configuration du moniteur, est une pile d’environnements de typage. Son

rôle est semblable à celui du pc (program counter ) dans un système de types, qui sert `

a enregistrer le niveau de s´ecurit´e du contexte. Lorsque la pile est vide (Γs = ), cela

indique que l’instruction courante se retrouve dans un contexte de niveau de sécurité bas L. En fait Γs = , équivaut à pc = L. Autrement, lorsque Γs 6= , l’instruction cou-

rante se trouve dans un contexte de niveau de sécurité élevé. Ce qui correspond dans un système de types, à avoir pc = H. De plus, le nombre d’éléments empilés dans Γs,

indique le nombre de branchements conditionnels imbriqués qui ont été faits. Chaque ´

elément empilé renseigne sur l’analyse statique des branches non prises. Considérons l’exemple suivant :

if secret then (if secret’ then x := 0 else skip) else skip

Lorsque l’instruction x := 0 est exécutée, le nombre d’éléments empilés dans Γs est 2.

des branches non prises. La fonction lev(e, Γ), retourne le niveau de confidentialit´e de l’expression e en se servant de l’environnement Γ. La fonction updatel(c) retourne un

environnement de typage dans lequel le type L est attribué à toutes les variables que la commande c peut modifier. Ces deux fonction sont en fait des vérifications syntaxiques. Il est nécessaire de mieux expliquer les événements. L’événement s, qui est déclenché par la commande skip, est toujours accepté sans modification à la configuration du moniteur. L’événement a(x, e) déclenché par la commande x := e, associe à x le niveau de sécurité de lev(Γs) t lev(e, Γ). En fait, lev(Γs) retourne H lorsque Γs 6= et L

si ce n’est pas le cas. L’événement b(e, c), qui est déclenché par les branchements conditionnels ( if et while), indique au moniteur qu’un branchement sur l’expression e a été effectué et que la commande c est celle de la branche non prise. Prenons l’exemple suivant :

if e then x := 1 else x := 2

Avec e s’évaluant à vrai, l’événement déclenché est b(e, x := 2). En communiquant cette information sur les branches non prises, le moniteur pourra éventuellement empêcher les flots d’information implicites.

Expliquons maintenant le traitement effectué par le moniteur suite à la réception de chacun de ces événements. La règle (B-LOW) est appliquée lorsqu’un branchement conditionnel est effectué dans un contexte de niveau de sécurité bas L. On peut noter que Γs = aussi bien avant qu’après la transition du moniteur. La règle (B-HIGH) est

appliquée lorsqu’un branchement conditionnel est effectué sur une expression de niveau de sécurité élevé H, soit lev(e, Γ) = H ou lorsque le branchement est effectué dans un contexte qui est déjà de niveau de sécurité élevé, soit Γs 6= . Le moniteur effectue

l’analyse statique des branches non prises. En r´ealit´e, il empile sur Γs un environne-

ment contenant l’ensemble des variables qui pourraient être modifiées par l’exécution de la branche non prise, en leur attribuant comme nouveau type de sécurité H. Cet environnement est conservé jusqu’à la sortie du branchement conditionnel, où il est dépilé grâce à la règle (J-HIGH). Cette dernière règle, met à jour l’environnement Γ en attribuant le type H aux variables contenues dans l’environnement dépilé. Cela est réalisé en faisant le supremum de Γ et Γ0 (Γ t Γ0). Cette opération permet de donner le même niveau de sécurité aux variables modifiées dans la branche non prise que celles dans la branche prise. Le moniteur est aussi conservateur que l’analyse statique, pour le typage des branchements conditionnels if et while avec une garde de niveau de sé- curité élevé H. Il est cependant plus permissif que l’analyse statique lorsque le niveau

hskip, mi−→ hstop, mis m(e) = v

hx := e, mi−−−−→ hstop, m[x 7→ v]ia(x,e) hc1, mi α −→ hstop, m0i hc1; c2, mi α −→ hc2, m0i hc1, mi α −→ hc01, m 0 i c016= stop hc1; c2, mi α −→ hc01; c2, m0i m(e) 6= 0 h if e then c1 else c2, mi b(e,c2) −−−−→ hc1; end, mi m(e) = 0 h if e then c1 else c2, mi b(e,c1) −−−−→ hc2; end, mi

hend, mi−→ hstop, mif m(e) 6= 0

h while e do c ,mi−b(e,skip)−−−−−→ hc; end;while e do c, mi m(e) = 0

h while e do c ,mi−−−→ hend, mib(e,c)

m(e) = v h outputl(e) ,mi

ol(e,v)

−−−−→ hstop, mi

Table 2.7 – Sémantique et événements internes.

hΓ, Γsi s −→ hΓ, Γsi hΓ, Γsi a(x,e) −−−−→ hΓ[x 7→ lev(e, Γ) t lev(Γs)], Γsi (B-LOW) lev(e, Γ) = L hΓ, i−−−→ hΓ, ib(e,c) (B-HIGH) lev(e, Γ) = H ∨Γs6= hΓ, Γsi b(e,c) −−−→ hΓ, updateH(c) : Γsi (J-LOW) hΓ, i−→ hΓ, if (J-HIGH) hΓ, Γ0: Γsi f −→ hΓ t Γ0, Γsi

Table 2.8 – Moniteur sensible au flot.

de s´ecurit´e de la garde est bas L. L’exemple suivant illustre bien ce fait. if l1 then l2 := h else l2 := 0 ; outputl(l2)

Avec Γ = {h 7→ H, l1 7→ L, l2 7→ L}. Ce programme est rejet´e par le syst`eme de types

sensible au flot de Hunt et Sands [20] qui est présenté à la figure 2.4. En effet, le niveau de sécurité de l2 est élevé à H après le branchement conditionnel. Alors que le moniteur

accepte cette exécution lorsque l1 s’évalue à faux.

La règle (J-LOW) est appliquée lorsque les points de jointure sont atteints avec un contexte de niveau bas L. On peut noter que l’état du moniteur n’est pas changé.

Dans le document Combinaison d'approche statique et dynamique pour l'application de politiques de sécurité (Page 71-75)