S´ ecurit´ e et agents mobiles : - Administration proactive ` a l’aide d’agents mobiles

Administration proactive ` a l’aide d’agents mobiles

3.3 S´ ecurit´ e et agents mobiles :

La sécurité des agents mobiles constitue un problème très complexe et crucial qui doit ˆ

etre résolu si l’on souhaite que les applications basées sur les agents mobiles dépassent le stade expérimental et soient largement utilisées.

3.3.1 Probl` emes courants

Il existe une première menace lorsque les agents sont transférés sur le réseau. Une machine pirate α peut écouter ce qui se passe sur le réseau pour essayer d’obtenir des in-formations confidentielles [LO98].αpeut également intercepter les agents et les corrompre.

Ce type d’attaques peut être évité en utilisant les protocoles d’échanges sécurisés clas-siques (SSL...). Une seconde menace de taille implique le serveur distant que les agents visitent. En fait, quand on envoie des agents vers un serveur β distant, on s’attend à ce que β traite les agents normalement et n’essaie pas de les corrompre. Mais l’agent est complètement aux mains du serveur β qu’il visite. β est entièrement responsable de l’exécution de l’agent, et peut ne pas l’exécuter correctement. Le serveur peut donner par ailleurs de mauvaises informations à l’agent. L’itinéraire de l’agent peut ne pas être sûr. Un serveur peut empêcher un agent d’aller vers un autre serveur avec lequel il est en compétition, et au lieu de cela il peut l’envoyer vers un serveur avec lequel il possède des accointances. De ce fait, il vaut mieux et il faut que les décisions critiques prises par les agents ne soient prises que sur des hôtes de confiance. Pour tisser un réseau d’hôtes de confiance, on peut envisager la possibilité d’échanger des codes cryptés (encryptés avec la clé publique du serveur de destination), ce qui garanti la confidentialité des informations qui transitent. Ce mécanisme est assez lourd, et n’est pas encore arrivé à maturité sur la plupart des plates-formes d’agents mobiles. Par ailleurs, il est nécessaire que tous les protagonistes de ce dispositif se fassent confiance.

3.3.2 Types d’attaques possibles sur un serveur :

Les problèmes de sécurité ne concernent pas seulement les agents eux-mêmes mais les agents peuvent aussi présenter un risque pour les serveurs. L’agent peut annoncer de fausses informations concernant son authentification. Pour parer à cela, il est pos-sible d’employer la signature digitale pour encrypter les informations demandées lors de l’authentification. Par ailleurs, dans un agent mobile, il est possible de trouver des so-lutions pour protéger les informations invariantes comme l’identité de son propriétaire par exemple. Par contre, il est difficile, voire impossible, de crypter l’état de l’agent car il change au cours de sa propre vie. Il n’y a pas de manière pour vérifier l’état courant d’un agent, car c’est le résultat de l’exécution du programme qu’il transporte sur un hôte du réseau, il est ainsi difficile d’authentifier complètement l’agent, car on ne peut jamais ˆ

etre vraiment sûr que son état n’a pas été corrompu. Il existe plusieurs manières pour améliorer le process d’authentification d’un agent. Par exemple, si on sait dès le départ qu’une portion de l’état de l’agent reste identique pendant tout son cycle de vie, il peut alors être signé par le propriétaire par exemple. Par ailleurs, on peut faire des suppositions

3.3. Sécurité et agents mobiles : pour vérifier que l’état dynamique d’un agent n’est pas absurde. Ces solutions ne sont pas parfaites et ne permettent en aucun cas de garantir à 100% l’intégrité de l’agent.

L’agent est corrompu :

Cela veut non seulement dire que le code de l’agent a été corrompu, mais aussi que son état a été probablement altéré. Si l’agent revient vers le serveur qui l’a initialement instancié et émis, il est facile de vérifier l’intégrité du code, mais par contre, il est difficile, voire impossible, de vérifier si l’état de l’agent est correct. La seule solution qui soit sûre ici est d’avoir un groupe de serveurs qui se font confiance les uns les autres, de telle manière qu’il est possible d’authentifier le code de l’agent ”visiteur” sans problème auprès du serveur originel.

L’agent abuse de ses droits et nuit au serveur :

La signature de code ne garantit en rien le comportement des agents. Ces agents peuvent ainsi abuser de leurs droits d’accès si le serveur d’accueil est mal configuré. Pour limiter les risques liés à l’abus de droits d’accès, la plate-forme d’agents mobiles doit posséder les propriétés suivantes :

♦ sécurité du langage : tous les dispositifs du langage de programmation des agents permettant des accès illégaux à la mémoire système ou à des informations privées doivent être strictement interdits à la compilation du code.

♦ respect des autorisations : tous les agents doivent être strictement contrôlés grâce à des politiques de contrôle d’accès définies de manière globale. Il ne devrait pas être possible de contourner ces politiques.

Il y a trois problèmes majeurs concernant la sécurité des systèmes d’agents mobiles :

♦ les hôtes doivent être protégés des agents nuisibles.

♦ les agents ”migrateurs” doivent être protégés contre les éventuelles manipulations perpétrées par les hôtes les hébergeant.

♦ enfin, le comportement global du système basé sur les agents doit être contrôlé.

3.3.3 Points techniques

D’une manière générale, pour assurer la sécurité dans une plate-forme d’agents mobiles, il est nécessaire d’étudier les points suivants (qui seront décrits en détail dans la suite du document) :

♦ l’authentification,

♦ l’int´egrit´e,

♦ la confidentialit´e,

♦ le contrˆole d’acc`es,

♦ la non-r´epudiation,

♦ l’audit.

Authentification :

a la réception : avant d’accepter un agent mobile (AM) entrant, un serveur a besoin de savoir qui est l’émetteur de cet AM. Il est donc nécessaire ici d’authentifier l’AM. Ce processus inclue le contrôle d’identité de :

♦ l’entité qui a développé l’AM,

♦ l’entité qui a instanciée et dispatchée l’AM.

a l’émission : avant d’envoyer un AM, le serveur émetteur a besoin de vérifier que le serveur de destination est vraiment le serveur qu’il prétend être. Le concept d’authen-tification est fondamental en ce qui concerne la sécurité dans une plate-forme d’agents mobiles. On relève quatre types d’authentification dans les AM :

♦ authentification de l’utilisateur : l’utilisateur a besoin de s’authentifier lui-même sur un serveur donné. L’encryptage a clé publique ou un mot de passe peut être utilisé pour cela.

♦ authentification de l’hôte : avant qu’un serveur ne commence à communiquer avec un autre serveur ou client, il a besoin de connaˆıtre avec qui il communique. Ce point est important, car on ne peut pas assurer l’intégrité et la confidentialité sans connaˆıtre l’entité de laquelle on re¸coit les agents ou l’entité à laquelle on envoie les agents.

♦ authentification du code : avant d’exécuter le code d’un agent entrant, le serveur a besoin de connaˆıtre qui est responsable de l’implémentation de l’agent. Les signa-tures digitales sont généralement utilisées à cet effet.

♦ authentification de l’agent : avant d’exécuter le code d’un agent entrant, le serveur a également besoin de savoir qui est le propriétaire de cet agent. C’est un problème toujours d’actualité.

L’intégrité : pour se fier à un agent, il faut s’assurer que personne n’a corrompu son

etat et son code. Contrôler l’intégrité d’un agent revient en définitive à vérifier qu’il n’y a pas eu d’altérations illégitimes à l’état et au code de l’agent.

La confidentialité : un agent peut transporter des informations confidentielles qui ne devraient être lisibles que par des agents ou des serveurs particuliers. Cette information doit rester indéchiffrable pour les autres serveurs et agents.

Le contrôle d’accès : un AM entrant devrait accéder uniquement aux informations auxquelles il a le droit d’accéder. Le contrôle d’accès est la manière de spécifier et de donner les possibilités à l’agent d’accéder à l’information dont il a besoin, ou d’utiliser les services fournis par un serveur.

La non-répudiation : les mécanismes de non-répudiation empêche à un agent ou à un serveur de nier qu’un échange particulier a eu lieu.

3.3. Sécurité et agents mobiles : L’audit : l’audit se base sur l’archivage de toutes les données concernant les activités des agents. Ce service est fondamental pour analyser ce qui s’est passé en cas d’attaque par exemple.

3.3.4 De la s´ ecurit´ e des codes mobiles et de l’ex´ ecution de fonc-tions encrypt´ ees :

Les codes mobiles posent de nouvelles contraintes de sécurité qui se décomposent en deux catégories :

♦ Comment protéger l’hôte qui exécute des codes mobiles potentiellement dangereux ?

♦ Comment prot´eger les codes mobiles d’un hˆote potentiellement dangereux ?

Un sondage de l’état de l’art des technologies des agents mobiles en ce qui concerne la sécurité est décrit par Karjoth et Posegga dans [PK00], du point de vue d’un opérateur pu-blic de réseaux. Ils s’intéressent aux deux catégories de contraintes de sécurité mentionnées ci-dessus et en déduisent les mécanismes de protection potentiellement utilisables.

Prot´eger l’hˆote :

Cette question a re¸cue une attention considérable à cause notamment des virus (qui sont une forme de codes mobiles). Les solutions couramment utilisées pour ce problème sont d’exécuter les codes mobiles dans une zone mémoire protégée (”sandbox” ou ”bac à sable”) à l’aide de politiques de contrôle d’accès et en appliquant la signature de code.

Karjoth et al. [KLO97] décrivent un modèle global de sécurité pour la plate-forme Aglet qui supporte la définition de politiques de sécurité relativement flexibles.

Prot´eger les codes mobiles eux-mˆemes :

Il a longtemps été admis que les codes mobiles ne peuvent pas être protégés des falsifications d’un hôte corrompu. Cependant, Sander et Tshudin [ST98] montrent qu’il est possible, au moins dans le principe, de protéger les codes mobiles en appliquant des principes de base de la cryptographie. Karjoth et al. [KAG98] montrent comment protéger l’intégrité des résultats de l’exécution d’un agent visitant plusieurs hôtes. Yao [Yao86] et d’autres ont montré qu’il était possible de sécuriser le traitement informatique de fonctions arbitraires dans un environnement distribué. Cependant, ces protocoles ont besoin pour fonctionner de beaucoup d’interactions entre l’utilisateur et l’hôte. Or, dans un système se disant basé sur les codes mobiles autonomes, on ne peut tolérer qu’un seul message à l’aller et un seul message au retour (ce message étant le code mobile lui-même). Cachin et al. dans [CCKM00] montre qu’il est possible de protéger le code mobile d’un hôte espion.

Cependant, une telle application est limitée au cas où le code mobile ne change pas l’état de l’hôte de quelque manière que ce soit. Cette contrainte forte s’applique également aux travaux de Karjoth et Yao. Dans le cas où l’hôte accueillant l’agent mobile doit prendre en compte des résultats des traitements de l’agent mobile, alors il est nécessaire d’avoir confiance en un équipement tiers à l’épreuve des falsifications. La sécurité des codes mobiles peut-être obtenue en partie grâce à l’utilisation de tels équipements sécurisés, comme il est proposé dans [ACCK01].

3.3.5 Conclusion :

En conclusion, il est possible, au moins théoriquement, de traiter des données en-cryptées, d’exécuter des fonctions encryptées, et de protéger le code mobile d’un hôte espion. Cela a été démontré en pratique, mais seulement sur des programmes minus-cules. Mais d’une manière générale, les systèmes basés sur les agents mobiles posent beaucoup de problèmes en ce qui concerne la sécurité. Il était admis pendant longtemps qu’un programme interprété était déjà un programme sûr. Cependant, cette assertion est

evidemment fausse, et la communauté gravitant autour des codes mobiles prend conscience que la sécurité des AM est un des plus gros obstacle concernant les AM, ce qui en empêche une utilisation plus répandue.

Bien qu’en principe, il soit possible de sécuriser un hôte contre les agents mobiles, le prix à payer est très élevé : protection basée sur des équipements matériels, flexibilité réduite, et coût élevé. Il est fondamentalement impossible de protéger un agent contre un hôte corrompu s’il n’y a pas des équipements hardware auxquels on peut faire confiance sur chaque nœud. L’état de l’art en matière de sécurité des agents mobiles ne fournit au-cune solution proposant une approche acceptable pour faire face aux problèmes de sécurité dans les systèmes à agents mobiles. Les technologies disponibles (mémoire protégée, cryp-tographie...) ne peuvent couvrir que certains aspects seulement de la sécurité dans les agents mobiles, et échouent parfois à résoudre ces aspects de manière satisfaisante. Un concept global pour faire face à ces problèmes n’a pas encore été trouvé. Les agents mo-biles constituent un champ de recherche actif et la sécurité des codes mobiles offre un potentiel immense pour des recherches futures.

Il est donc dangereux pour l’instant d’ouvrir pleinement les réseaux aux agents. Le seul scénario tolérable est d’exécuter des agents propriétaires dans des réseaux complètement contrôlés et isolés. Curieusement, même cette situation semble risquée, vue qu’il n’y a en pratique pas de manière de contrôler rigoureusement un réseau dépassant une cer-taine taille. Il n’est pas suffisant de créer des applications attractives basées sur les agents mobiles. Ce qui est également nécessaire est un concept applicable pour faire face aux problèmes de sécurité qui sont inhérents à ce type d’environnement. Un tel concept doit remplir des contraintes très fortes, sinon il n’y aura pas d’investissement dans les en-vironnements d’agents mobiles, et cette technologie sera condamnée à rester au stade expérimental. Cependant, aucun système informatique ne peut être sûr à 100% à ce jour, il est donc nécessaire de faire des compromis. Dans les entreprises, cependant, les compro-mis sont gouvernés par des considérations économiques : le gain potentiel doit dépasser les coûts, et le risque doit être évaluable. C’est pour cette raison que l’utilisation futur d’applications basées sur les agents mobiles dans un but commercial n’est pas prévisible.

Dans le document Modélisation conjointe de l infrastructure et des processus pour l administration pro-active de l entreprise distribuée (Page 114-118)