1 Introduction

• ISO 7498-2:– définition de la terminologie de la sécurite,– description des services et mécanismes sécuritaires,– définition des points d’application des services de

sécurité dans le modèle OSI,– définition es concepts de gestion de la sécurité.

Le cycle de vie de la sécurité

• Définition de la politique de sécurité,

• Analyse des menaces (en fonction de la politique),

• Définition des services de sécurité protégent des menaces,

• Définition des mécanismes fournissant les services,

• Gestion courante de la sécurité

Menaces, services et mécanismes

• Une menace est une action possible violant la politique de sécurité (exemple : perte d ’intégrité ou de confidentialité).

• Un service est une mesure qui peut être prise pour faire face à une menace (exemple : service de confidentialité)

• Un mécanisme est un moyen qui permet de fournir le service (exemple : chiffrement, signature électronique).

2 Domaine et politiques

• Dans un système sécurisé, les règles gouvernant la sécurité doivent être rendu explicites sous la forme d ’une politique de sécurité.

• Politique de sécurité : ensemble des critères de fourniture des services de sécurité.

• Domaine de sécurité : domaine auquel s ’applique la politique de sécurité.

Types de politiques

• La norme ISO 7498-2 distingue deux types :– identity-based: l ’accès et l usage sont déterminés

sur la base des identités des utilisateurs et des ressources,

– rule-based: l ’accès et l usage sont contrôlés par des règles globales s ’imposant à tout utilisateurs, exemple un étiquetage .

3 Les menaces

• Une menace est :– une personne, chose, événement ou idée mettant

en danger un bien (en termes de confidentialité, intégrité, disponibilité ou usage légitime).

• Une attaque est une réalisation de la menace.

• Protections = mesures (contrôles, procédures) contre les menaces.

• Vulnérabilités = faiblesses des protections.

Risque

• C ’est une mesure du coût d ’une vulnérabilité (prenant en compte la probabilité d ’une attaque réussie).

• L ’analyse du risque vise à déterminer l ’intérêt du coût d ’une protection nouvelle ou améliorée.

Les menaces fondamentales

• Quatre menaces (selon les critères CIA) :– Fuite d ’information (confidentialité),

• les conversations téléphoniques du Prince Charles 1993,

– Violation de l ’intégrité• USA Today, falsified reports of missile attacks on Israel,

7/2002

– Déni de service• Yahoo 2/2000,

– Usage illégitime• Vladimir Levin détourne 50 MMFdu réseau SWIFT

(1995) .

Les menaces élémentaires

• Elles conduisent à la réalisation d’une menace fondamentale:– Mascarade,

• Royal Opera House web site, 8/2002

– Contournement des contrôles,• ADSL modem passwords – Illegitimate Use

– Violation des autorisations,• Cross site scripting – Information Leakage

– Cheval de Troie,• PWSteal.Trojan, 1999 – Information Leakage

– Piègeage des portes d ’accès • Ken Thompson, Unix login – Reflections on Trusting Trust, 1975 -

Illegitimate Use

4 Services de sécurité

• 5 services principaux :– Authentification (y compris authentification des

entités et origines),– Contrôle d ’accés,– Confidentialité,– Intégrité des données,– Non-répudiation.

Authentification

• Niveau entité : vérification d ’une identité revendiquée à un instant donné.

• Utilisé généralement au début d ’une connexion.

• Combat les menaces par mascarade et rejeu.

• Niveau origine : vérification de la source des données.

• Ne suffit pas à se protéger contre le rejeu.

• GSM, serveur web

Contrôle d ’accès

• Protection contre les usages non autorisés d ’une ressource :– utilisation des ressources de communications,,– lecture/écriture d ’une ressource,– exécution sur une ressource.

• Remote users

Confidentialité

• Protection contre les accès non autorisés à l ’information.

• Plusieurs types :– confidentialité de la connexion,– confidentialité en mode non connecté,– confidentialité au niveau d ’un champ de données,– confidentialité d ’un flot de trafic.

• Banque sur Internet • Routeurs à chiffrement sur le réseau SWIFT.

Intégrité des données

• protection contre les menaces portant sur la validité des données.

• 5 types:– intégrité de la connexion avec/sans récupération,

– Intégrité en mode non connecté,

– Intégrité de champs particuliers avec/sans connexion,.

• MD5 hashes http://www.apache.org/dist/httpd/binaries/linux/

Non-répudiation

• Protection contre un émetteur de données prétendant ne pas les avoir émises (non-répudiation de l’origine).

• Protection conre un récepteur prétendant ne pas les avoir reçues.

• Signature et accusé de réception d ’un courrier

5 Mécanismes

• Fournissent et supportent les services de sécurité.

• Deux classes:– Mécanismes spécifiques à certains services– Mécanismes génériques.

Mécanismes spécifiques

• Huit types:– Chiffrement,

• fournit la confidentialité des données

– signature numérique,• procédure de signature (privée),

• procédure de vérification (publique).

• Permet la non-répudiation, authentification de l origine et services d ’intégrité des données

– Contrôle d ’accès• Usage d ’une information sur le client pour prendre la décision

l ’autorisant à accéder aux ressources – ex access control lists,, labels de securité,

Mécanismes spécifiques

• Huit types (2):– mécanismes de maintien de l ’intégrité des données

• Protection contre la modification des données.– Permet authentification de l origine et services d ’intégrité des données,

également à la base de certains mécanismes d ’authentificationdes échanges

– authentification des échanges,• Basée sur les mécanismes de signature et de chiffrement

– bourrage de trafic• Addition d ’un trafic fictif destiné à masquer les volumes réels

• Permet la confidentialité au niveau flux,

Mécanismes spécifiques

• Huit types (3):– contrôle du routage

• empêche la circulation des données sensibles sur des canaux non protégés.

• ex. choix d ’une route en fonction de la sécurité physique de ses composantes.

– Notarisation• Utilisation d ’une tierce partie fiable pour valider  intégrité, origine

et/ou destination des données.

• S ’appuie généralement sur des fonctions cryptographique.

Mécanismes génériques

• Cinq types :– Fonction de confiance

• Toute fonctions impliquées dans un mécanisme de sécurité doit être digne de confiance (trustworhy)

• logiciel et matériel.

– (étiquette de sécurité) security labels• Toute ressource (ex : donnée stockée, processeur, canal de

communications) peut se voir affectée une étiquette indiquant sa sensibilité.

• Idem pour les utilisateurs

• L ’étiquette doit souvent être attachée aux données transférées

Mécanismes génériques

• Cinq types (2):– détection d ’événement (event detection,)

• détection des tentatives de violations,• détection des activités légitimes • Peut déclencher des événements (alarmes), logging, récupération

automatique

– audit,• Log des évènements passés à fin d ’investigation des brêches de

sécurité.

– Récupération • Peut impliquer un abandon de l ’opération, l ’invalidation temporaire

ou permanente (blacklist) d ’une entité;

Services versus mécanismes

• La norme ISO 7498-2 indique les mécanismes qui peuvent être utilisés pour fournir les services.

• Les omissions incluent:– l ’usage des mécanisme d ’intégrité à es fins

d ’authentification,– l usage des techniques cryptographiques pour la non

répudiation (et éventuelleùment la notarisation)

Service/mécanismes I Mechanism Service

Enciph- erment

Digital sign.

Access Control

Data integrity

Entity authentication Y Y

Origin authentication Y Y

Access control Y

Connection confidentiality Y

Connectionless confidentiality Y

Selective field confidentiality Y

Traffic flow confidentiality Y

Connection integrity with recovery Y Y

Connection integrity without recovery Y Y

Selective field connection integrity Y Y

Connectionless integrity Y Y Y

Selective field connectionless integrity Y Y Y

Non-repudiation of origin Y Y

Non-repudiation of delivery Y Y

Service/mécanismes II Mechanism Service

Auth. exchange

Traffic padding

Routing Control

Notaris- ation

Entity authentication Y

Origin authentication

Access control

Connection confidentiality Y

Connectionless confidentiality Y

Selective field confidentiality

Traffic flow confidentiality Y Y

Connection integrity with recovery

Connection integrity without recovery

Selective field connection integrity

Connectionless integrity

Selective field connectionless integrity

Non-repudiation of origin Y

Non-repudiation of delivery Y

Services versus couches OSI

• Les couches 1 and 2 peuvent fournir les services de confidentialité.

• Les couches 3/4 sont concernées par de nombreux services.

• La couche 7 peut fournir la totalité des services.

Service/layer tableService/layer table

Layer Service

Layer 1

Layer 2

Layer 3

Layer 4

Layer 5/6

Layer 7

Entity authentication Y Y Y

Origin authentication Y Y Y

Access control Y Y Y

Connection confidentiality Y Y Y Y Y

Connectionless confidentiality Y Y Y Y

Selective field confidentiality Y

Traffic flow confidentiality Y Y Y

Connection integrity with recovery Y Y

Connection integrity without recovery Y Y Y

Selective field connection integrity Y

Connectionless integrity Y Y Y

Selective field connectionless integrity Y

Non-repudiation of origin Y

Non-repudiation of delivery Y