Contrˆ ole dynamique par monitorage de l’ex´ ecution

3.3.1 Introduction

Nous présentons dans cette section un mécanisme dynamique de contrôle de flot d’information, basé sur la surveillance de l’exécution du programme par un moniteur sensible aux flots. On décrit un cadre de travail généralisé pour un moniteur hybride, paramétré par la partie statique du mécanisme et par le choix de sa réaction en présence des flots illicites. L’approche est tirée des travaux de Russo et Sabelfeld [24] et de ceux de Chudnov et Naumann [8]. Pour la suite de cette section, nous allons présenter la sémantique opérationnelle des expressions et des commandes, préciser le modèle de sécurité et examiner les configurations et le comportement du moniteur.

3.3.2 Syntaxe et s´emantique dynamique des programmes

Les programmes considérés dans cette section sont écrits dans le langage impératif simple que nous avons présenté dans le chapitre2, auquel est ajouté la commande output décrite dans la section 3.2.1.

L’état du programme est représenté par les configurations de la forme hc, mi, où c est la commande qui reste à exécuter, et m une fonction qui associe aux variables du programme des valeurs (voir figure3.2). La sémantique des expressions est donnée par une extension de la fonction m aux expressions arbitraires. Par exemple, m(e1⊕ e2) est défini par m(e1) ⊕ m(e2).

Les r`egles pour la s´emantique des commandes ont la forme hc, mi−→S _αhc0, m0i, qui correspond `

a la plus petite étape entre deux états du programme, où α est un événement de sortie visible par le moniteur. S est l’étiquette de la transition et traduit une sortie visible à l’extérieur du programme s’il y a lieu. On parle dans ce cas de transition étiquetée. Lorsqu’une transition aboutit à une configuration avec la commande spéciale stop et une certaine mémoire m, on dit que l’exécution se termine avec la mémoire m. Par exemple, la commande if e then c1 else c2

se réduit à c1 lorsque l’expression e est évaluée à un entier non nul sous la mémoire m. On

hif e then c₁ else c2, mi S

−→_αhc₁, mi si m(e) 6= 0.

L’ex´ecution de la commande outputl(e) pour afficher la valeur de l’expression e sur le canal de

niveau de sécurité l produit une étiquette S. Cette étiquette déclenche l’événement d’affichage qu’on note ol(v), où v est la valeur de l’expression e dans la mémoire courante.

On écrira m[x 7→ v] pour signifier que la variable x est mise à jour avec la valeur v dans la mémoire m.

Figure 3.2 – S´emantique des commandes tir´ee de [24]

3.3.3 Le moniteur : configuration et fonctionnement

Rappelons que dans notre contexte, le moniteur est un programme qui surveille l’exécution des autres programmes afin de contrôler le flot d’information. Le système est constitué du programme et du moniteur. L’état du système est représenté par les configurations de la forme hhc, mi|µcfgmi où hc, mi est la configuration du programme tel que décrite dans la

représente une transition du système par le symbole −→. Quand la transition produit une sortie visible, on la représente par −→αoù α est de la forme ol(v) pour un niveau de sécurité l

et une valeur v. On représente une séquence de transitions du système, possiblement vide, par : −→∗

−

→_α o`u −→α est une liste de sorties produites durant l’ex´ecution. On utilise une convention

similaire pour représenter une exécution non surveillée par le moniteur par les transitions de la forme−→S α.

Les moniteurs peuvent avoir différents comportements face à une tentative d’exécution des instructions non sécuritaires. Il est possible de modéliser ces comportements en utilisant les configurations du système. Arrêter une exécution à l’atteinte d’une instruction non sécuri- taire correspond à la configuration du moniteur qui est incapable de faire une progression. Le moniteur peut supprimer une sortie ou remplacer le contenu par une valeur par défaut quand la sécurité est compromise. On modélise ces cas par une configuration du système qui peut produire une transition non étiquetée (aucune sortie visible), ou qui peut déclencher un ´

ev´enement d’affichage OL(d ) pour une valeur par d´efaut d.

Définition 6. Sûreté d’un moniteur

On dira qu’un moniteur est sûr s’il n’accepte aucune exécution non sécuritaire d’un programme sans modifier ce dernier.

Cette condition de sûreté du moniteur est suffisante pour en faire un moniteur cohérent. En effet, pour être cohérent, un moniteur en plus d’être sûr, ne doit pas changer la sémantique d’un programme qu’il modifie. Nous avons vu que le moniteur ne peut modifier un programme qu’au niveau de ses sorties visibles, le risque d’altérer la sémantique est alors très limité.

3.3.4 La condition de s´ecurit´e par rapport au moniteur

Le modèle de sécurité comprend le treillis constitué de l’ensemble des niveaux de sécurité muni d’une relation d’ordre, de l’étiquetage initial des variables du programme Γ0et de l’attribution

d’un niveau de sécurité à chaque canal de sortie. On suppose que l’attaquant connaˆıt ou fournit les programmes et a une capacité de raisonnement à propos de la sémantique du programme. Toutefois, il n’a pas de contrôle sur les mécanismes de surveillance de l’exécution des programmes. Il ne peut ni observer directement les valeurs en mémoire, ni influencer le comportement du système autrement que de fournir les programmes et y introduire des entrées non secrètes, qui sont les valeurs initiales des variables de bas niveau de sécurité. On suppose que l’attaquant peut observer des sorties sur les canaux à un niveau de sécurité spécifique ou plus bas et qu’il est insensible à la consommation de la puissance de calcul de l’ordinateur, du temps d’exécution et de tout autre canal caché.

Définition 7. Mémoires L-équivalentes

On dit que deux mémoires sont L-équivalentes si elles co¨ıncident sur leur partie visible par un observateur public, c’est-à-dire que les variables publiques ont toutes les mêmes valeurs dans les deux mémoires.

Observons que cette définition est liée à un environnement de typage donné Γ où on peut iden- tifier le niveau de sécurité de chaque variable. Soient m1 et m2 deux mémoires L-équivalentes

par rapport `a l’environnement Γ, on note m1 ≡Γm2

Pour la formulation de la propriété de sécurité, on se restreindra à un treillis à deux niveaux de sécurité, un niveau public et un niveau privé. On suppose donc que l’auteur de l’attaque n’observe que les sorties publiques et la partie publique de la mémoire initiale.

Condition de s´ecurit´e

La condition de sécurité impose que, en présence du moniteur, si deux exécutions quelconques commencent avec deux mémoires initiales L-équivalentes et émettent deux séquences de sorties publiques, alors les deux séquences doivent être identiques. Sinon, l’une doit être une sous- séquence de l’autre, et l’exécution qui a produit la plus courte séquence ne doit plus produire d’autres sorties publiques. Plus formellement, en notant :

– L(−→α ) la projection sur l’ensemble des sorties publiques de la liste des événements −→α , – |−→α | le nombre d’événements dans la liste −→α et

– hhc, m1i|µcfgmi ⇒ H une ex´ecution en pr´esence du moniteur qui ne produit aucune

sortie publique ;

soit µ un moniteur, m1 et m2 deux m´emoires et un environnement de typage Γ, tel que

m1 ≡Γm2. Si hhc, m1i|µcfgmi −→∗−_α→ 1 hhc 0_{, m}0 1i|µcfgm10i, alors ∃c00, m0₂, cfgm₂0. hhc, m2i|µcfgmi −→∗−_α→ 2 hhc 00_{, m}0 2i|µcfgm20i. avec : – |L(−α→2)| ≤ |L(−α→1)| et – si |L(−α→2)| = |L(−α→1)| alors L(−α→2) = L(−α→1)

– si |L(−α→2)| < |L(−α→1)| alors L(−α→2) est une sous-s´equence de L(−α→1)et

hhc00, m0₂i|µcfgm20i ⇒ H.

Cette condition veut que deux exécutions qui commencent avec deux mémoires L-équivalentes, produisent des sorties publiques identiques si elles se terminent. C’est une autre formulation de la non-interférence non sensible à la terminaison. Le moniteur n’est pas sensible à la terminaison ou à la non-terminaison du programme.

Condition de permissivit´e

Pour établir la cohérence de leur moniteur, Russo et Sabelfeld [24] s’appuient sur le système de types sensible aux flots de Hunt et Sands [16] dont la cohérence a été rigoureusement démontrée. Ceci est tout à fait raisonnable puisque leur moniteur imite le fonctionnement dudit système de types. Dans l’article où Hunt et Sands dévoilent leur système de type [16], ces derniers démontrent que dans un contexte sensible aux flots, il n’est pas possible pour un moniteur purement dynamique d’être à la fois sûr et plus permissif que leur système de types. En particulier, ils établissent que la sensibilité aux flots introduit un autre canal de fuite pour une exécution en présence d’un moniteur purement dynamique. Ce canal peut être exploité par un attaquant, comme on peut voir dans l’exemple suivant. Considérons le programme :

1 : a := 1; 2 : t := 0;

3 : if s then t := 1 else skip; 4 : if t 6= 1 then a := 0 else skip; 5 : outputL(a);

On suppose que ce programme s’exécute avec un environnement initial où les variables a et t sont publiques et la variable s est secrète.

Ce programme n’est pas sécuritaire. En effet, un attaquant qui peut observer la valeur de la variable a à la fin de l’exécution peut déduire celle du secret contenu dans s. Si a se termine avec la valeur 1, c’est que t vaut 0 et donc que s vaut 1. Si a se termine avec la valeur 0, c’est que t vaut 1 et donc que s vaut 0.

Observons que ce programme est rejeté par le système de types sensible aux flots décrit dans la section 3.2.1. En effet, après l’instruction 3, la variable t devient secrète et après l’instruction 4, la variable a le devient aussi. L’instruction outputL(a) ne peut donc être typée

et le programme est donc rejet´e.

Supposons un simple moniteur purement dynamique qui garde les traces des niveaux de sécurité des variables et les met à jour de la manière suivante : le niveau de sécurité de la variable est mis à H dans le cas où l’expression de droite de l’affectation contient une variable de niveau H ou que l’affectation se passe dans un contexte de niveau H. Le niveau de sécurité de la variable affectée est mis à L dans le cas contraire.

En exécutant le programme précédent en présence de ce moniteur, ce dernier met les niveaux des variables a et t à L après les deux premières instructions, car les deux variables re¸coivent des informations de niveau L (les constantes). Si s est différent de 0, le niveau de t devient H après l’exécution du premier bloc conditionnel. La condition de branchement du second bloc devient fausse et la branche a := 0 n’est pas prise. Le moniteur accepte donc cette exécution.

Si s est égal 0, le niveau de la variable t reste L et son contenu vaut encore 0. Le moniteur laisse alors exécuter le second bloc conditionnel même si la branche du then est prise, parce que sa garde n’est pas de niveau H. Comme résultat, la fuite du secret de s vers a échappe au moniteur.

Pour répondre au besoin de disposer d’un moniteur sûr et au moins aussi permissif que le système de types de Hunt et Sands, Russo et Sabelfeld proposent un moniteur hybride [24].

A l’opposé d’un moniteur purement dynamique, celui-ci prend en compte les résultats de l’analyse statique dans son analyse de sécurité. C’est le moniteur hybride sensible aux flots. La condition de permissivité veut que le moniteur soit au moins aussi permissif que le sys- tème de types de Hunt et Sands. Autrement dit, si un programme est bien typé dans ledit système de types, le moniteur ne modifie pas son comportement au cours de l’exécution. Plus formellement, soit cfgm0 l’état initial du moniteur, si on a

pc ` Γ{c}Γ0 et hc, mi−→S ∗−→_α hc0, m0i

alors,

∃ cfgm0, c00. hhc, m1i|µcfgm0i −→→−∗_α hhc00, m0i|µcfgm0i.

Avec l’hypoth`ese que le moniteur transforme le programme pour faciliter son analyse du flot d’information, et que la commande stop est invariable par cette transformation, la commande c00 est la transform´ee de c0 par le moniteur.

Remarquons que cette condition impose que la liste de sortie −→α soit identique pour les deux ex´ecutions (en la pr´esence et en l’absence du moniteur).

3.3.5 Configuration du moniteur hybride, formulation de Russo et Sabelfeld

L’état du moniteur est représenté par les configurations de la forme hΓ, Γsi où Γ est un

environnement de typage et Γs une pile d’environnement de typage. Pour prendre en compte

la sensibilité aux flots, l’environnement Γ, qui associe à chaque variable un niveau de sécurité, change au cours de l’exécution du programme. On considère donc Γ comme faisant partie de l’état du moniteur. Le rôle de Γs dans cette configuration sera précisé plus loin.

Le moniteur effectue des transitions de la forme hΓ, Γsi α

−→_γ hΓ0, Γ0_si, où α parcourt les évé- nements internes produits par les commandes du programme et γ est l’événement ordinaire émis par le moniteur en réponse à l’événement interne α. L’événement γ peut être une sortie visible au cas où la commande courante serait un output. Dans l’autre cas, γ sera toujours une liste vide d’événements notée . Les événements internes régulent la communication entre

le programme et le moniteur. Intuitivement, chaque fois qu’une commande déclenche un évé- nement interne α, le moniteur permet à l’exécution de se poursuivre en toute sécurité s’il est lui-même en mesure d’effectuer la transition étiquetée α. Cette règle se formalise comme suit :

hc, mi−→ hcα 0, m0i hΓ, Γsi−→α γ hΓ0, Γ0si

hhc, mi|µ Γ, Γ_si−→ hhcγ 0_{, m}0_{i|µ Γ}0_{, Γ}0 si

Ceci stipule que chaque α est synchronisé avec le moniteur et l’événement γ est la réponse. En présence des instructions non sécuritaires, le moniteur peut décider d’arrêter ou de modifier l’exécution du programme. S’il y a modification, les événements α et γ seront différents. Ces deux événements sont considérés comme l’interface du moniteur.

Ev´enements internes transmis par le programme au moniteur

La table 3.1présente la sémantique des étapes unitaires de génération d’événements pour un langage impératif simple. On peut voir que chaque commande envoie un événement interne particulier au moniteur :

– La commande skip envoie l’´ev´enement s,

– L’affectation de e à x envoie l’événement a(x, e), – La commande if e then c1 else c2 envoie :

– l’´ev´enement b(e, c2) si m(e) 6= 0 et

– l’´ev´enement b(e, c1) si m(e) = 0,

– La commande while e do c envoie : – l’événement b(e, skip) si m(e) 6= 0 et – l’événement b(e, c) si m(e) = 0, – La commande end envoie l’événement f ,

– La commande outputl(e) envoie l’´ev´enement ol(e, v) .

Les param`etres du moniteur : la pile Γs et les fonctions lev et update

Avant de pr´esenter la configuration du moniteur, pr´ecisons le sens de la pile Γset des fonctions

lev(e, Γ) et updatel(c) dans cette configuration.

La pile Γs

La pile des environnements de typage joue le même rôle que pc dans le système de types. Lorsque la pile est vide (Γs = ), cela indique que l’instruction courante n’est pas dans

un contexte de haut niveau. Avoir Γs = correspond `a avoir pc = L. D’autre part, Γs 6=

implique que l’instruction courante est dans un contexte de haut niveau (c’est-à-dire pc = H). En outre, la longueur de Γsindique la profondeur de la branche et chaque élément de la liste

hskip, mi−→ hstop, mis m(e) = v

hx := e, mi−−−→ hstop, m[x 7→ v]ia(x,e) hc1, mi α −→ hstop, m0i hc1; c2, mi−→ hcα 2, m0i hc₁, mi−→ hcα 0 1, m0i c016= stop hc1; c2, mi α −→ hc0₁; c2, m0i m(e) 6= 0 hif e then c1 else c2, mi

b(e,c2)

−−−−→ hc1; end, mi

m(e) = 0 hif e then c1 else c2, mi

b(e,c1)

−−−−→ hc2; end, mi

hend, mi−→ hstop, mif m(e) 6= 0

hwhile e do c, mi−−−−−→ hc; end; while e do c, mib(e,skip) m(e) = 0

hwhile e do c, mi−−−→ hend, mib(e,c) m(e) = v

houtputl(e), mi ol(e,v)

−−−−→ hstop, mi

Table 3.1 – Sémantique des commandes avec événements internes tirée de [24]

if secret then (if secret then x := 0 else skip) else skip;

la longueur de Γs est de deux au moment de l’ex´ecution de l’affectation x := 0 et son contenu

est l’analyse statique des deux commandes skip. La profondeur de la branche permet au moniteur de détecter le point de branchement le plus à l’extérieur dont la garde implique un secret. L’information est utilisée pour fournir la sensibilité aux flots aux variables à l’intérieur des contextes de haut niveau.

Les fonctions lev et update

La fonction lev(e, Γ) (de l’anglais level ) retourne le niveau de sécurité de l’expression e en considérant l’environnement de typage Γ. La fonction updatel(c) retourne un environnement

hΓ, Γsi s −→ hΓ, Γsi hΓ, Γsi a(x,e) −→ hΓ[x 7→ lev(e, Γ) t lev(Γs)], Γsi (b-low) lev(e, Γ) = L hΓ, ib(e,c)−→ hΓ, i (b-high) lev(e, Γ) = H ∨ Γs6= hΓ, Γ_sib(e,c)−→ hΓ, update_H(c) : Γsi (j-high) hΓ, Γ0 : Γsi f −→ hΓ t Γ0, Γsi (j-low) hΓ, i−→ hΓ, if

Table 3.2 – Sémantique opérationnelle du moniteur tirée de [24]

au niveau de sécurité l, où l un élément quelconque du treillis de sécurité. Sémantique opérationnelle du moniteur

La table 3.2présente les différentes réactions du moniteur à la suite des événements internes produits par l’exécution.

– L’événement s, dérivant de l’exécution de la commande skip, est toujours accepté par le moniteur sans aucun changement de configuration.

– L’événement a(x, e), issu de l’exécution de l’affectation x := e, met le niveau de sécurité de x à lev(Γs) t lev(e, Γ). La fonction lev(Γs) retourne H lorsque Γs est différent de la

liste vide , sinon, elle retourne L.

– L’événement b(e, c), issu d’une instruction conditionnelle ou d’une boucle, indique au moniteur qu’il y a eu branchement sur l’expression e et que la branche c est celle qui n’est pas prise. Par exemple, la commande if e then x := 1 else x := 2 déclenche l’événement b(e, x := 2) si l’expression e est évaluée à vraie. Connaissant la branche non prise par l’exécution, le moniteur peut traiter efficacement les blocs conditionnels et les boucles répétitives. En fonction du niveau de sécurité du contexte courant, le moniteur réagit de deux manières :

– La règle (b-low) est appliquée lorsqu’on branche dans un contexte de bas niveau de sécurité. Il faut constater que Γs vaut avant et après la transition.

– La règle (b-high) est appliquée quand on branche sur une instruction conditionnelle ou sur une boucle de haut niveau (lev(e, Γ) = H), ou lorsqu’on est à l’intérieur d’un contexte de haut niveau (lev(Γs) = H). Le moniteur applique alors l’analyse

pile Γs un nouvel environnement dans lequel les variables qui seraient modifi´ees

dans la branche non prise avec la fonction updateH(c) ont pour niveau H. Cet

environnement de typage est conservé par le moniteur jusqu’à l’atteinte du point de branchement, où il est prélevé de la pile par la règle (j-high) à la réception de l’événement f par le moniteur.

– L’événement f , dérivant de l’exécution de la commande end, indique au moniteur le point de sortie d’un bloc conditionnel ou d’une boucle. Le moniteur réagit de deux manières, en fonction du niveau de sécurité du contexte courant :

– La r`egle (j-high) est appliqu´ee si on est dans un contexte de haut niveau. Elle se sert de l’information obtenue de l’analyse statique des branches non prises (Γ0) pour ´

elever le niveau de sécurité des variables dans Γ, en calculant Γ t Γ0. L’opération t entre les environnements est définie comme dans la sous-section 3.2.1.

– La règle (j-low) est appliquée à l’arrivée du point de jointure dans un contexte de bas niveau. Observez qu’il n’y a aucun changement dans l’état du moniteur. C’est au niveau de l’application de la règle (j-high) que les résultats du typage sont mis à contribution. L’environnement de typage Γ0qui est prélevé de la pile Γspour être fusionné avec

l’environnement courant Γ, est construite avec la r`egle (b-high) par la fonction updatel(c).

C’est donc tout simplement le r´esultat de l’analyse statique de la branche non prise par l’ex´ecution du programme. Un moniteur purement dynamique ignorerait tout de la branche

Dans le document Contrôle du flot d'information par des techniques basées sur le langage de programmation (Page 51-64)