Perspectives

pourra alors emprunter l’identité d’un autre dans le système en modifiant d’abord le fichier, puis en utilisant le mécanisme décrit par (33). Mais il n’y a aucune garantie que cette modification soit légitime. Cette possibilité est décrite par (34).

(34) On peut également dire que, sous UNIX, quand un processus d’un utilisateur

exécute un programme dont le code est contenu dans un fichier qui est modifiable par un processus appartenant à un autre utilisateur u, u est en mesure de prendre le contrôle du processus de . Ceci est représenté par (35). Ce type de mécanisme d’obtention de privilèges reflète le principe des chevaux de Troie (cf 1.1.1.2, page 8).

(35) Un problème délicat des transferts de privilèges réside dans leur transitivité. En effet, il est possible qu’un utilisateur u, qui ne peut normalement pas obtenir direc- tement des privilèges de l’utilisateur , puisse obtenir ceux d’un autre utilisateur lequel peut accéder à des moyens de dérober des privilèges de . C’est ce pro- blème qui est à l’origine de la représentation des vulnérabilités du système sous forme de graphe des privilèges, que nous avons vu précédemment (cf 1.3.3.3, page 50). Dans le cas d’UN I X, de nombreuses vulnérabilités existent

[Garfinkel & Spafford 1996], et leur intégration dans la politique de sécurité a tou- tes les chances de montrer que les objectifs de sécurité ne sont pas garantis. De plus, ainsi que nous l’avons vu, certains mécanismes de transfert de privilèges cons- tituent des fonctionnalités commodes et utiles pour le fonctionnement du système; leur élimination peut donc créer des difficultés inacceptables pour les utilisateurs. Face à ceci, il importe d’être en mesure d’identifier les vulnérabilités qui représen- tent une menace importante pour la sécurité, afin de pouvoir se concentrer sur leur élimination. Une méthode d’évaluation de la sécurité prenant en compte ces vulné- rabilités est alors nécessaire.

2.4 Perspectives

L’utilisation de la logique modale pour la spécification d’une politique de sécurité que nous avons présentée n’exploite pas toutes les opportunités offertes par les dif- férentes théories modales. En fait, l’approche que nous présentons laisse ouvertes un certain nombre de perspectives d’extension:

• Tout d’abord, l’intérêt pratique d’utiliser les opérateurs modaux O, P et F de la logique déontique pour formuler naturellement et rigoureusement les objectifs de la politique de sécurité laisse supposer que l’utilisation d’autres opérateurs modaux pourrait s’avérer très utile pour la construction de la politique de sécu- rité d’un système. Ainsi que nous l’avons mentionné au 2.2.2, et ainsi que l’on peut le voir au travers des travaux rapportés dans l’annexe A (page 153), la notion de modalité peut être étendue au delà des seuls points de vue ontique et UID×écriture× ∧ UIDʹ′×⇒P(UID×EstDansRhosts×UIDʹ′)

uʹ′ uʹ′

UID ×écriture×Fichiers UIDʹ′ exécution× ×Fichiers Utilisateurs× UID

∧

∧ ⇒P(Utilisateurs×UIDʹ′)

uʺ″

déontique. L’introduction des modalités dynamiques, temporelles, épistémiques ou doxastiques, au-delà de leurs désignations ésotériques, correspond en effet respectivement à l’introduction dans le langage logique des notions d’action ou d’agent, de temps, de connaissance et de croyance. L’introduction simultanée de plusieurs opérateurs modaux de nature différente permet d’obtenir un langage extrêmement expressif capable de transcrire précisément des énoncés comple- xes comme : “a croit qu’il est interdit que b connaisse p”. Dans l’optique de l’étude de la sécurité, nous nous sommes concentrés sur l’étude des opérateurs déontiques car la notion d’obligation est la notion centrale. Toutefois, l’utilisa- tion simultanée d’autres opérateurs modaux est extrêmement tentante tout au long de la formulation d’une spécification. Mais ceci correspondrait à étendre le langage monomodal que nous avons présenté et à utiliser une logique multimo- dale. Certains résultats encourageants présentés dans l’annexe A incitent à fran- chir ce pas, ce qui ouvrirait de nombreux axes d’études. Par exemple, du point de vue de la sécurité:

- L’utilisation simultanée d’opérateurs ontiques (✷, ✸) et déontiques (O, P, F) rendrait explicite la distinction que l’on peut faire entre un objectif ou une règle de sécurité du système et une vulnérabilité. En effet, la première notion correspond à ce qui est obligatoire et la deuxième à ce qui est possi- ble.

- L’introduction de la notion de temps dans une politique de sécurité semble incontournable dès que l’on s’intéresse aux aspects dynamiques des systè- mes d’information. La logique du premier ordre, ou une logique d’inter- valle, permet d’aborder ce problème dans le cadre monomodal, mais on peut également envisager d’utiliser la logique temporelle (opérateurs F, G, P, H [Van Benthem 1983]) pour exprimer des contraintes plus fortes [Yu & Gligor 1988; Maibaum 1993].

- L’étude de la logique déontique dans la littérature a montré l’intérêt d’utili- ser une logique de l’action combinant des opérateurs déontiques et dynami- ques pour représenter les obligations de chaque agent présent dans le système d’information [Hilpinen 1993; Jones & Sergot 1993]. La logique de l’action trouve naturellement sa place dans un cadre multimodal (opéra-

teurs , où désigne un agent).

- Enfin, du point de vue théorique, les logiques épistémique (opérateurs K, C) et doxastique (opérateur B) devraient certainement être associées au cadre formel utilisé pour définir une politique de sécurité. En effet, on comprend que la connaissance des obligations (ou des interdictions) par les individus concernés par la politique de sécurité est un point délicat pour sa mise en œuvre. Par ailleurs, ces opérateurs peuvent être utilisés pour représenter plus précisément des propriétés de confidentialité [Bieber & Cuppens 1993; Cuppens 1993b].

a

2.4- Perspectives 107

• Plus généralement, l’application satisfaisante d’une des nombreuses logiques modales à une tâche de spécification particulière telle que celle des besoins de sécurité d’un système d’information, tout comme l’utilisation de la logique modale temporelle dans d’autres domaines [Emerson 1990], incite à considérer les théories modales comme des outils prometteurs pour la représentation rigou- reuse de propriétés complexes. Face à ces résultats, et en considérant que la logique multimodale est un cadre unificateur susceptible de préserver les atouts des nombreuses théories modales déjà étudiées [Catach 1989], l’étude de son utilisation pour la spécification des systèmes, notamment pour ce qui est de leurs propriétés non fonctionnelles, semble tout à fait digne d’intérêt.

Chapitre 3

Évaluation de la sécurité

Même si elle permet de définir précisément les règles et les propriétés de sécurité attendues dans un système d’information, la politique de sécurité définit avant tout un fonctionnement idéal. Le fonctionnement réel du système est soumis par ailleurs à des contraintes de faisabilité ou de souplesse, et peut s’avérer en contradiction avec la politique de sécurité. L’observation du système en exploitation peut donc révéler des éléments nouveaux susceptibles de mettre en défaut les objectifs de sécurité. Ces différents éléments constituent alors des vulnérabilités du système. Dans la pratique, en raison des nécessités du fonctionnement de l’organisation ou en regard des efforts nécessaires à leur élimination, ces conflits peuvent même être acceptables. L’élimination de toutes les vulnérabilités peut donc poser des difficul- tés, notamment dans le cas où elles trouvent leur origine dans des fonctionnalités contribuant à l’efficacité du système d’information. Enfin, on conçoit que, dans cer- tains cas, l’impact de ces vulnérabilités sur la sécurité effective du système soit négligeable, ce qui justifie qu’elles subsistent dans l’organisation. Toutefois, afin d’estimer précisément l’impact de vulnérabilités qui entrent en conflit avec la politi- que de sécurité préalablement définie, il importe de disposer d’une méthode d’éva- luation de la sécurité. Cette évaluation de la sécurité offre alors un moyen objectif de justifier la confiance que l’on accorde au système malgré la présence de vulnéra- bilités.