Home

tolérance aux fautes, sécurité et protection dans les systèmes

image

Contents

1. Ainsi qu il a t montr dans l ensemble de ce rapport la s curit des syst mes r partis peut tre vue d abord en consid rant un syst me r parti comme une machine abstraite sur laquelle s ex cutent des applications r parties Mais compl mentairement cette vue il convient de prendre en compte galement la s curit des communications qui servent de support au syst me r parti La s curit des communications est l objet d tudes depuis tr s longtemps bien avant le d veloppement de l informatique c est pour les communications que les premiers algorithmes de chiffrement ont t utilis s Su tone dans De vita C sarum d crit un chiffre utilis par Jules C sar pour les messages qu il envoyait ses intimes Aujourd hui la s curit des communications a atteint un niveau de maturit suffi sant pour que des normes soient publi es dont en particulier la Norme Internationale IS 7498 2 de PISO ISO 88 Cette norme d finit des fonctions de s curit pour les communications et des m canismes pour r aliser ces fonctions Les fonctions de s curit sont e authentification des entit s communicantes e autorisation de communiquer e Ja confidentialit des communications donn es et flux e int grit des communications e la non r pudiation Les m canismes d finis dans cette norme sont e le chiffrement e les signatures num riques e la notarisation qui consis
2. Le mod le de Bell LaPadula Bell 74 fournit un exemple de telles r gles e chaque sujet s correspond une habilitation h s e chaque objet oj correspond une classification c 0j e Propri t simple si 0j lire h sj c oj e Propri t toile si 0j lire A si Ox crire C OK c oj Dans ce mod le la propri t simple interdit de lire des informations d un niveau de classification sup rieur au niveau d habilitation et la propri t toile emp che les flux d information d un niveau de classification donn vers un niveau de classification inf rieur on peut v rifier facilement que si h sy lt c oj il n existe pas de suites i j k et 1 m n telles que si o lire A S1 Oj crire A Sm Oj lire A Sx ok crire A Sn Ox lire en effet ceci conduirait par la propri t toile et la propri t simple c oi lt c 0j lt h Sm lt lt C OK lt h sn c oi lt h Sp ce qui est contraire a l hypoth se de d part Il existe d autres politiques par mandats qui visent a pr server des niveaux d int grit plut t que des niveaux de confidentialit Biba 75 Clark 87 Les politiques par mandats visent donc a emp cher les fuites d informations ou les fraudes a l insu de leur propri taire par exemple au moyen d un cheval de Troie ou par accident mais aussi emp cher les fuites ou les fraudes provoqu es par un utilisateur m
3. e La protection consiste associer des droits aux relations processus objets et ne permettre que les acc s autoris s par ces droits e Les r gles qui d finissent les droits d acc s des sujets sur les objets constituent la politique d autorisation parfois improprement appel e politique de s curit La politique d autorisation doit tre bas e dans la mesure du possible sur un mo d le formel pour permettre de v rifier que la politique est compl te et coh rente et que sa mise en uvre est conforme ITSEC 91 Il existe de nombreux mod les formels dont les plus connus sont e le mod le HRU Harrison 76 qui repr sente les droits d acc s sous forme d une matrice et permet une description formelle de leur volution e le mod le Take Grant Jones 76 permet de d num rer les modifications possibles de droits et de v rifier s il est possible d atteindre des tats non s rs e le mod le de Bell LaPadula Bell 74 pour des politiques multi niveaux ax es sur la confidentialit e le mod le de Biba Biba 75 qui est quivalent au mod le de Bell LaPadula pour l int grit Pour la suite nous adopterons une notation proche de celle du mod le HRU Dans cette notation la configuration instantan e de protection du syst me informatique est d finie par un triplet S O A constitu de trois ensembles l ensemble S des sujets courants l ensemble O des objets courants et l ensemble A
4. qui pourra tre confi e l autorisation d ex cuter ces op rations Des autorisations diff rentes seront accord es selon les personnes soit en fonction de degr s de confiance diff rents soit en fonction de t ches diff rentes e La s curit physique est l ensemble des moyens qui limitent l acc s physique au syst me informatique verrouillage des portes gardiens etc Dans le cas des sys t mes r partis la s curit physique est de moins en moins efficace en raison du grand nombre de points d acc s possible stations et r seau et en raison des inter connexions avec des r seaux large chelle e La s curit proc durale est l ensemble de r gles administratives concernant l acc s physique aux machines la manipulation physiques des entr es sorties sorties d imprimantes sauvegardes etc l installation de nouveaux logiciels le raccordement de nouveaux terminaux la maintenance etc Ces r gles contr l es par les m canismes de s curit physique ou par le personnel mais non par le syst me informatique lui m me servent compl ter les contr les d acc s logiques voire en suppl er les insuffisances OTi Tol rance aux fautes s curit et protection dans les syst mes r partis 3 2 2 Authentification L authentification est le premier des contr les d acc s logiques Elle comprend l identification des utilisateurs et la v rification de cette identification L identifi
5. tre dignes de confiance car leur efficacit repose sur leur coh rence mutuelle En particulier la gestion de la matrice de droits d acc s est r partie et doit rester coh rente Figure 9 7 L approche du Livre Rouge Dans cette approche si un sujet s acc de un objet distant 02 la requ te est transmise par la TCB du site 1 la TCB du site 2 celle ci fait confiance l authentification de l utilisateur par la TCB du site 1 et consulte les listes de contr le d acc s de l objet o2 pour autoriser ou refuser l acc s A l inverse la TCB du site 1 fait confiance la TCB du site 2 pour la v rification des droits et en particulier pour emp cher des fuites par violation de la politique de s curit globale Ceci conduit assez naturellement une gestion d centralis e de la s curit o chaque TCB est responsable de l authentification des utilisateurs locaux et de la gestion des listes de contr le d acc s des objets locaux en plus de la liaison avec les autres TCB Mais cette approche o chaque site doit faire confiance aux autres n est pas com patible avec les syst mes ouverts actuels o la gestion de la s curit est h t rog ne ce qui rend difficile une gestion coh rente de la s curit D autre part l approche du Livre Rouge impose qu on ait confiance dans les personnes responsables de l administration 41 Tol rance aux fautes s curit et protection dans les
6. Comme K conna t la cl permanente Ks de ST K peut g n rer le ticket Te st st c adr tg life Ke st Ky K envoie C un message M contenant la cl de session Ke 57 et le ticket Te sr le tout chiffr g c st c st par mdp M Kesst Te st mdp C d chiffre M l aide du mot de passe fourni en clair par Putilisateur U au moment du login et m morise Kest et Test Figure 9 5 Etablissement d une session client serveur Lorsque C veut tablir une session avec S C envoie ST un message contenant I identit s du serveur S auquel il veut acc der le ticket Tc s et un authentifieur Ac s t ST d chiffre Test l aide de sa cl permanente Kz v rifie la validit de s c adr tg et life et utilise Kc st pour d chiffrer Ac st t dont il v rifie la validit Si tous ces param tres sont valides il g n re une valeur al atoire Ke s qui servira de cl de session entre C et S et g n re un ticket Te ST conna t la cl perma nente Ks de S ST envoie C un message M contenant la cl de session Ke et le ticket Tc s le tout chiffr par Kest M Ke s Te s K g C d chiffre M a l aide de Kest et m morise la cl de session Ke s et le ticket Tes C envoie S sa requ te avec le ticket Tes et un authentifieur Ac s t S d chiffre Te s l aide de sa cl permanente Ks v rifie la validit de s c adr t4 et life et utilise Kc s pour d chiffrer Ac s t dont il v rifie la
7. il l a re u Cet aspect est tr s important pour les applications bancaires comme le transfert lectronique de fonds 21 Tol rance aux fautes s curit et protection dans les syst mes r partis 3 1 4 Cryptanalyse Quand des informations sensibles doivent tre stock es ou transmises par des moyens consid r s comme vuln rables une coute passive ou une interception des techniques de chiffrement sont g n ralement utilis es Le chiffrement consiste trans former des informations en clair appel es texte clair en un texte chiffr appel cryptogramme l aide d une cl de chiffrement maintenue secr te L op ration inverse est le d chiffrement La cryptanalyse consiste pour un attaquant obtenir des informations secr tes texte clair cl s algorithme de chiffrement partir d informations non secr tes cryptogramme 3 1 5 D duction par inf rence La d duction par inf rence consiste pour un intrus recouper des informations auxquelles il a l gitimement acc s pour en d duire des informations confidentielles auxquelles il ne devrait pas avoir acc s Ce type d attaque vise principalement les bases de donn es pour lesquelles par exemple certains utilisateurs n ont acc s qu des requ tes statistiques et non pas des informations individuelles Cette technique s apparente celle du furetage qui consiste parcourir l ensemble des informations auxquelles il est poss
8. la pr sence de fautes de conception intentionnelles ou d intrusions la suppression de fautes c est dire la minimisation par v rification de la pr sence de fautes de conception intentionnelles e la pr vision des fautes c est dire l valuation des cons quences des fautes ventuelles 3 3 1 Pr vention des fautes intentionnelles La premi re m thode de pr vention est la dissuasion faire en sorte que l attaquant sache qu il court un risque s rieux s il commet d lib r ment des fautes qu il s agisse d intrusions ou de fautes de conception La dissuasion peut reposer sur des r glements int rieurs de l entreprise pour ce qui concerne les attaques les plus courantes qui proviennent de membres de l entreprise ou sur un arsenal l gislatif de plus en plus complet et efficace tant en France qu l tranger Pour la France on peut citer en particulier e la loi Informatique et libert s e Ja convention europ enne sur la d fense des libert s individuelles 43 Tol rance aux fautes s curit et protection dans les syst mes r partis e les lois sur les droits d auteurs et la protection des logiciels e la loi Godfrain sur le piratage informatique Pour ce qui concerne les fautes de conception d lib r es les techniques de g nie logiciel destin es principalement a pr venir les fautes involontaires peuvent tre effi caces lecture crois e des sour
9. mais aussi dans certains cas par des circuits autotestables Ces unit s sont galement con ues pour limiter la propagation d erreur par exemple les contr leurs de Dynabus et les contr leurs d entr e sortie sont construits de telle sorte qu aucune faute mat rielle unique ne puisse bloquer les deux bus auxquels ils sont connect s Il existe ainsi toujours un chemin pour acc der un p riph rique double acc s m me en cas de d faillance d un processeur d un bus ou d un contr leur 13 Tol rance aux fautes s curit et protection dans les syst mes r partis Dynabus Interface dynabus Unit centrale Module Module Module processeur processeur processeur M moire Canal d E S Cont terminal Contr l disque Figure 9 1 Tandem Non stop Les disques sont organis s en disques miroirs c est dire qu chaque disque correspond une copie identique chaque criture est envoy e aux deux disques la lecture n tant faite que sur un seul disque de fa on optimiser les temps d acc s En cas d erreur de lecture sur un disque l ordre de lecture sera r percut sur l autre disque qui sert alors d unit de secours Cette notion d unit de secours est g n ralis e en cas d chec d une op ration sur un processeur un bus ou un contr leur il existe une autre unit capable d effectuer la m me op ration en secours Cette m me notion est appliqu e au logiciel qui
10. p riph riques m caniques ou d activer certains mat riels dans des configurations dangereuses ainsi sur les premiers IBM PC il tait possible de d truire l cran monochrome par logiciel en bloquant le balayage lectronique qui tait g n r par le coupleur on cite galement le cas de destruction d imprimantes cha ne dont l avance papier tait bloqu e par un programme qui en m me temps faisait imprimer en permanence certaines s quences de caract res pour provoquer le d chirement du papier mais aussi un chauffement anormal pouvant aller jusqu un incendie 23 Tol rance aux fautes s curit et protection dans les syst mes r partis 3 1 10 Cheval de Troie Un cheval de Troie est un programme effectuant une fonction illicite tout en don nant l apparence d effectuer une fonction l gitime La fonction illicite peut tre de divulguer ou de modifier des informations attaque contre la confidentialit ou l int grit ou peut tre une bombe logique Un cheval de Troie peut tre vu comme un cas particulier de d guisement dans le sens o la fonction illicite s ex cute avec les droits qui ont t accord s au programme l gitime Exemple de cheval de Troie la disquette AIDS Solomon 89 Le 11 d cembre 1989 environ 10 000 pochettes publicitaires ont t adress es par la soci t PC Cyborg 7 000 abonn s du magazine britannique PC Business World et 3 000 partic
11. syst me non tol rant aux fautes 18 Tol rance aux fautes s curit et protection dans les syst mes r partis Le System 88 peut comporter jusqu 8 cartes processeurs soit donc au total 16 microprocesseurs 68020 pour r aliser une structure fonctionnellement quivalente un quadri processeur La tol rance aux fautes est transparente au logiciel ce qui permet d utiliser des progiciels stan dard Le syst me d exploitation ne comporte pas de particularit si ce n est des programmes de maintenance activ s en cas de d tection d erreur pour d terminer si la faute est transitoire auquel cas il suffit de r initialiser la carte dans le cas contraire il faut remplacer la carte avant de la r initialiser Ces op rations se font sans interruption ni ralentissement du traitement tant qu il n y a qu une faute mat rielle 2 3 3 Avantages et inconv nients des techniques compensation d erreur L inconv nient majeur des techniques compensation par rapport aux techniques recouvrement en est la redondance n cessairement plus lev e de l ordre de trois fois plus de mat riel en cas de vote majoritaire simple de l ordre de quatre fois dans le cas de composants auto testables en redondance active Le premier avantage de ces techniques est que la dur e du traitement d erreur est plus faible que pour le recouvrement d erreur Dans le cas du masquage cette dur e est m me constante
12. vote majoritaire Il peut tre fait la m me remarque sur le vote que sur la d tection par comparaison d exemplaires cf 2 2 1 l algorithme de vote peut tre simple si les exemplaires sont identiques et synchronis s et si le traitement est d terministe si ces hypoth ses ne peuvent tre garanties il faut consid rer que les exemplaires sont diversifi s et appliquer un algorithme de d cision plus ou moins complexe d pendant g n ralement du type des informations sur lesquelles il faut voter Avizienis 85 Exemple Tandem Integrity S2 Jewett 1991 Annonc en 1989 le syst me Tandem Integrity S2 vise comme son pr d cesseur le syst me Non Stop tol rer une faute mat rielle unique mais avec comme exigence suppl mentaire de pouvoir utiliser des logiciels non sp cifiques et en particulier d avoir un syst me d exploitation compatible avec Unix Ceci a conduit concevoir l architecture pr sent e la figure 9 3 Cette architecture est caract ris e par une structure tripl e pour les processeurs et leurs m moires locales et par une structure duplex pour les voteurs autotestables les m moires globales et les processeurs et bus d entr e sortie Les m moires locales contiennent chacune une copie du noyau Unix dans une zone prot g e et des zones de programmes et de donn es d application Les m moires globales contiennent galement des zones d application et des zones de contr le et de
13. 29 Tol rance aux fautes s curit et protection dans les syst mes r partis Exemple de porte d rob e Le nid du coucou Stoll 88 Stoll 89 En ao t 1986 une erreur de quelques cents est apparue dans la comptabilit d un des ordinateurs du centre de calcul du Lawrence Berkeley Laboratory Plus pour apprendre comment fonctionnait ce syst me de comptabilit qu cause du pr judice Clifford Stoll s est pench sur ce probl me et a rapidement d couvert que quelqu un s tait introduit dans le syst me en utilisant le compte d un utilisateur autoris d guisement puis avait acquis les privil ges syst me super utilisateur en exploitant une faille connue de Gnu emacs sur Unix BSD porte d rob e Plut t que de corriger le syst me pour emp cher l intrus de renouveler ce type d attaque il a t d cid compte tenu de l absence de donn e classifi e sur ce syst me d observer les intrusions pour tenter d identifier l individu qui en tait responsable et de surveiller les d g ts qu il pourrait commettre En dix mois il a tent de p n trer par l interm diaire du calculateur du LBL dans 450 ma chines principalement des ordinateurs militaires connect s sur le r seau MILNET Il a r ussi s introduire dans 30 de ces machines par d guisement ou par des portes d rob es le plus souvent gr ce la n gligence des utilisateurs Il essayait alors d obtenir par furetage d
14. a emp cher la corruption des informations par des fautes accidentelles ou intentionnelles Ainsi d finie l int grit est une condition n cessaire pour la s ret de fonctionnement Mais dans le cas des fautes intentionnelles les attaques contre l int grit visent soit 19 Tol rance aux fautes s curit et protection dans les syst mes r partis introduire de fausses informations soit modifier ou d truire des informations c est dire provoquer des erreurs pour que le service inappropri d livr par le syst me produise un b n fice pour l attaquant au d triment des utilisateurs autoris s C est typiquement le cas des fraudes informatiques Bien s r l attaquant essayera en g n ral de faire en sorte que les erreurs qu il introduit ne soient pas d tectables et que la d faillance qui en r sulte ne soit pas visible Dans d autres cas de fautes intentionnelles ce qui est vis par l attaquant est sim plement d emp cher que le syst me d livre un service appropri Il s agit alors d une attaque contre la disponibilit qui est appel e d ni de service Enfin un autre type de fautes intentionnelles est constitu par les utilisations non autoris es du syst me des fins personnelles M me si ces fautes n ont pas de cons quence sur le service d livr aux utilisateurs autoris s elles provoquent une d faillance du syst me dans le sens o le service n est pas ap
15. aux techniques cl secr te ou mot de passe qui n cessitent le partage d un secret entre l authentificateur et l authentifi Il existe d autres protocoles sans apport de connaissance qui ne sont pas bas s sur des chiffrements cl publique mais sur des couples valeur secr te valeur publique pour lesquels il n est pas possible de calculer la valeur secr te en un temps polynomial en connaissant la valeur publique L authentification consiste alors pour l authentifi prouver qu il conna t la valeur secr te alors que l authentificateur ne conna t que la valeur publique Exemple Strongbox Yee 88 Soit n le produit de deux grands nombres premiers n est connu de tous les composants du syst me mais sa factorisation est inconnue Chaque composant C du syst me g n re une valeur al atoire r satisfaisant la relation 1 lt r lt n 1 il conserve secr te la valeur re et calcule xe remod n qu il publie Il n est pas possible de calculer r connaissant x en un temps poly nomial car Rabin a prouv que s il tait possible d extraire la racine carr e modulo n en un temps polynomial il serait possible de factoriser n en un temps polynomial ce qui est consid r comme faux actuellement Supposons que B veuille authentifier A avec une confiance de 2 t pouvant tre choisi aussi grand qu on veut A g n re valeurs al atoires vj i allant de 1 at avec 1 lt vj lt n 1 A calcule
16. dans le cas du Nid de Coucou cf 3 1 8 intervention par la localisation de l intrus et les poursuites judiciaires son en contre ainsi que par la restauration ventuelle des informations d truites et la correction des failles de s curit e le brouillage consiste ajouter des informations superflues par exemple mes sages de bourrage sur les voies de communication ou augmenter l incertitude dans les r ponses aux requ tes statistiques dans les bases de donn es pour tol rer les attaques de d duction par inf rences e la fragmentation diss mination consiste d couper l information en fragments de telle sorte que des fragments isol s ne puissent fournir d information significa tive puis s parer les fragments les uns des autres par diss mination de sorte que l intrusion d une partie du syst me ne fournisse que des fragments isol s la dis s mination peut tre g ographique utiliser des sites ou des voies de communica tion diff rents temporelle transmettre les fragments dans un ordre al atoire ou m lang s avec d autres sources de fragments fr quentielle utiliser des fr quences diff rentes dans des communications large bande cette technique est utilis e dans le projet Saturne pour r aliser un service d archivage de fichiers s r ainsi que pour g rer la s curit dans les syst mes r partis et son application est envisag e pour le traitement fiable de donn e
17. de source unique sont les donn es d un capteur local la valeur d une horloge locale la vue locale de l tat des autres composants etc Il est g n ralement n cessaire que les composants non d faillants atteignent un consensus sur ces informations de source unique pour pouvoir maintenir une coh rence mutuelle sur leurs traitements ult rieurs ce consensus est bien s r plus difficile obtenir s il n est pas fait d hypoth se sur les modes de d faillance c est dire si est prise en compte la possibilit de d faillance incoh rente ou byzantine cf 1 2 3 Des algorithmes ont t d velopp s pour certains probl mes sp cifiques comme la synchronisation des horloges Lamport 85 ou les protocoles d appartenance Cristian 88 Le co t de ces algorithmes est souvent beaucoup plus important pour des syst mes r partis faiblement coupl s que pour les syst mes fortement coupl s pour lesquels des d veloppements mat riels sp cifiques sont envisageables par exemple les interstages de Smith 86 et Lala 86 2 1 2 Traitement de faute La premi re tape du traitement de faute est le diagnostic de faute qui consiste d terminer les causes des erreurs en termes de localisation et de nature Puis viennent les actions destin es remplir l objectif principal du traitement de faute emp cher une nouvelle activation des fautes c est dire la passivation Cela est r alis en retirant les compos
18. de l tat du syst me par rapport au processus de traitement qui est susceptible d entra ner une d faillance La cause adjug e ou suppos e de l erreur est une faute Une erreur est donc la manifestation d une faute dans le syst me et une d faillance est donc l effet d une erreur sur le service Une faute est active lorsqu elle produit une erreur Une faute active est soit une faute interne qui tait pr c demment dormante c est dire qu elle ne produisait pas d erreur et qui a t activ e par le processus de traitement soit une faute externe Une faute interne peut passer de mani re cyclique de l tat dormant l tat actif Une erreur est par nature temporaire Elle peut tre latente ou d tect e une erreur est latente tant qu elle n a pas t reconnue en tant que telle elle est d tect e soit par des m canismes de d tection d erreur qui analysent l tat du syst me soit par l effet de l erreur sur le service d faillance G n ralement une erreur propage d autres erreurs nouvelles dans d autres parties du syst me Une d faillance survient lorsqu une erreur traverse l interface syst me utilisateur et affecte le service d livr par le syst me Si un syst me peut tre consid r comme un ensemble de composants la cons quence de la d faillance d un composant est une faute interne pour le syst me qui le contient et aussi une faute externe pour le ou l
19. de la matrice de droits d acc s sont faites par le sous syst me de s curit en respectant la politique d autorisation En g n ral les droits d acc s ne sont pas g r s directement sous forme d une ma trice compl te de droits d acc s car une telle matrice serait trop importante nombre de cases nombre de processus actifs X nombre d objets pr sents dans le syst me et changerait trop souvent Une premi re solution pour r duire la taille de la matrice consiste regrouper dans des domaines de sujets l ensemble des sujets qui ont les m mes droits sur les m mes objets ce qui conduit r duire le nombre de lignes de la matrice puisqu il suffit alors d une ligne par domaine Ces domaines de sujets sont eux m mes des objets sur lesquels les sujets d un domaine peuvent ex cuter des op rations telles que changer les droits d un domaine ou appeler un domaine pour changer de privil ges Typiquement cela peut correspondre des modes de fonctionnement maitre esclave ou superviseur utilisateur Cela peut donner par exemple Domaine 1 ouvrir 1 e x ouvrir l e changer les superviseur droits Domaine 2 ouvrir x ouvrir l e ouvrir e appel utilisateur 39 Tol rance aux fautes s curit et protection dans les syst mes r partis La m me technique de domaine de sujet est appliqu e par les syst mes pour les quels la v rification des droits se fait uniquement sur les utilisateurs et
20. des droits d acc s courants des sujets sur les objets Les sujets tant eux m mes des objets processus on aS O L ensemble A est une matrice de droits d acc s avec une ligne par sujet sj et une colonne par objet oj A si 0j Aij dij o di est un sous ensemble de D l ensemble de tous les droits possibles Nous crirons que la relation sj Oj dx est vraie si et seulement si le sujet sj a le droit dx sur l objet oj D o dij dk E D I si 0j d 3 2 3 1 Politiques d autorisation On distingue deux types de politiques d autorisation les politiques discr tion naires et les politiques par mandats 34 Tol rance aux fautes s curit et protection dans les syst mes r partis a Politique discr tionnaire Dans le cas d une politique discr tionnaire les droits d acc s chaque information sont manipul s librement par le responsable de l information g n ralement le propri taire sa discr tion Les droits peuvent tre accord s chaque utilisateur individuellement ou des groupes d utilisateurs ou les deux Ceci peut amener le syst me dans un tat non s r c est dire contraire la politique d autorisation qui a t choisie Prenons un exemple simple bas sur les m canismes de protection d Unix Dans un tel syst me les droits d acc s un fichier sont d finis et modifiables librement par l utilisateur propri taire du fichier et donc par les suje
21. e d utiliser un virus sinon comme moyen de protection au moins comme un moyen de suivre le piratage qui tait fait de leurs logiciels c est le virus Brain du nom de la compagnie qui se propage par modification du secteur de boot des disquettes syst mes Selon de r centes estimations ce virus aurait contamin entre 100 000 et 500 000 IBM PC et compatibles sur un parc estim a 30 000 000 d unit s Il est g n ralement b nin En d cembre 1987 un nouveau virus pour PC a t d couvert en Isra l Ce virus s attachait tout programme ex cutable en augmentant sa taille Par suite d une faute de conception ce virus pouvait r infecter ind finiment les m mes programmes dont la taille augmentait jusqu saturation de l espace allouable ce qui a permis sa d tection En fait le virus tait porteur d une bombe logique chaque vendredi 13 il d truisait tous les fichiers ex cutables Comme le vendredi 13 suivant devait tre le 13 mai 1988 veille du quaranti me anniversaire de la R publique d Isra l certains ont mis l hypoth se d un acte de terrorisme Selon les m mes estimations que pour le virus Brain ce virus aurait lui aussi infect entre 100 000 et 500 000 IBM PC et compatibles On d nombre actuellement plusieurs centaines de virus diff rents pour PC Les autres types de micro ordinateurs ont eux aussi leurs virus on conna t plusieurs dizaines de virus diff rents pour Mac
22. est organis sous forme de paire de processus chaque processus correspond un processus de secours s ex cutant sur un autre processeur le pro cessus actif envoie r guli rement des points de reprise au processus de secours ces points de reprise sont soit des copies de l tat du processus actif soit des deltas par rapport l tat pr c dent soit encore une fonction de transformation de l tat en fonctionnement normal le processus de secours ne fait que mettre jour son tat en fonction des points de reprise qu il re oit si le processeur sur lequel s ex cute le processus actif d faille les autres processeurs le d tectent par l absence de message je suis vivant diffus toutes les deux secondes par tout processeur en fonctionnement correct le syst me d exploitation du processeur sur lequel s ex cute le processus de secours active alors ce processus qui prend la main sur le dernier point de reprise re u Cette organisation sous forme de paires de processus impose une conception sp cifique du syst me d exploitation et des logiciels d application en particulier pour la g n ration des points de reprise La r alisation des applications est facilit e par des biblioth ques de fonctions l men taires mais l incompatibilit avec les produits standard provoque une augmentation significative des co ts Un autre inconv nient de cette architecture est li au fait que la couverture de
23. etc les contraintes d int grit classiques en gestion de transactions ou le test d acceptation acceptance test utilis dans la technique des blocs de recouvrement recovery blocks Horning 74 sont des exemples typiques de contr le de vraisemblance par le logiciel d application des programmes de test p riodiques ou ap riodiques qui permettent de v rifier avec une certaine couverture que le mat riel fonctionne correctement Abadir 82 La comparaison entre plusieurs exemplaires exige g n ralement une redondance plus forte mais offre l avantage d une couverture plus grande et d une latence moindre Cependant ainsi que cela a t tabli plus haut il faut que les unit s re dondantes soient ind pendantes vis a vis du processus de cr ation et d activation des fautes que l on consid re il faut s assurer que soit les fautes sont cr es ou activ es ind pendamment dans les diff rents exemplaires soit si une m me faute provoque des erreurs dans plusieurs exemplaires ces erreurs sont diff rentes Ainsi si seules les fautes physiques internes sont consid r es il est possible d utiliser des exemplaires identiques dans la mesure o il semble raisonnable d admettre que les d faillances des diff rentes unit s sont suffisamment ind pen dantes En revanche s il faut prendre en compte les fautes physiques externes il est souhaitable que les exemplaires soient similaires mais pas
24. interfaces diff rents ou confirmation par des op rateurs diff rents pour les fautes d interaction Un exemple o la diversification mat rielle et logicielle est particuli rement pouss e est donn par l architecture du syst me avionique de l Airbus A320 Traverse 89 Bien s r le type de comparaison d pend du type de redondance appliqu e S il s agit de deux exemplaires identiques une comparaison bit a bit synchrone est possible Si les exemplaires sont d synchronis s ou g ographiquement dispers s il faut tenir compte d un certain asynchronisme dans la fourniture des r sultats a comparer En revanche si les exemplaires sont diversifi s une simple comparaison ne suffit pas pour d cider si les exemplaires sont ou non quivalents il faut pour cela mettre en uvre une v ritable fonction de d cision qui peut tre complexe et dont la couverture peut ne pas tre parfaite En fait m me si les mat riels et logiciels sont identiques une comparaison bit bit n est pas toujours applicable En effet le comportement des deux exemplaires peut ne pas tre totalement d terministe m me en absence de faute en raison soit de vues locales diff rentes par exemple des adresses locales diff rentes pour les m mes donn es peuvent donner des r f rences diff rentes soit de synchronismes diff rents horloges locales diff rentes s quencement diff rent des interactions avec d autres traitements etc Dans ce c
25. la s ret de fonctionnement et de donner confiance dans cette aptitude validation de la s ret de fonctionnement La conception et la r alisation d un syst me informatique s r de fonctionnement passent par l utilisation combin e d un ensemble de m thodes qui peuvent tre class es de la mani re suivante pr vention des fautes comment emp cher par construction occurrence ou l introduction de fautes e tol rance aux fautes comment fournir par redondance un service conforme la sp cification en d pit des fautes e limination des fautes comment r duire par v rification la pr sence de fautes leur nombre et leur gravit pr vision des fautes comment estimer par valuation la pr sence et la cr ation des fautes et leurs cons quences Ces m thodes peuvent tre group es de diff rentes fa ons Ainsi pr vention des fautes et limination des fautes peuvent tre vues comme constituant l vitement des fautes comment tendre vers un syst me exempt de fautes De m me pr vention des fautes et tol rance aux fautes peuvent tre vues comme constituant l obtention de la s ret de fonctionnement limination des fautes et pr vision des fautes peuvent tre vues comme constituant la validation de la s ret de fonctionnement Tol rance aux fautes s curit et protection dans les syst mes r partis 1 2 Classifications des fautes des erreurs et des d faillances 1 2 1
26. les carr s v7 modulo n des v et les transmets B B g n re alors une cha ne al atoire de t bits b qu il transmet A Pour chaque i A transmet B z v si b 0 et z r v mod n si b 1 B peut 2 et v rifier que zi vi mod n si bj 0 et que zi Xavi mod n si bj 1 Le facilement calculer z protocole est sans apport de connaissance puisque B ne peut calculer rg quelles que soient les valeurs b qu il g n re Un intrus X n a qu une chance sur 2 de r ussir se faire passer pour A s il ne conna t pas rg puisqu il n a qu une chance sur 2 de deviner l avance les b pour g n rer des valeurs v2 qui satisferont les demandes de B 33 Tol rance aux fautes s curit et protection dans les syst mes r partis 3 2 3 Autorisation L autorisation est le second des contr les d acc s logiques Son r le est de g rer et de v rifier les droits d acc s L autorisation est mise en uvre par les m canismes de protection Les droits d acc s se d finissent de la mani re suivante D finitions e Un sujet a un droit d acc s sur un objet si et seulement si le sujet est autoris ex cuter la fonction d acc s correspondante sur cet objet Le sujet est un processus qui s ex cute pour le compte d un utilisateur L objet est n importe quelle entit du syst me informatique qui est d finie par un nom un tat et des fonctions d acc s ou op rations ou m thodes
27. physiques qui est recherch e les unit s peuvent tre identiques en se basant sur l hypoth se que les composants mat riels d faillent ind pendamment les uns des autres une telle approche ne convient pas pour la tol rance aux fautes de conception o les unit s doivent fournir des services identiques tout en tant con ues et impl ment es s par ment par exemple par conception diversifi e Avizienis 84 2 2 D tection et recouvrement La technique de d tection et recouvrement des erreurs consiste comme son nom l indique d abord d tecter les erreurs puis lorsqu une erreur est d tect e corriger l tat du syst me en substituant un tat exempt d erreur l tat erron 2 2 1 Moyens de d tection d erreur Pour d tecter des erreurs il faut soit appliquer des contr les de vraisemblance sur l tat interne du syst me ou sur les interactions entre composants soit comparer les sor ties de plusieurs composants qui effectuent les m mes traitements e Les contr les de vraisemblance pr sentent l avantage de ne n cessiter g n ralement qu un surco t peu important par rapport aux l ments fonctionnels du syst me Ils peuvent tre multiples ce qui permet de d tecter des erreurs dues de larges classes de fautes Mais leur couverture est g n ralement relativement faible Les contr les de vraisemblance peuvent tre mis en uvre par En fait le compromis surco t couve
28. qu il y ait ou non erreur Ceci peut tre tr s utile pour les syst mes temps r els dont il faut pouvoir montrer la capacit tenir les ch ances m me en pr sence de fautes Le second avantage est la transparence des m canismes de traitement d erreur vis a vis de l application il n est pas n cessaire de structurer l application en vue d un ventuel traitement d erreur Ceci permet d utiliser des syst mes d exploitation et des progiciels standard 3 S CURIT ET PROTECTION Cette section est consacr e la s curit vis vis de la confidentialit et de Vint grit des informations Il faut pour cela s int resser principalement aux fautes intentionnelles mais pas exclusivement la confidentialit et l int grit peuvent galement tre mises en danger par des fautes accidentelles La confidentialit peut tre d finie comme la capacit du syst me informatique emp cher la divulgation d informations c est dire faire en sorte que les informations soient inaccessibles ou incompr hensibles pour les utilisateurs non d sign s comme autoris s y acc der Le terme information doit tre pris dans son sens le plus large il recouvre non seulement les donn es et les programmes mais aussi les flux d information et la connaissance de l existence de donn es de programmes ou de communications L int grit peut tre d finie comme la capacit du syst me informatique
29. syst mes r partis de la s curit de chacun des sites puisque la violation de la TCB dans un des sites met en danger la s curit de l ensemble du syst me r parti ceci est incompatible avec les stations de travail actuelles o les utilisateurs peuvent facilement obtenir le contr le total de leur machine Une autre solution consiste distribuer les fonctions de s curit uniquement sur des sites de confiance C est l approche adopt e par exemple par Kerberos Steiner 88 ou par AFS Andrew File System Satyanarayanan 89 o l authentification est g r e par un serveur d authentification et o l autorisation est de la responsabilit de chaque serveur Dans ce cas il n est pas n cessaire de faire confiance aux sites utilisateurs mais il faut prot ger particuli rement les serveurs en particulier le serveur d authentification qui poss de en clair les mots de passe des utilisateurs Cette technique n est pas compatible avec des politiques d autorisation par mandats car il n est pas possible d emp cher qu il puisse y avoir des interactions entre utilisateurs qui ne passent pas par des serveurs s curis s Serveur d au thentification SERVEURS Figure 9 8 L approche de Kerberos L approche choisie dans le projet Saturne et reprise dans le projet ESPRIT Delta 4 consiste 4 ne faire confiance a aucun site particulier mais seulement a un quorum de sites Ainsi un utilisateur ne ser
30. tampon pour les entr es sorties En fonctionnement normal les 3 m moires locales ont un contenu identique de m me les 2 m moires globales ont le m me contenu Chacun des processeurs a sa propre horloge leur traitement est resynchronis par les acc s la m moire globale ces acc s donnant lieu un vote majoritaire En cas d in galit une erreur est signal e et le traitement se poursuit sans interruption sur les processeurs majoritaires Un programme d autotest est alors lanc sur le processeur minoritaire pour d terminer si l erreur a t produite par une faute douce non reproductible auquel cas le pro cesseur peut tre r ins r dans le cas contraire le processeur doit tre remplac Les entr es sorties sont bas es sur les m mes techniques que les Tandem Non Stop ou les Stratus bus doubl s processeurs d entr e sortie autotestables IOP disques miroirs Il faut n an moins noter une particularit les modules d interface bus BIM servent interfacer les bus doubl s sp cifiques avec des bus VME standard ce qui permet d utiliser des p riph riques et des contr leurs d autres fournisseurs En cas de d faillance d un IOP ou du bus associ le BIM commute le contr le du bus VME vers l autre IOP 16 Tol rance aux fautes s curit et protection dans les syst mes r partis M moire locale M moire locale M moire locale Unit centrale Unit centrale Unit centrale V
31. validit Si tous ces param tres sont valides il accepte la requ te de C Ce protocole ne n cessite pas de mat riel sp cifique mais une version c bl e du DES permet de l acc l rer Il ne n cessite pas de confiance dans la station de travail sauf pendant la phase de login o il faut que le mot de passe en clair ne soit pas m moris par un cheval de Troie En revanche il n cessite que les serveurs S fassent confiance au serveur de tickets ST partage d une cl permanente Kg et que ST fasse confiance K partage d une cl permanente Kst Il faut galement faire confiance l administrateur et aux op rateurs de K qui est un site 31 Tol rance aux fautes s curit et protection dans les syst mes r partis particuli rement sensible pour la s curit du syst me puisque K poss de dans une base de donn es tous les mots de passe en clair des utilisateurs 3 2 2 2 Authentification de Needham Schroeder par chiffre cl publique Un chiffre cl publique est un algorithme de chiffrement qui utilise des cl s diff rentes pour le chiffrement et le d chiffrement M M xplxs M xslxp KP est publi e et KS est gard e secr te L algorithme RSA Rivest 78 est le plus connu des chiffres cl publique Chaque entit E conna t KP la cl publique du serveur d authentification SA et conserve secr te KS SA conna t toutes les KP 10 De plus dans le cas du RSA
32. 1979 pp 594 597 Needham 78 R M Needham M D Schroeder Using encryption for authentication in large networks of computers Communications of the ACM vol 21 n 12 December 1978 pp 993 999 Powell 88 D Powell G Bonn D Seaton P Verissimo F Waeselynck The Delta 4 approach to dependability in open distributed computing systems Proceedings of the 18th International Symposium on Fault Tolerant Computing FTCS 18 Tokyo Japan June 1988 IEEE pp 246 251 Powell 89 D Powell La tol rance aux fautes dans les syst mes r partis Les hypoth ses d erreur et leur importance Actes du S minaire Franco Br silien sur les Syst mes Informatiques R partis LCMI UFSCet LAAS CNRS Florianopolis SC Br sil septembre 1989 pp 36 43 Randell 75 B Randell System structure for software faut tolerance IEEE Transactions on Software Engineering vol SE 1 n 2 June 1975 pp 220 232 Rivest 78 R Rivest A Shamir L Adleman A method for obtaining digital signatures and public key cryptosystems Communications of the ACM vol 21 n 2 February 1978 pp 120 126 Rushby 83 J M Rushby B Randell A distributed secure system JEEE Computer vol 16 n 7 July 1983 pp 55 67 Russell 91 D Russell G T Gangemi Sr Computer Security Basics O Reilly amp Associates ISBN 0 937175 71 4 1991 Satyanarayanan 89 M Satyanarayanan Integrating Security in a Lar
33. 86 P D Ezhilchelvan S K Shrivastava A characterisation of faults in systems Proceedings of the 5th Symposium on Reliability in Distributed Software and Database Systems IEEE Los Angeles Ca USA January 1986 pp 215 222 Fabre 82 J C Fabre Un m canisme pour la tol rance aux pannes dans l architecture r partie Chorus Th se de 3 me cycle n 2695 Universit Paul Sabatier Toulouse octobre 1982 Fabre 89 J C Fabre M Aguera M Allia Y Deswarte J M Fray J C Laprie J M Pons D Powell P G Ran a Saturne un syst me r parti tol rant les fautes et les intrusions Actes du S minaire Franco Br silien sur les Syst mes Informatiques R partis LCMI UFSCet LAAS CNRS Florianopolis SC Br sil septembre 1989 pp 291 298 Fabry 74 R S Fabry Capability based addressing Communications of the ACM vol 17 n 7 July 1974 pp 40 412 Garfinkel 91 S Garfinkel G Spafford Practical Unix Security O Reilly amp Associates ISBN 0 937175 72 2 1991 Gasser 89 M Gasser Building a Secure Computer System Van Nostrand Reinhold Company 1989 Grampp 84 F T Grampp R H Morris Unix operating system security AT amp T Bell Laboratories Technical Journal vol 63 n 8 October 1984 pp 1649 1672 Gray 86 J Gray Why do computers stop and what can be done about it Proceedings of the 5th Symposium on Reliability in Distributed Software and Database Systems I
34. AIRD l Assembl e Pl ni re des Soci t s d Assurances contre l Incendie et les Risques Divers et MELISA d velopp e pour le compte de la D l gation G n rale pour Armement Pour ces m thodes les entraves la s curit des syst mes informatiques sont g n ralement class es en menaces vuln rabilit s et risques e Les menaces sont caract ris es par les possibilit s et les probabilit s d attaque contre la s curit Elles sont d finies par la source interne au syst me ou externe par la motivation des attaquants par le processus d attaque par la cible et par le r sultat cons quences de la r ussite d une attaque e Les vuln rabilit s sont les fautes de conception intentionnelles ou accidentelles qui favorisent la r alisation d une menace ou la r ussite d une attaque Les fautes de conception intentionnelles peuvent tre malicieuses dans le but de mettre en d faut la s curit du syst me mais elles peuvent aussi tre le r sultat d lib r d un compromis acceptable entre fonctionnalit s curit et co t e Les risques sont le r sultat de la combinaison des menaces et des vuln rabilit s Les risques doivent tre valu s soit pour obtenir le meilleur compromis possible entre s curit et co t pour un syst me donn soit simplement pour calculer le montant des primes d assurance pour couvrir ces risques Mais pour comparer la capacit de divers syst mes informat
35. CSEC 85 qui soit la fois inviolable incontournable et prouv correct Cette derni re exigence implique que ces m canismes de protection soient suffisamment petits pour qu il soit possible de les analyser et de les tester exhaustivement Le syst me informatique comporte d autres fonctions li es a la s curit comme l enregistrement des utilisateurs l authentification la journalisation audit des v nements de s curit etc Ces fonctions doivent tre particuli rement prot g es c est pourquoi on les regroupe dans le sous syst me de s curit ou TCB Trusted Computing Base TCSEC 851 2375 Tol rance aux fautes s curit et protection dans les syst mes r partis SSS ee y oh Sous syst me de s curit Utilitaires Matrice des droits d acc s l Le E PRIS SEE SSSSPEE ESS SP ESESS SSP SAS SEE SES S LI SES S SEE S SSL SEE ESSSSPESSSSSEESSSS EESSS SES Moniteur de Sujets r f rences Objets Ni Fichier d audit lt Figure 9 6 Sous syst me de s curit 3 2 3 3 Gestion de la matrice de droits d acc s Rappelons que la matrice A des droits d acc s repr sente la configuration courante de la protection du syst me Chaque ligne correspondant un sujet s c est a dire un processus actif et chaque colonne correspondant un objet oj la case Aij contient la liste des droits courants du sujet sj sur l o
36. Des fautes Les fautes et leurs sources sont extr mement diverses Les trois points de vue principaux selon lesquels elles peuvent tre class es sont leur nature leur origine et leur persistance Ceci conduit classer les fautes selon l arbre suivant FAUTES NATURE ORIGINE PERSISTANCE ee TEMPORELLE CAUSE FRONTIERES PHASE a SYSTEME DE CREATION FAUTES FAUTES PA FAUTES ACCIDENTELLES PHYSIQUES INTERNES DE CONCEPTION PERMANENTES FAUTES FAUTES FAUTES FAUTES FAUTES INTENTIONNELLES HUMAINES EXTERNES OPERATIONNELLES TEMPORAIR Certaines combinaisons issues de cet arbre n existent pas par exemple il est dif ficile d imaginer que des fautes intentionnelles ne soient pas aussi des fautes humaines On peut d s lors regrouper les combinaisons possibles et leur affecter leur appellation usuelle comme dans le tableau suivant Nature Persistance Cause Extension usuelle inten tion humai a exter nq concep op ra erma tempo tion tion one raire TT nn PE Intermit tente LE Faute transitoir Faute de conception physi que malicieuse 4 Tol rance aux fautes s curit et protection dans les syst mes r partis 1 2 2 Des erreurs Une erreur a t d finie comme tant susceptible de provoquer une d faillance Qu une erreur conduise ou non d faillance d pend de trois facteurs principaux e La composition du syst me et particuli rement la nature de la redondance exis tante redondance i
37. EEE Los Angeles Ca USA January 1986 pp 3 12 Harrison 76 M A Harrison W L Ruzzo J D Ullman Protection in operating systems Communications of the ACM vol 19 n 8 August 1976 pp 461 471 Harrison 87 ES Harrison EJ Schmitt The structure of System 88 a fault tolerant computer IBM Systems Journal vol 26 n 3 1987 pp 293 318 50 Tol rance aux fautes s curit et protection dans les syst mes r partis Horning 74 J J Horning H C Lauer P M Melliar Smith B Randell A program structure for error detection and recovery Proceedings of the Conference on Operating Systems Theoretical and Practical Aspects IRIA Rocquencourt France April 1974 Springer Verlag Lecture Notes in Computer Science Vol 16 pp 177 193 ISO 88 ISO International Standard 7498 2 Information processing systems OSI Reference model Part 2 Security Architecture n 2890 ISO IEC JTC1 SC21 July 1988 ITSEC 91 ITSEC Information Technology Security Evaluation Criteria Provisional Harmonised Criteria Version 1 2 June 1991 ISBN 92 826 3004 8 Office for Publications of the European Communities L 2985 Luxembourg Existe galement en fran ais Crit res d valuation de la s curit des syst mes informatiques Crit res harmonis s provisoires Version 1 2 28 juin 1991 Jewett 91 D Jewett Integrity S2 A Fault Tolerant Unix Platform in Proc 21th Int Symp on Fault Tolerant Co
38. M3 et renvoie B le message M4 L 1 K cette tape ab correspond la r ponse au d fi envoy par B l tape pr c dente A prouve ainsi qu il conna t Kap A l issue de ces 5 tapes A et B poss dent en commun la cl de session Kap et s ils font confiance SA ils sont s rs de l identit de l autre partenaire Exemple Kerberos Steiner 88 Kerberos est le service d authentification d Athena le syst me r parti d velopp par le MIT pour interconnecter les milliers de stations de travail du campus Compte tenu de cet environne ment il n est pas possible de faire confiance aux m canismes d authentification inclus dans les stations de travail et pourtant il n est pas possible d utiliser des mat riels sp cifiques pour des raisons de co t et il faut rester compatible avec les normes de fait utilis es dans ce syst me proc dure de login compatible avec celle d Unix protocole TCP IP NFS etc Ce qu il faut s curiser c est la relation client serveur ceci est r alis au moyen d une cl de session qui sera utilis e pour chiffrer par DES tous les messages entre le client et le serveur cette cl ne devant tre connue que du client et du serveur et valide uniquement pendant la dur e de la session Le client C est une station de travail quelconque sur laquelle se connecte un utilisateur U Le serveur S ne fait pas confiance la station de travail mais conna t d autres
39. OL RANCE AUX FAUTES ACCIDENTELLES 2 1 Traitement d erreur et traitement de faute La tol rance aux fautes a pour but de permettre au syst me de fournir un service conforme aux sp cifications en d pit de la pr sence ou de l occurrence de fautes Elle est mise en uvre par le traitement d erreur et le traitement de faute Laprie 89 Le traitement d erreur est destin liminer les erreurs si possible avant qu une d faillance ne survienne Le traitement de faute est destin viter qu une ou des fautes ne soient activ es nouveau 2 1 1 Traitement d erreur Le traitement d erreur peut rev tir deux formes e recouvrement d erreur o un tat exempt d erreur est substitu l tat erron soit par reprise soit par poursuite cf 2 2 compensation d erreur o l tat erron comporte suffisamment de redondance pour permettre la d livrance d un service appropri cf 2 3 Lorsque le recouvrement d erreur est utilis 1l est n cessaire que l tat erron soit identifi comme tel avant de pouvoir le transformer c est le but de la d tection d erreur d o la locution de d tection et recouvrement d erreur qui est couramment employ e Dans le cas de la compensation d erreur le traitement d erreur est le plus souvent appliqu syst matiquement m me en absence d erreur c est le masquage d erreur Mais la compensation peut aussi n tre d clench e qu en c
40. Pour la reprise les deux points fondamentaux sont la g n ration des points de re prise et la restauration de l tat Ce qui est sauvegard lors de la g n ration d un point de reprise n est g n ralement pas un clich de l tat de l ensemble du syst me mais seulement l tat d une partie du syst me g n ralement un processus la sauvegarde de l tat du syst me est donc en fait constitu e d un ensemble de sauvegardes non coh rentes entre elles puisque non synchronis es L tablissement de points de reprise et la sauvegarde des informations peut tre facilit e par une structuration adapt e de l application par exemple par blocs de recouvrement mais aussi par des m canismes mat riels ou logiciels permettant de sauvegarder automatiquement les donn es modifi es entre deux points de reprise ant m moire r cursive recursive cache Horning 74 pile de reprise Deswarte 75 m moire stable Ban tre 86 Ban tre 87 La restauration d un tat exempt d erreur consiste remettre dans l tat de leur dernier point de reprise au moins l ensemble des processus qui ont pu tre directement contamin s par l erreur par exemple ceux qui s ex cutaient sur l unit sur laquelle l erreur a t d tect e En fait cela ne suffit pas pour obtenir un tat coh rent du syst me En effet ces processus ont pu interagir avec d autres depuis leur dernier point de reprise Ces aut
41. TOL RANCE AUX FAUTES S CURIT ET PROTECTION DANS LES SYST MES R PARTIS Ce rapport pr sente les m thodes et techniques de la s ret de fonctionnement ainsi que leur application aux syst mes r partis Dans la premi re section les notions de base de la s ret de fonctionnement et la terminologie associ e sont introduites La deuxi me section d crit les techniques de la tol rance aux fautes et montre le profit que l on peut tirer de la r partition des syst mes pour tol rer les fautes Enfin la troisi me section est consacr e aux aspects li s la s curit qui ont une importance particuli re dans les syst mes r partis 1 NOTIONS DE S RET DE FONCTIONNEMENT 1 1 Concepts de base et terminologie La s ret de fonctionnement d un syst me informatique est la propri t qui per met ses utilisateurs de placer une confiance justifi e dans le service qu il leur d livre En fonction des applications du syst me informatique les diff rentes facettes de la s ret de fonctionnement se verront accorder une importance plus ou moins grande c est dire que la s ret de fonctionnement peut tre consid r e selon des points de vue diff rents mais compl mentaires ce qui permet de d finir les attributs de la s ret de fonctionnement e par rapport la capacit du syst me tre pr t d livrer le service la s ret de fonctionnement est per ue comme la disponibilit en anglais av
42. a pas authentifi seulement par un site mais au contraire devra tre authentifi par une majorit de sites dits de s curit pour pouvoir par la suite obtenir des acc s des serveurs distants De la m me fa on les sites de s curit sont responsables de l autorisation c est dire qu ils g rent les listes de contr le d acc s ce qui d charge d autant les serveurs dans lesquels il n est pas n cessaire d avoir confiance Cette technique permet de tol rer des intrusions dans un nombre minoritaire de sites des s curit et permet m me de tol rer la malveillance d un petit nombre d administrateurs des sites de s curit Deswarte 91 42 Tol rance aux fautes s curit et protection dans les syst mes r partis Authentification et demande d acc s Tickets e Serveur de s curit utili sateur SITE DE SITE DE SITE DE utili sateur Figure 9 9 L approche de Saturne 3 3 Autres aspects de la s curit Il est possible d utiliser la m me classification pour les techniques de la s curit que pour celles de la s ret de fonctionnement au sens g n ral en s int ressant principalement aux fautes intentionnelles Ceci conduit distinguer e la pr vention des fautes qui consiste emp cher l introduction de fautes de con ception intentionnelles ou d intrusions e la tol rance aux fautes qui vise permettre de d livrer un service conforme malgr
43. aient d j t effectu s entre le point de reprise et la d tection d erreur Au titre des inconv nients de ces techniques il faut ajouter qu il est en g n ral n cessaire de structurer l application pour que le recouvrement soit possible tablissement des points de reprise contr le de vraisemblance et traitement d exceptions doivent g n ralement tre pris en compte dans le d veloppement de l application avec un support sp cifique du syst me d exploitation ce qui interdit l usage de syst mes op ratoires g n raux tels qu Unix et de progiciels qui n auraient pas t d velopp s sp cialement pour l architecture consid r e Mais en g n ral cette structuration permet aussi d am liorer la qualit et donc la fiabilit des logiciels correspondants Exemple Tandem Non Stop Bartlett 87 Les syst mes Tandem Non Stop sont con us pour tol rer une faute mat rielle unique Leur ar chitecture mat rielle est pr sent e par la figure 9 1 Elle est constitu e de composants fail fasf c est dire que les unit s centrales et les contr leurs d entr e sortie int grent des m canismes de d tection d erreur qui lorsqu ils sont activ s bloquent l unit o est d tect e l erreur Pour r duire les co ts ces m canismes de d tection d erreur sont bas s sur des contr les de vraisemblance contr le de parit codage tests de vraisemblance par logiciel et micro logiciel
44. ailability e par rapport la continuit de service la s ret de fonctionnement est per ue comme la fiabilit en anglais reliability e par rapport l vitement de cons quences catastrophiques sur l environnement la s ret de fonctionnement est per ue comme la s curit innocuit en anglais safety e par rapport la pr servation de la confidentialit et de l int grit des informations la s ret de fonctionnement est per ue comme la s curit en anglais security Le contenu de cette section est directement adapt de Laprie 89 et Laprie 92 Les concepts et la terminologie pr sent s ici sont le r sultat actuel des r flexions et discussions men es depuis une quinzaine d ann es dans un certain nombre de groupes de travail en particulier de l IFIP et de VTEEE et dans le groupe de recherche Tol rance aux fautes et s ret de fonctionnement informatique du LAAS CNRS dirig par Jean Claude Laprie qui a t le principal animateur de ces r flexions Tol rance aux fautes s curit et protection dans les syst mes r partis 1 1 1 Entraves la s ret de fonctionnement Unrrecte t lorsque le service d livr d vie du service sp cifi la sp cification tant une description agr e par exemple entre le fournisseur et l utilisateur du service attendu La d faillance survient parce que le syst me a un comportement erron une erreur est la partie
45. alintentionn De telles politiques peuvent tre mises en uvre par des m canismes d autorisation int gr s au syst me informatique mais doivent tre galement respect es par les m canismes d authentification si on veut emp cher les fuites il ne faut pas qu un utilisateur puisse transmettre un autre des informations d authentification lui permettant de se faire authentifier tort les authentifications par mot de passe sont donc proscrire 3 2 3 2 Moniteur de r f rence et de sous syst me de s curit Ainsi qu elle a t d finie plus haut la protection consiste associer des droits aux relations processus objets et ne permettre que les acc s autoris s par ces droits Il faut remarquer que dans ces conditions la protection emp che les acc s malveillants mais permet aussi de d tecter des erreurs dues des fautes accidentelles mat rielles ou de programmation et d emp cher leur propagation Les droits d acc s peuvent tre v rifi s de fa on statique c est dire lors de la pr paration de programme 36 Tol rance aux fautes s curit et protection dans les syst mes r partis compilation dition de liens statique et de fa on dynamique c est dire l ex cution ventuellement lors d une dition de liens dynamique La v rification statique est g n ralement insuffisante L exemple du Burroughs B6700 ci dessous montre qu il peut exister des portes d
46. ants consid r s comme fautifs du processus d ex cution ult rieur Si le syst me ne peut plus d livrer le m me service qu auparavant il faut effectuer une reconfiguration S il est estim que le traitement d erreur a pu directement liminer la faute ou si sa probabilit de r currence est suffisamment faible l tape de passivation n est pas n cessaire Tant que la passivation des fautes n est pas entreprise une faute est consid r e comme une faute douce entreprendre la passivation implique que la faute est consid r e comme une faute dure ou solide premi re vue les notions de fautes douce et dure peut sembler synonyme des notions pr c demment introduites de fautes temporaires et permanentes Effectivement la tol rance des fautes temporaires ne devrait pas n cessiter de traitement de faute puisque le traitement d erreur devrait dans ce cas liminer directement les effets de la faute qui elle m me a disparu pourvu qu une faute permanente n ait pas t cr e dans le processus de propagation En fait les notions de faute douce et dure sont utiles pour les raisons suivantes e distinguer une faute temporaire d une faute permanente est une t che difficile et complexe puisque d une part une faute temporaire dispara t apr s un certain 7 Tol rance aux fautes s curit et protection dans les syst mes r partis temps g n ralement avant qu un diagnostic ne soit entrepris et que d au
47. as il faut soit forcer le d terminisme pour conserver la possibilit d une comparaison bit bit soit mettre en uvre une fonction de d cision analogue celle utilis e dans le cas de la diversification L association dans un m me composant de capacit s de traitement fonctionnelles avec des m canismes de d tection d erreur conduit la notion de composant auto testable mat riel ou logiciel que les m canismes de d tection reposent sur des contr les de vraisemblance ou sur une comparaison de deux exemplaires S il est possible de consid rer que la couverture de d tection est totale et la latence nulle il est facile partir d un composant auto testable de r aliser un composant silence sur d faillance fail silent cf 1 2 3 il suffit pour cela d emp cher toute interaction avec les autres composants en cas de d tection d erreur par exemple par l arr t du processeur s il s agit d un module de traitement L un des principaux avantages de 3 Cette notion de composant 4 silence sur d faillance recouvre celle de logique a d faillance rapide fail fast logic utilis e dans Bartlett 87 et correspond la propri t d arr t sur d faillance halt on failure property des processeurs fail stop de Schneider Schneider 84 les autres propri t s exig es par Schneider pour ces processeurs savoir la propri t d tat de d faillance
48. as de d tection d erreur Dans ce cas la fronti re entre d tection et recouvrement et d tection et compensation peut para tre assez floue et d pend en fait de la mise en uvre fine des m canismes de traitement d erreur employ s cette distinction sera d velopp e au 2 3 Les principaux param tres du traitement d erreur sont la latence et la couverture La latence d erreur est d finie comme la dur e qui s pare l apparition de l erreur c est dire l activation de la faute et le traitement de l erreur ou la d faillance du syst me La latence est directement li e la couverture des m canismes de traitement 6 Tol rance aux fautes s curit et protection dans les syst mes r partis d erreur c est dire leur probabilit de traiter correctement une erreur sachant qu une faute a t activ e Plus la latence est longue ou plus la couverture est faible plus grand est le risque de propagation et de d faillance Cette notion de propagation d erreur est particuli rement importante dans les syst mes r partis o il faut coordonner l activit de composants multiples et o pourtant 1l est souhaitable que la d faillance d un composant n affecte pas les op rations des autres composants Cet aspect devient primordial quand un composant donn doit communiquer d autres composants une information qui lui est sp cifique Des exemples typiques de telles informations
49. ats Joseph 88 En revanche il existe de nombreuses techniques pour tol rer les intrusions le chiffrement permet de se prot ger contre les coutes passives il existe aussi d autres techniques cryptographiques pour d tecter des modifications non autori s es signatures num riques fonctions de compression etc la r plication permet de se prot ger contre les modifications et les destructions non autoris es puisqu un intrus devra modifier ou d truire la majorit des exemplaires pour r ussir son attaque mais la r plication est n faste pour la confidentialit 1l suffit de lire l un des exemplaires pour en obtenir le contenu e la d tection recouvrement des intrusions consiste d tecter ralentir et intervenir d tection des intrusions par les m canismes de contr le d acc s compl t s par des dispositifs permettant de discriminer entre le comportement normal des utilisateurs autoris s et un comportement anormal qui peut tre le signe d une intrusion ces dispositifs de discrimination peuvent tre bas s sur des syst mes experts Denning 86 ralentissement des intrusions soit en combattant l intrus par la r siliation des droits qu il a pu obtenir mais alors il se saura d tect soit en le trompant ou 44 Tol rance aux fautes s curit et protection dans les syst mes r partis en le gavant d informations inutiles c est la solution qu avait adopt Clifford Stoll
50. bjet oj c est dire la liste des op rations que le sujet sj peut ex cuter sur l objet oj Cette liste de droits est un sous ensemble de D l ensemble des droits v rifiables par le moniteur de r f rences Ceci d finit galement la granularit des objets r f renc s dans la matrice Par exemple dans le cas d Unix ce niveau de granularit correspond aux fichiers et aux p riph riques aux r pertoires et aux processus puisque seuls sont v rifi s les droits d acc s aux fichiers et aux signaux transmis aux processus Voici un exemple de matrice de droits Fichier 1 Fichier 2 Imprimante Processus 1 Processus 2 Processus 3 Processus 1 ouvrir 1e x lire crire Po se terminer tuer tuer d acc s Cette matrice volue dans le temps en fonction de l ex cution des processus ac tifs cr ation d un nouveau processus terminaison ou destruction d un processus cr a tion ou destruction d un objet op rations ex cut es sur les objets par exemple ouver ture d un fichier A la cr ation d un processus la ligne de la matrice est initialis e par le sous syst me de s curit en fonction des droits de l utilisateur pour le compte duquel 38 Tol rance aux fautes s curit et protection dans les syst mes r partis va s ex cuter le nouveau processus De m me la cr ation d un objet la colonne correspondante de la matrice est initialis e par le sous syst me de s curit ave
51. c des droits qui peuvent tre d finis implicitement par le cr ateur par exemple par la commande umask d Unix A la destruction du processus ou de l objet la ligne ou la colonne correspondante est d truite Les modifications de la matrice en fonction des op rations ex cut es peuvent tre complexes elles peuvent affecter soit les droits correspondant a l op ration en cours par le sujet sur l objet par exemple apr s ouverture en lecture d un fichier le processus aura le droit d effectuer des lectures sur ce fichier soit les droits des autres sujets sur le m me objet gestion des exclusions par exemple soit encore les droits du m me sujet sur d autres objets un cas particulier de ce type de modification est impos par le mod le du Mur Chinois Brewer 89 o le fait qu un utilisateur a pris connaissance de certaines informations lui interdit l acc s d autres informations D autre part la matrice de droits est elle m me un objet auquel seul le sous syst me de s curit moniteur de r f rences et utilitaires peut avoir acc s Si un sujet a le droit de modifier les droits d acc s certains objets par exemple le propri taire d un fichier dans Unix il doit pour cela transmettre une requ te a un utilitaire du sous syst me de s curit il ne peut pas acc der directement la matrice de droits m me dans le cas d une politique discr tionnaire Dans tous les cas les modifications
52. cation est la pr sentation par l utilisateur de son identit qui est une information non secr te diff rente pour chaque utilisateur et qui est associ e l utilisateur lors de son enregistrement sur le syst me informatique cela peut tre un nom un num ro ou toute autre information connue au moins par l utilisateur et par le syst me La v rification consiste s assurer que l utilisateur est bien celui dont il pr sente l identit au moyen de e quelque chose que conna t l utilisateur par exemple un mot de passe e quelque chose qu il poss de badge carte magn tique carte puce etc e quelque chose qui lui est propre empreinte digitale voix etc e quelque chose qu il sait faire par exemple une signature La qualit des dispositifs de v rification de l identit se juge par le taux d acceptation tort le syst me accepte de reconna tre l utilisateur alors qu il s agit d un autre individu mais aussi par le taux de rejet tort refus de reconna tre l utilisateur quand c est bien lui qui se pr sente Les syst mes de reconnaissance biom trique analyse d empreinte digitale reconnaissance vocale analyse du fond de l il reconnaissance dynamique de signature sont g n ralement les plus efficaces parce qu ils ne sont pas aussi facilement transmissibles qu un badge ni aussi facilement copiables qu un mot de passe ils ont cependant l inconv nient d t
53. ces programmation orient e objets g n ration des tests a partir des sp cifications etc Mais elles peuvent tre compl t es par des techniques administratives habilitation et contr le des personnels de d veloppement et des fournisseurs proc dures de mise en place de nouveaux logiciels proc dures de maintenance cloisonnement entre syst mes de d veloppement et syst mes op rationnels La pr vention des intrusions repose principalement sur l authentification des utilisateurs La pr vention des canaux couverts s obtient par le contr le des flux d information pour les canaux de m moire il faut contr ler la r utilisation des ressources tampons m moire fichiers temporaires pour les canaux temporels difficiles liminer compl tement il faut chercher en r duire la bande passante par exemple en s assurant que les ressources sont allou es statiquement ou au moins pour des dur es fixes La pr vention des d ductions par inf rences sur les bases de donn es n cessite la restriction des requ tes statistiques autoris es mais comme pour les canaux temporels il est difficile de les liminer compl tement 3 3 2 Tol rance aux fautes intentionnelles Pour tol rer les fautes de conception d lib r es la seule voie encore peu explor e semble tre la diversification de la conception c est dire faire produire par des quipes diff rentes des versions diversifi es avec vote sur les r sult
54. es composants qui interagissent avec lui Ceci conduit la cha ne fondamentale suivante gt d faillance gt faute gt erreur gt d faillance faute gt Quelques exemples permettent d illustrer cette terminologie e Un programmeur qui se trompe a une d faillance suite une erreur de raisonne ment la cons quence en est une faute dormante dans le logiciel crit Lorsque cette faute sera sensibilis e elle deviendra active La faute active produit une ou des erreurs dans les donn es trait es Lorsque ces erreurs affectent le service d livr une d faillance survient e Un court circuit qui se produit dans un circuit int gr est une d faillance du circuit La cons quence est une faute connexion coll e une valeur bool enne modification de la fonction du circuit etc qui restera dormante tant qu elle ne sera pas activ e La suite du processus est identique l exemple pr c dent e Une perturbation lectromagn tique d nergie suffisante est une faute externe Cette faute peut soit cr er directement une erreur par interf rence lectromagn tique avec les charges lectriques circulant dans les connexions soit cr er une autre faute interne 2 Tol rance aux fautes s curit et protection dans les syst mes r partis e Une interaction homme machine inappropri e effectu e par un op rateur durant la vie op rationnelle du syst me est une faute L alt ration des donn
55. es informations sen sibles sur le nucl aire sur l Initiative de D fense Strat gique SDI ou guerre des toiles etc Gr ce une coop ration internationale il a t possible de localiser et d identifier l intrus il s agissait d un allemand d Hanovre li au Chaos Computer Club et travaillant pour le KGB Il a t condamn le 15 f vrier 1990 20 mois de prison avec sursis et 10 000 DM d amende 3 1 9 Bombe logique Une bombe logique est une fonction d vastatrice d clench e retardement une date et heure pr d termin es ou d clench e par certaines conditions sp cifiques comme la pr sence de certains utilisateurs de certains logiciels ou mat riels ou apr s un nombre donn d activations etc Une bombe logique est donc une faute intentionnelle de conception qui s apparente un sabotage M me si elle n est mise en uvre que par logiciel une bombe logique peut provoquer des d g ts importants e destruction d informations stock es donn es programmes informations de con tr le et de s curit etc ces informations peuvent tre d truites par exemple en r initialisant les disques e diffusion d informations de diagnostic fausses pour entra ner le remplacement par la maintenance de composants sains ou pour mettre en d faut les m canismes de tol rance aux fautes e d g ts mat riels il est facile de provoquer par logiciel une usure anormale de
56. es qui en r sulte est une erreur etc L erreur d un r dacteur de manuel de maintenance ou d utilisation peut r sulter en une faute dans le manuel correspondant sous la forme d une ou plusieurs directives fautives Cette faute restera dormante tant que la ou les directives ne seront pas appliqu es pour faire face une situation donn e etc Ces exemples montrent clairement que la dormance de faute peut varier consid rablement en fonction de la faute consid r e de l utilisation du syst me etc Les fautes d origine humaine peuvent tre accidentelles ou intentionnelles Ainsi l exemple pr c dent relatif une erreur de programmation et ses cons quences peut tre r crit de la fa on suivante une bombe logique faute de conception volontaire est cr e par un programmeur malintentionn elle restera dormante jusqu son activation par exemple une date pr d termin e elle produira alors une erreur qui peut se manifester par un d bordement m moire ou par le ralentissement de l ex cution des programmes le service d livr sera alors affect de ce qu on appelle un d ni de service qui est un type de d faillance particulier cf 3 1 1 1 2 Moyens de la s ret de fonctionnement Les moyens de la s ret de fonctionnement sont les m thodes outils et solutions qui permettent de fournir au syst me l aptitude d livrer un service conforme au service sp cifi obtention de
57. es valeurs num riques du service d livr ne sont pas conformes la sp cification les d faillances temporelles les instants de d livrance du service ne sont pas conformes la sp cification selon que le service est d livr trop t t ou trop tard la notion de d faillance temporelle peut tre affin e en d faillance tempo relle en avance ou d faillance temporelle en retard Un cas particulier est celui des d faillances par omission aucun service n est d livr Cristian 85 Ezhilchelvan 86 Une telle d faillance peut tre vue comme un cas limite soit d une d faillance de valeur valeur absente ou de d faillance temporelle d faillance de retard infini Un syst me dont les d faillances ne peuvent tre que ou g n ralement ne sont consid r es que comme des 5 Tol rance aux fautes s curit et protection dans les syst mes r partis d faillances par omission est un syst me silence sur d faillance fail silent Powell 88 e Quand un syst me a plusieurs utilisateurs il faut distinguer selon leur perception des d faillances les d faillances coh rentes tous les utilisateurs ont la m me perception des d faillances les d faillances incoh rentes les diff rents utilisateurs peuvent avoir diff rentes perceptions d une d faillance donn e une d faillance incoh rente est g n ralement d nomm e d faillance byzantine Lamport 82 2 TECHNIQUES DE T
58. failure status property et la propri t de m moire stable stable storage property vont au del de ce qui est n cessaire pour un composant silence sur d faillance 10 Tol rance aux fautes s curit et protection dans les syst mes r partis cette approche est de permettre de d finir clairement les zones de confinement d erreur puisqu il ne peut pas y avoir de propagation d erreur l ext rieur d un composant silence sur d faillance Mais pour que cette approche soit valable elle doit reposer sur une conception sp cifique des composants de fa on obtenir une couverture suffisante des m canismes de d tection et d isolation 2 2 2 Recouvrement des erreurs Le recouvrement d erreur consiste substituer un tat exempt d erreur l tat er ron Cette substitution peut elle m me prendre deux formes reprise o le syst me est ramen dans un tat survenu avant l occurrence d erreur ceci suppose qu on ait sauvegard auparavant cet tat dans un point de reprise e poursuite o la transformation de l tat erron consiste trouver un nouvel tat partir duquel le syst me peut fonctionner g n ralement dans un mode d grad La reprise et la poursuite ne sont pas exclusives la reprise peut tre tent e d abord si elle choue par exemple parce que le point de reprise est lui m me erron il convient d essayer la poursuite
59. g sur le r seau DECNET en contami nant le syst me VMS 3 2 Contr les d acc s et protection La s curit des syst mes informatiques repose principalement sur les contr les d acc s qui ont pour premier objectif d emp cher les intrusions c est donc un moyen de pr vention des fautes Les intrusions sont des fautes d interaction intentionnelles qui peuvent tre des attaques externes c est dire venant d individus qui ne sont pas des Ils ont t appel s worms d apr s un roman de science fiction de John Brunner Brunner 82 o un programme immortel tait lanc sur un r seau d ordinateurs pour lib rer le monde de l emprise de l informatique 7 Robert T Morris Jr est le fils de Robert H Morris Chief Scientist du National Computer Security Center bien connu entre autres pour ses travaux sur la s curit d Unix Morris 79 Grampp 84 26 Tol rance aux fautes s curit et protection dans les syst mes r partis utilisateurs enregistr s du syst me informatique mais le plus souvent les intrusions sont le fait d utilisateurs malintentionn s quoique r guli rement enregistr s par le sys t me Le terme d intrusion est donc prendre dans un sens large utilisation anormale d lib r e du syst me informatique Pour emp cher les intrusions les contr les d acc s visent limiter les possibilit s de s introduire dans le syst me informatiq
60. ge Distributed System ACM Transactions on Computing Systems vol 7 n 3 August 1989 pp 247 280 Schneider 84 F B Schneider Byzantine generals in action implementing fail stop processors ACM Transactions on Computing Systems vol 2 n 2 May 1984 pp 145 154 Shoch 82 JF Shoch J A Hupp The Worm Programs Early Experience with a Distributed Computation Communications of the ACM vol 25 n 3 March 1982 pp 172 180 52 Tol rance aux fautes s curit et protection dans les syst mes r partis Siewiorek 82 D P Siewiorek R S Swartz The Theory and Practice of Reliable System Design Digital Press ISBN 0 932376 13 4 1982 Smith 86 T B Smith High performance fault tolerant real time computer architecture Proceedings of the 16th International Symposium on Fault Tolerant Computing FTCS 16 Vienne Autriche July 1986 IEEE pp 14 19 Solomon 89 A Solomon B Nielson S Meldrum AIDS Trojan Tech Rept Water Meadow Chesham Bucks HPS 1LP England December 1989 Spafford 88 E H Spafford The Internet Worm Program An analysis Tech Rept CSD TR 823 Purdue University Dept of Computer Sciences 40 p November 1988 Steiner 88 J G Steiner C Neumann J I Schiller Kerberos an authentication service for open network systems Proceedings of the USENIX Winter Conference Dallas Tx USA February 9 12 1988 pp 191 202 Stoll 88 C Stoll Stal
61. i pants europ ens d une conf rence de l Organisation Mondiale de la Sant consacr e au SIDA en octobre 1988 Stockholm Chaque pochette contenait une disquette le texte d une licence et un mode d emploi pour l installation sur le disque dur d un PC d un logiciel contenu dans la disquette L objet pr tendu de ce logiciel tait d valuer le risque d tre atteint par le SIDA en fonction de r ponses un questionnaire En fait au quatre vingt dixi me red marrage du micro ordinateur apr s l installation du logiciel une bombe logique tait lanc e provoquant le chiffrement des noms de fichiers sur le disque ce qui rend le syst me inutilisable ainsi que l dition d un bon de commande pour payer la licence du logiciel PC Cyborg au Panama Il s agit donc d une extorsion de fonds Cette tentative n a sans doute pas t fructueuse pour ses auteurs puisque d s le 13 d cembre gr ce des groupes d utilisateurs de PC de nombreuses informations de mise en garde ont t pu bli es dans les journaux et la t l vision ainsi que dans les Unix news Le premier jour de f vrier 1990 le Docteur Joseph Lewis Popp ancien employ de l OMS a t arr t par le FBI dans l Ohio suite une demande d extradition britannique pour chantage 3 1 11 Virus Un virus est un programme qui lorsqu il s ex cute se propage et se reproduit pour s adjoindre un autre programme
62. ible un utilisateur d acc der cer tains objets ou d en modifier les droits d acc s il est possible qu un cheval de Troie s ex cutant pour le compte de cet utilisateur son insu en fasse de m me de plus si un utilisateur a le droit de lire une information il a en g n ral le droit de la transmettre n importe qui b Politique par mandats Dans le cadre d une politique par mandats des r gles incontournables sont impo s es en plus des r gles discr tionnaires L une des fa ons de sp cifier ces r gles est d imposer une structure hi rarchique pour les sujets et pour les objets c est le cas des politiques multi niveaux bas es sur le mod le de la s curit appliqu e par les militaires pour la confidentialit des informations 35 Tol rance aux fautes s curit et protection dans les syst mes r partis Dans une telle politique les informations et les utilisateurs appartiennent des classes de s curit pr d finies et ordonn es non classifi diffusion restreinte confi dentiel secret tr s secret chaque utilisateur correspond un niveau de s curit appel habilitation chaque information correspond un niveau de s curit appel classifi cation Des r gles sont impos es qui d terminent quelles habilitations permettent quels acc s des informations de quelles classifications Ces r gles sont incontournables m me par les propri taires des informations
63. ible d acc der pour d couvrir des informations confidentielles 3 1 6 D guisement Le d guisement ou mascarade consiste tromper les m canismes d authentification pour se faire passer pour un utilisateur autoris personne ou service et ainsi obtenir des droits d acc s anormaux pour compromettre la confidentialit l int grit ou la disponibilit 3 1 7 Utilisation de canaux couverts Les canaux couverts sont utilis s pour transmettre en contournant les contr les d acc s des informations entre un utilisateur autoris acc der ces informations et un autre utilisateur non autoris en particulier dans les syst mes de s curit par mandats cf 3 2 3 1 Il s agit donc d attaques contre la confidentialit Il faut distinguer les canaux de m moire r utilisation de tampons ou de fichiers temporaires et les canaux temporels modulation de l utilisation de ressources communes unit centrale disque imprimante etc Plut t que d liminer compl tement ces canaux couverts ce qui est pratiquement impossible si des ressources sont partag es le syst me de s curit aura pour objectif d en r duire la bande passante des niveaux inutilisables 3 1 8 Porte d rob e Une porte d rob e trap door en anglais est un moyen de contourner les con tr les d acc s Il s agit d une faille du syst me de s curit due a une faute de conception accidentelle ou intentionnelle
64. ible de restituer un tat exempt d erreur pour les processus concern s c est dire s il existe plusieurs points de reprise successifs pour chaque processus ou si la structure de l application permet de conserver des points de reprise emboit s nested comme dans le cas des blocs de recouvrement Horning 74 Notons que l approche transactionnelle donne un support l gant la fois pour la g n ration des points de reprise et pour la restauration de l tat du syst me en particulier dans le cas de transactions emboit es nested transactions Si au lieu de l approche par reprise c est la technique de la poursuite qui est adopt e il faut reconstruire un tat acceptable pour le syst me En fonction de l application cela pourra se faire par une r initialisation du syst me et l acquisition d un nouveau contexte d ex cution aupr s de l environnement par exemple relecture des capteurs dans un syst me de contr le commande Une autre approche est celle des traitements d exceptions Cristian 85 dans ce cas les programmes d application sont con us pour prendre en compte des signaux d erreur issus des m canismes de d tection d erreur et passer d un traitement normal en un traitement d exception g n ralement d grad 2 2 3 Avantages et inconv nients des techniques d tection et recouvrement d erreur Parmi les avantages des techniques d tection et recouv
65. ictionnaire des mots de passe usuels et les comparer avec le fichier Jetc passwd Selon certaines statistiques un dictionnaire de 3000 mots permet de deviner de 8 30 des mots de passe choisis par des utilisateurs n gligents cette technique d attaque a t utilis e dans le cas du Nid de coucou cf 3 1 8 et dans le ver de R Morris cf 3 1 12 Dans les Unix s curis s les mots de passe chiffr s sont m moris s dans un fichier non accessible par les utilisateurs normaux Un autre inconv nient majeur de l authentification par mot de passe en particulier dans les syst mes r partis est le risque d interception du mot de passe lorsqu il est transmis en clair soit sur des lignes asynchrones d un terminal un ordinateur soit sur un r seau Dans ce cas il faut mettre en uvre des protocoles d authentification utilisant des techniques de chiffrement Ces protocoles sont souvent bas s sur ceux propos s par Needham et Schroeder Needham 78 utilisant soit des algorithmes de chiffrement sym triques soit des algorithmes de chiffrement cl publique 3 2 2 1 Authentification de Needham Schroeder par chiffre sym trique Nous utiliserons la notation suivante si M est un message en clair C M x est le cryptogramme correspondant au message M chiffr par la cl K et M C K est le m me message M obtenu apr s d chiffrement par la cl K Un chiffre sym trique est un algorithme de chiffrement qui u
66. intosh autant pour Atari Amstrad Apple II etc 25 Tol rance aux fautes s curit et protection dans les syst mes r partis 3 1 12 Ver Un ver worm en anglais est un programme autonome qui se propage sur les r seaux et se reproduit l insu des utilisateurs normaux Il peut lui aussi tre porteur d une bombe logique Exemples de vers Les premiers vers ont t con us par des chercheurs de Xerox la fin des ann es 70 Shoch 82 Il s agissait de programmes utiles compos s de segments qui se copiaient sur les ma chines inactives du r seau et se d truisaient lorsqu elles redevenaient actives Ces programmes pouvaient servir tester les machines mesurer les performances ou des applications parall les comme le traitement d image Il est arriv que ces programmes provoquent accidentellement des d nis de service Cohen 87 Un autre exemple de ver est celui qui a provoqu la saturation du r seau VNET d IBM en d cembre 1987 Kurzban 90 Un tudiant allemand a envoy l un de ses coll gues un message sur le r seau EARN contenant un fichier ex cutable CHRISTMA EXEC Lorsque le destinataire lisait ce message dans sa boite aux lettres le programme tait ex cut il affichait sur l cran une carte de v ux mais en m me temps une copie de ce ficher tait envoy e tous les correspondants habituels de celui qui ex cutait le programme la propagation tait donc exponentie
67. iques faire face des fautes intentionnelles on utilise g n ralement les crit res d valuation qualitative d finis par le DoD dans ce qui est couramment appel le Livre Orange ou TCSEC Trusted Computer System Evaluation Criteria TCSEC 85 ou dans les livres de diverses couleurs qui l accompagnent comme le Livre Rouge ou TNI Trusted Network Interpretation of the TCSEC Ces crit res bas s la fois sur des listes de fonctions de s curit remplir et sur les techniques employ es pour la v rification conduisent classer les syst mes en 7 cat gories dans un ordre d croissant de s curit Al B3 B2 B1 C2 Cl D Plus r cemment des crit res harmonis s europ ens sont parus qui s parent explicitement les aspects fonctionnels des aspects de v rification ITSEC 91 L valuation quantitative de la s curit n a encore re u que peu d attention de la part des sp cialistes l exception de l valuation de la bande passante des canaux couverts et de l application de la th orie de l information aux m canismes cryptographiques Un parall le peut tre fait avec l absence ou l insuffisance d un blindage contre les radiations qui peut par exemple tre le r sultat de contraintes sur la masse d un syst me embarqu dans un v hicule spatial _46 Tol rance aux fautes s curit et protection dans les syst mes r partis 3 3 5 S curit des communications
68. isateur et sur des informations publiques proto coles d authentification sans apport de connaissance La technique des mots de passe est encore la plus courante aujourd hui m me si elle pr sente de multiples inconv nients au nombre desquels il faut compter la facilit qu a un utilisateur de transmettre volontairement son mot de passe quelqu un d autre qui pourra ainsi se faire authentifier tort sans difficult Un probl me majeur est la m morisation des mots de passe par l authentificateur si les mots de passe sont enregistr s en clair dans un fichier la confidentialit de ce fichier est particuli rement sensible puisqu un intrus qui r ussirait lire ce fichier pourrait se faire passer pour n importe quel utilisateur Dans Unix les mots de passe sont enregistr s dans le fichier etc passwd sous forme chiffr e par une fonction sens unique c est dire non inversible Grampp 84 Au login le mot de passe de l utilisateur est chiffr par la m me fonction sens unique et il est compar sous cette forme chiffr e au mot de passe chiffr enregistr dans etc passwd Ceux qui ont con u cette fonction sens unique ont tellement confiance dans son efficacit que dans les Unix classiques le fichier etc passwd peut tre lu par tout utilisateur Mais cette technique est vuln rable aux attaques par dictionnaire un intrus peut chiffrer par la fonction sens unique un d
69. it due en particulier l asynchronisme des traitements interdit encore aujourd hui d en v rifier exhaustivement la s curit De plus les principes sur lesquels ont t b tis les syst mes informatiques centralis s les plus s rs comme les notions de moniteur de r f rences et de noyau de s curit ne sont pas applicables directement aux syst mes r partis De nouvelles voies sont donc encore explorer comme celles de la tol rance aux intrusions pour laquelle il a t montr que des techniques comme la fragmentation diss mination pouvaient tirer profit de la r partition des syst mes pour en am liorer la s curit 5 NOTES BIBLIOGRAPHIQUES Il existe de nombreux ouvrages g n raux sur la s ret de fonctionnement parmi les plus int ressants citons Lee 90 Siewiorek 82 et Laprie 89b les deux premiers pour les nombreux exemples de syst mes tol rant les fautes le troisi me pour son approche tr s structur e et pour l importance donn e la validation et aux m thodes de conception Les principaux r sultats de la recherche en tol rance aux fautes sont publi s la conf rence annuelle International Symposium on Faut Tolerant Computing FTCS de I TEEE Pour ce qui concerne la s curit informatique une approche didactique est pr sent e dans Gasser 89 et dans Russell 91 alors que Denning 83 est un ouvrage de r f rence fort complet On pourra consulter aussi Garfinkel 91 pour la
70. king the wily hacker Communications of the ACM vol 31 n 5 May 1988 pp 484 497 Stoll 89 C Stoll Le nid du coucou Albin Michel ISBN 2 226 03781 0 1989 Titre original The cuckoo s egg Tanenbaum 86 A S Tanenbaum S J Mullender R van Renesse Using sparse capabilities in a distributed operating system Proceedings of the 6th International Conference on Distributed Computing Systems ICDCS 6 IEEE Cambridge Ma USA May 1986 pp 558 563 TCSEC 85 TCSEC Trusted Computer System Evaluation Criteria DoD 5200 28 STD Department of Defense USA December 1985 TNI 87 TNI Trusted Network Interpretation of the Trusted Computer System Evaluation Criteria NCSC TG 005 National Computer Security Center 31 July 1987 Traverse 89 P Traverse Dependability of digital computers on board airplanes Proceedings of the First International Working Conference on Dependable Computing for Critical Applications IFIP WG 104 Santa Barbara Ca USA August 1989 Webber 91 S Webber and J Beirne The Stratus Architecture in Proc 21th Int Symp on Fault Tolerant Computing Systems FTCS 21 Montr al Canada pp 79 85 IEEE Computer Society Press 1991 Yee 88 BS Yee J D Tygar A Z Spector Strongbox a self securing protection system for distributed programs Technical Report CMU CS 87 184 Dept of Computer Science Carnegie Mellon University January 1988 1988 53
71. la transformation d tat 2 3 1 Masquage d erreur Un exemple typique de masquage d erreur est celui du vote majoritaire les traitements sont ex cut s par trois ou plus composants identiques dont les sorties sont vot es les r sultats majoritaires sont transmis les r sultats minoritaires suppos s erron s sont limin s cf figure 9 2 Le vote tant appliqu syst matiquement le traitement et par cons quent le temps d ex cution sont identiques qu il y ait ou non erreur C est ce qui diff rencie le masquage d erreur de la technique de d tection et compensation Un exemple notable est celui des m moires semi conducteurs des premi res machines IBM 370 En raison de la fiabilit relativement faible l poque de ces m moires elles avaient t munies d un code correcteur d erreur Mais comme aucun programme de test n tait capable de contourner ce m canisme de correction d erreur les quipes de maintenance ne pouvaient pas conna tre directement les positions m moires d faillantes de fa on remplacer pr ventivement les modules m moires correspondants Le seul moyen de d tecter ces erreurs tait de mesurer le temps d ex cution des programmes de test m moire l algorithme de correction d erreur ralentissant significativement l acc s en lecture 15 Tol rance aux fautes s curit et protection dans les syst mes r partis Traitement Figure 9 2
72. le Stratus S 32 Webber 1991 ou IBM System 88 Harrison 87 Les syst mes Stratus S 32 galement commercialis s par IBM comme System 88 sont des multi processeurs qui comme les Tandem Non Stop sont con us pour tol rer une faute mat rielle unique Leur architecture mat rielle est pr sent e par la figure 9 4 Elle est constitu e de cartes autotestables les entr es de chaque carte tant envoy es sur des circuits doubl s synchrones dont les sorties sont compar es en cas d in galit la carte est isol e lectriquement Ainsi une carte processeur comporte deux Motorola 68020 dont les horloges et les entr es sont communes et dont les sorties sont compar es Les contr leurs de m moire de disque et de r seau sont constitu s de mani re analogue BUS Processeur Processeur autotestable autotestable Figure 9 4 Stratus S 32 ou IBM System 88 Pour poursuivre le traitement sans interruption en cas de d faillance d un composant chaque processeur contr leur de m moire ou bus est doubl pour constituer une structure duplex et les disques sont g r s en disques miroir comme sur le Tandem Non Stop Toutes les unit s sont ac tives en m me temps hot standby ainsi le m me traitement s ex cute en m me temps sur deux cartes processeurs et sur deux 68020 sur chaque carte il y a donc 4 processeurs en redon dance active pour ex cuter les m mes traitements qu ex cuterait un processeur unique dans un
73. les algorithmes de chiffrement et de d chiffrement sont identiques M lt MiKp3KS M KS KP 32 Tol rance aux fautes s curit et protection dans les syst mes r partis Le protocole d tablissement d une session entre A et B comprend 7 tapes A envoie SA son identit a et l identit b de B SA envoie A la cl publique de B dans un message M KP b Ks Le fait de chiffrer avec KS ne sert pas la confidentialit tout composant conna t KPs mais sert prouver l identit de SA A d chiffre Mj l aide de la cl publique KP de SA et m morise KP il envoie B le message M2 T1 a Kp B d chiffre M l aide de sa cl secr te KS il envoie alors SA son identit b et l identit a de A pour obtenir la cl publique de A SA renvoie B la cl publique de A dans un message M3 KP a xs B envoie A un message M4 prouvant qu il est bien B M4 Ij In xp A renvoie B un message Ms prouvant qu il est bien A Ms L Kp Ce protocole exige donc 7 tapes mais si A et B conservent dans un cache les cl s publiques des entit s avec lesquelles elles ont communiqu r cemment les tapes et peuvent tre vit es Ce protocole cl publique est dit sans apport de connaissance zero knowledge protocol en anglais puisque l authentifi ne fournit aucune information secr te l authentificateur contrairement
74. lle Le message s est rapidement propag de EARN BITNET et VNET qui plus rapide que BITNET a vite t satur Mais l exemple de ver le plus notable est le ver de Robert T Morris Jr Eichin 89 Spafford 88 Cet tudiant de Cornell a lanc le 2 novembre 1988 vers 17h un programme qui au cours de la nuit a contamin et satur environ 6 000 des 60 000 ordinateurs connect s sur Internet aux Etats Unis ce qui a rapidement bloqu l ensemble du r seau En fait il semble qu une faute de conception soit l origine de ce blocage le ver se reproduisait beaucoup plus rapidement que pr vu Il est probable que si la vitesse de reproduction du ver avait t beaucoup plus faible il n aurait probablement pas t d tect rapidement puisqu il ne comportait aucune bombe logique Le ver utilisait trois failles connues d Unix BSD fingerd sendmail et attaque par dictionnaire des mots de passe tous les ordinateurs contamin s taient des Sun3 avec SunOS variante d Unix BSD ou des Vax avec Unix BSD Robert T Morris a t jug coupable et condamn le 4 mai 1990 10 000 dollars d amende et 400 heures de travaux d int r t g n ral Une cons quence b n fique de cette attaque a t la cr ation le 13 d cembre 1988 du Computer Emergency Response Team CERT qui coordonne les actions pour renforcer la s curit des grands r seaux am ricains En octobre 1989 un autre ver le WANK s est propa
75. mputing Systems FTCS 21 Montr al Canada pp 512 519 IEEE Computer Society Press 1991 Jones 76 A K Jones R J Lipton L Snyder A linear time algorithm for deciding security Proceedings of the 17th Annual Symposium on Foundation of Computer Science 1976 Joseph 88 M K Joseph A Avizienis A fault tolerance approach to computer viruses Proceedings of the 1988 IEEE Computer Society Symposium on Security and Privacy IEEE Oakland Ca USA May 1988 pp 52 58 Kain 87 R Y Kain C E Landwehr On access checking in capability based systems IEEE Transactions on Software Engineering Vol SE 13 n 2 February 1987 pp 202 207 Kurzban 90 S A Kurzban Defending against Viruses and Worms Cipher Newsletter of the Technical Committee on Security and Privacy IEEE Computer Society Winter 1990 pp 23 40 Lala 86 J H Lala A byzantine resilient fault tolerant computer for nuclear power plant applications Proceedings of the 16th International Symposium on Fault Tolerant Computing FTCS 16 Vienne Autriche July 1986 IEEE pp 338 343 Lam re 85 J M Lam re La s curit informatique approche m thodologique Dunod Informatique ISBN 2 04 016503 7 1985 Lamport 82 L Lamport R Shostak M Pease The Byzantine generals problem ACM Transactions on Programming Languages and Systems vol 4 n 3 July 1982 pp 382 401 Lamport 85 L Lamport P M Melliar Smi
76. n Exceptions d faillances et erreurs Technique et Science Informatique T S 1 vol 4 n 4 1985 pp 385 390 Cristian 88 F Cristian Agreeing on who is present and who is absent in a synchronous distributed system Proceedings of the 18th International Symposium on Fault Tolerant Computing FTCS 18 Tokyo Japan June 1988 IEEE pp 206 211 Denning 83 D E Denning Cryptography and Data Security Addison Wesley ISBN 0 201 10150 5 1983 Denning 86 D E Denning An intrusion detection model Proceedings of the 1986 IEEE Computer Society Symposium on Security and Privacy IEEE Oakland Ca USA May 1986 pp 118 132 49 Tol rance aux fautes s curit et protection dans les syst mes r partis Deswarte 75 Y Deswarte J Lavictoire MARIGNAN an intermittent failure correction method Proceedings of the 5th International Symposium on Fault Tolerant Computing FTCS 5 Paris France June 1975 IEEE pp 191 195 Deswarte 91 Y Deswarte L Blain J C Fabre Intrusion Tolerance in Distributed Systems Proceedings of the 1991 IEEE Symposium on Research in Security and Privacy Oakland Ca mai 1991 pp 110 121 Eichin 89 M W Eichin J A Rochlis With microscope and tweezers an analysis of the Internet virus of November 1988 Proceedings of the 1989 IEEE Computer Society Symposium on Security and Privacy Oakland Ca USA May 1989 pp 326 343 Ezhilchelvan
77. nancier qu il s agisse d espionnage industriel ou international Toujours pour s enrichir malhonn tement Vinformatique est aujourd hui l un des moyens modernes employ s pour commettre crimes et d lits comme le vol la fraude le chantage ou l extorsion de fonds Dans le m me ordre d id e il est possible que certains virus ou chevaux de Troie aient t cr s ou seront cr s par des entreprises pour lutter contre la concurrence en provoquant la m fiance vis vis de produits d autres entreprises ou de ces logiciels plus ou moins gratuits disponibles sur les r seaux ou sur des serveurs Enfin il n est pas impossible que certaines attaques aient t d lib r ment commises par des agences gouvernementales pour faire admettre par des utilisateurs n gligents de nouvelles r glementations ou restrictions aux communications 20 Tol rance aux fautes s curit et protection dans les syst mes r partis 3 1 Classification des attaques contre la s curit 3 1 1 Ecoute passive L coute passive est un type d attaque contre la confidentialit qui consiste acc der sans modification aux informations qui sont g n r es transmises stock es ou affich es dans des composants vuln rables du syst me informatique e voies de communications directement par acc s physique au m dium de communication ou indirectement par analyse du rayonnement mis e m moires ou disques par des acc s en lectu
78. ne dur e de vie limit e celle du processus Dans Multics par exemple il y a une liste de contr le d acc s associ e chaque segment et chaque catalogue ainsi qu un descriptif associ chaque processus ce descriptif contient en 40 Tol rance aux fautes s curit et protection dans les syst mes r partis fait les capacit s que poss de le processus sur chaque segment li c est dire pour lequel le processus a effectu une dition de liens dynamique 3 2 4 Application aux syst mes r partis La notion de sous syst me de s curit ou TCB en particulier avec le moniteur de r f rences comme m diateur incontournable de toutes les interactions sujets objets semble imposer une structure centralis e pour g rer la s curit Cette structure centralis e a t effectivement adopt e par certains projets de syst mes r partis dont le serveur de fichiers s curis de la Newcastle Connection Rushby 83 Dans ce projet les utilisateurs depuis leurs terminaux ne peuvent avoir d interaction qu avec un service de fichiers et seulement par l interm diaire d un gestionnaire de fichiers s curis centralis qui g re et v rifie tous les droits d acc s Une autre approche est celle propos e par le Livre Rouge TNI 87 o chaque site poss de sa propre TCB charg e du contr le d acc s aux objets locaux mais aussi des acc s distants Comme leur nom anglais l indique les TCB doivent
79. non sur les processus ce qui revient regrouper tous les sujets d un m me utilisateur dans un m me domaine C est le cas d Unix par exemple Ceci conduit une gestion moins fine de la protection et en particulier ne permet pas d appliquer de fa on optimale le principe du moindre privil ge Une autre m thode pour r duire la taille de la matrice de droits d acc s consiste regrouper dans des domaines d objets ou domaines de protection les objets qui pr sentent les m mes droits d acc s pour les m mes sujets La matrice ne contient plus alors qu une colonne par domaine de protection Ces domaines sont g n ralement exclusifs quand un sujet entre dans un domaine il perd tous les droits qu il avait auparavant Cette technique permet d impl menter de fa on simple les niveaux de classification des politiques par mandats multi niveaux Plut t que de g rer la matrice de droits d acc s comme une structure de donn es centralis e on pr f re g n ralement l organiser de mani re distribu e par lignes ou par colonnes e par lignes cela consiste associer chaque sujet si la liste des objets oj appartenant au contexte de si et pour chaque oj la liste des droits dij correspondants cette liste oj dij est appel e liste de droits ou liste de capacit s capabilities en anglais ou encore c liste Fabry 74 notons qu il convient de prot ger sp cifiquement ces c listes qui ne doivent t
80. ntentionnelle introduite pour tol rer les fautes qui est explicite ment destin e viter qu une erreur ne conduise d faillance redondance non intentionnelle il est en pratique difficile sinon impossible de construire un syst me sans aucune forme de redondance qui peut avoir le m me effet mais inattendu que la redondance intentionnelle e L activit du syst me une erreur peut tre corrig e par r criture avant qu elle ne cr e de d g t e La d finition d une d faillance du point de vue de l utilisateur ce qui est une d faillance pour un utilisateur donn peut n tre qu une nuisance supportable pour un autre utilisateur Peuvent tre par exemple prises en compte la granularit temporelle de l utilisateur selon cette granularit une erreur qui traverse l interface syst me utilisateur peut ou non tre consid r e comme une d faillance la notion de taux d erreur acceptable implicitement avant de consid rer qu une d faillance est survenue qui est classique en transmission de donn es 1 2 3 Des d faillances Un syst me ne d faille g n ralement pas toujours de la m me fa on ce qui conduit caract riser les modes de d faillances selon trois points de vue leurs domaines leur perception par les utilisateurs et leurs cons quences sur l environnement Le domaine de d faillance conduit distinguer les d faillances de valeurs l
81. oteur Voteur M moire globale M moire globale Figure 9 3 Tandem Integrity S2 2 3 2 D tection et compensation d erreur La compensation peut tre d clench e sur d tection d erreur Les m canismes de d tection peuvent tre identiques ceux de la d tection et recouvrement cf 2 2 1 Ce qui distingue la compensation d erreur du recouvrement tel qu il a t pr sent au 2 2 2 c est que l tat du syst me est suffisamment redondant pour qu il ne soit pas n cessaire de r ex cuter une partie de l application reprise ou d ex cuter un traitement d application sp cifique poursuite pour permettre de continuer le traitement fonctionnel du syst me il suffit de transformer l tat courant Un exemple typique est donn par la plupart des impl mentations des codes correcteurs d erreur la validit de la valeur cod e est v rifi e en permanence et en cas de d tection d erreur un traitement de correction de cette valeur est lanc 17 Tol rance aux fautes s curit et protection dans les syst mes r partis Une autre mise en uvre classique de cette technique est d utiliser des composants auto testables cf 2 2 1 ex cutant en redondance active le m me traitement en cas de d faillance de l un d entre eux il est d connect et le traitement se poursuit sans interruption sur les autres La compensation dans ce cas se limite la commutation des composants Exemp
82. propri s il est d livr des utilisateurs non autoris s Les motivations des attaquants peuvent tre multiples Certains consid rent qu une tentative d intrusion est un d fi intellectuel ou que l attaque des syst mes informatiques est un sport somme toute honorable c est ce genre d individus qui fait qu aujourd hui le terme hacker a un sens p joratif quivalent de pirate dans les media am ricains ils sont l origine de la plupart des virus et des vers qui g n ralement semblent avoir t con us pour ne pas cr er de d g ts mais qui souvent ont eu des effets d sastreux par suite de fautes de conception d insuffisance de test et d incapacit prendre en compte les diff rents environnements o 1ls se sont propag s en un mot cause de l incomp tence de leurs cr ateurs D autres s adonnent ce passe temps uniquement par vandalisme c est dire pour le plaisir de d truire l uvre des autres D autres encore ont des motifs politiques ou id ologiques c est le cas des membres du Chaos Computer Club allemand qui s exercent au piratage pour pr tendent ils lutter contre les dangers que repr sente l informatique pour les libert s individuelles Ce genre de raisonnement peut galement conduire certains au terrorisme informatique et l espionnage au profit de gouvernements trangers Mais l espionnage peut aussi avoir des raisons plus triviales comme le profit fi
83. re e p riph riques tels que les crans de terminaux les claviers ou les imprimantes par analyse du rayonnement En fait tout mat riel informatique met un rayonnement lectromagn tique qui est transmis soit par ondes hertziennes soit par induction dans des mat riaux conducteurs alimentation lectrique circuits de refroidissement lignes t l phoniques etc Pour se pr munir contre les coutes par analyse de rayonnement il faut soit isoler le syst me informatique par exemple dans une cage de Faraday soit utiliser des quipements con us pour limiter le rayonnement mat riels TEMPEST 3 1 2 Interception L interception est un acc s avec modification des informations transmises sur des voies de communication Il s agit donc d une attaque contre l int grit Les trois types d interception sont e la destruction de messages e la modification de messages e insertion de messages l attaquant peut par exemple rejouer des s quences de messages qu il aura cout s pr c demment 3 1 3 R pudiation La r pudiation consiste pour un utilisateur refuser de reconna tre une op ration qu il a effectu e Ceci a en particulier t d fini pour les communications ISO 88 pour caract riser la r pudiation d mission l metteur d un message refuse de reconna tre qu il l a mis et la r pudiation de r ception le r cepteur d un message refuse de reconna tre qu
84. re co teux et parfois mal accept s par les utilisateurs par exemple le fichage des empreintes digitales est souvent consid r comme une atteinte la libert individuelle et l analyse du fond de l il peut faire peur qu est ce que je risque si la machine tombe en panne Pour augmenter l efficacit il est souhaitable d utiliser une combinaison de plusieurs dispositifs par exemple carte puce et num ro d identification personnel P I N personal identification number La v rification de l identit est bas e e sur un secret partag par l authentificateur et l utilisateur par exemple un mot de passe e sur un secret maintenu par l authentificateur caract ristique de l utilisateur par exemple les informations condens es de reconnaissance vocale Le terme utilisateur est prendre dans un sens large il peut s agir d une personne physique ou d un service d archivage d impression de calcul etc qui peut tre consid r comme l quivalent d une personne morale Nous utilisons le terme authentificateur pour d signer le processus le processeur ou l extr mit de communication qui r alise la v rification de l identit et le terme authentifieur pour d signer l information qui permet de prouver l identit 228z Tol rance aux fautes s curit et protection dans les syst mes r partis e sur un secret maintenu par l util
85. re manipulables que par le sous syst me de s curit et qu en particulier il n est pas souhaitable qu un sujet puisse directement cr er ou copier une capacit qu il a sur un objet pour transmettre des droits sur cet objet un autre sujet car cela pourrait tre en contradiction avec une politique par mandats Kain 87 c est pourtant la technique qui a t choisie pour Amceba Tanenbaum 86 qui utilise des capacit s comme des tickets d acc s e par colonnes cela consiste associer a chaque objet oj la liste des sujets sj qui ont des droits d acc s a oj et pour chaque si la liste des droits di correspondants cette liste si dij est appel e liste de contr le d acc s ou plus simplement liste d acc s ACL pour access control list en anglais ce type de repr sentation est en particulier souvent utilis e pour les fichiers c est par exemple le cas des per missions d Unix Notons que ces deux organisations en c listes et en ACL ne sont pas incompatibles mais sont souvent utilis es conjointement pour repr senter les droits plus ou moins dynamiques g n ralement les listes de contr les d acc s sont relativement statiques car elles changent peu durant la vie d un objet dans ce cas elles contiennent les identit s des utilisateurs plut t que celles des sujets actifs en revanche les capacit s sont associ es aux processus et voluent durant l ex cution des processus mais ont u
86. rement il faut compter la faible redondance structurelle n cessaire en particulier si la d tection repose sur des contr les de vraisemblance De plus si de multiples contr les de vraisemblance sont mis en uvre de larges classes de fautes peuvent tre tol r es le contr le de vraisemblance porte sur l tat du syst me ind pendamment de l origine des erreurs par exemple comme cela a d j t mentionn les m canismes de protection d tectent des erreurs dues des intrusions mais aussi des erreurs dues des fautes de conception ou des fautes physiques Dans le cas de la technique de reprise le surco t temporel ou redondance tempo relle n cessaire pour l tablissement des points de reprise peut tre tr s important s il faut sauvegarder des tats volumineux des fichiers par exemple Ce co t existe en permanence m me s il n y a pas d erreur 12 Tol rance aux fautes s curit et protection dans les syst mes r partis A cela s ajoute aussi bien pour la poursuite que pour la reprise un surco t sp ci fique pour le recouvrement d erreur Dans le cas de la poursuite ce sera le temps de la r initialisation et de l acquisition du contexte ou de la commutation vers le traitement d exception Dans le cas de la reprise ce sera le temps de restauration de l tat du sys t me depuis le ou les points de reprise suivi du temps n cessaire pour r ex cuter les traitements qui av
87. res processus doivent donc eux m mes tre repris mais ils ont pu interagir avec d autres etc C est l effet Cette hypoth se de silence sur d faillance est souvent implicite dans beaucoup d architectures qui pr tendent tol rer les fautes sans pour autant que la conception des composants ne justifie de supposer que la couverture soit suffisante David Powell Powell 89 a pourtant montr que ce param tre de couverture avait plus d influence sur la fiabilit et la disponibilit du syst me global que la redondance 11 Tol rance aux fautes s curit et protection dans les syst mes r partis domino Randell 75 Des algorithmes ont t d velopp s pour rechercher le point de reprise coh rent le plus proche par exemple les chase protocols de Merlin 78 dans ce cas il est recherch un tat coh rent que le syst me aurait pu occuper plut t qu un tat que le syst me a r ellement occup auparavant Mais la solution la plus simple consiste en g n ral restreindre les interactions possibles entre processus pour limiter le nombre de processus reprendre Les conversations Randell 75 repr sentent l une des m thodes pour limiter les interactions Si la couverture de d tection n est pas totale cas g n ral les points de reprise peuvent tre contamin s par une erreur avant qu elle ne soit d tect e Dans ce cas une reprise ne pourra tre efficace que s il est poss
88. rob es permettant de contourner l ex cution les protections v rifi es lors de la pr paration de programme Exemple de porte d rob e dans le Burroughs B6700 La protection de ce syst me reposait sur des compilateurs certifi s qui taient responsables de tous les contr les d acc s et qui seuls pouvaient g n rer des programmes ex cutables Les pro grammes ex cutables taient des fichiers sp ciaux tiquet s de telle sorte qu ils ne puissent tre modifi s Dans ces conditions il ne semblait pas n cessaire de renforcer la protection l ex cution par du mat riel sp cifique Cependant il tait possible par programme d crire sur bande magn tique un fichier quel conque y compris un programme ex cutable Il tait alors possible toujours par programme de r crire sur la bande l tiquette du fichier de fa on tromper le contr le de type de fichier puis de modifier le fichier sur la bande On pouvait alors recharger le fichier comme un programme valide Cet exemple a t cit par Carl Landwehr lors d une conf rence Toulouse en mai 1990 La protection repose donc g n ralement sur des v rifications dynamiques r alis es par du mat riel et ou du logiciel sp cifique Pour des raisons de simplicit et de facilit de validation il est souhaitable de regrouper ces mat riel et logiciel r alisant la v rification dynamique des droits d acc s dans un moniteur de r f rences T
89. rotection sur ce type de mat riel ainsi qu la n gligence de la plupart de leurs utilisateurs et l immoralit de quelques uns d entre eux Cependant Fred Cohen Cohen 87 a montr que de tels virus sont faciles r aliser pour des syst mes informatiques plus importants et bien prot g s et qu ils peuvent provoquer des d g ts beaucoup plus importants que pour des micro ordinateurs Le danger est d autant plus grand que le d veloppement actuel des syst mes r partis facilite la contamination par les r seaux de communication pour les virus comme pour les vers Exemples de virus Les premi res exp riences connues de production de virus informatique semblent dater de d cembre 1981 o quelques tudiants d une Universit du Texas fanatiques de l Apple IT ont d ve lopp plusieurs versions d un virus qui se propageait de disquette en disquette par modification du DOS 3 3 Ce virus tait con u pour tre invisible il tait donc b nin pas de bombe logique pas d effet de bord autre que la propagation De novembre 1983 ao t 1984 alors qu il pr parait son PhD Cohen 86 Fred Cohen a con u et exp riment des virus sur divers types de machines pour d montrer l inefficacit des m canismes de protection face ce type d attaques m me dans le cas de s curit multi niveaux cf 3 2 3 1 Cohen 87 En 1986 une compagnie pakistanaise de distribution de logiciels pour PC a eu l id
90. rture peut varier consid rablement selon les mises en uvre Un exemple extr me est celui du processeur SACEM d velopp pour des applications de transport ferro 8 Tol rance aux fautes s curit et protection dans les syst mes r partis du mat riel sp cifique pour d tecter des valeurs erron es violation de code d tecteur d erreur adresse m moire inexistante instruction inexistante des instants ou des dur es erron s par chien de garde ou des violations de la protection cf 3 2 il convient de noter ici que les m canismes de protection sont effectivement des contr les de vraisemblance qui permettent de d tecter des erreurs dues des fautes d interaction volontaires intrusions mais aussi des erreurs dues des fautes de conception accidentelles ou intentionnelles ou des fautes physiques du logiciel sp cifique pour v rifier les valeurs et le format des r sultats d tapes de traitement ou v rifier le s quencement ou les instants de certains v nements ces contr les de vraisemblance par logiciel peuvent tre int gr s dans le logiciel syst me c est dire mis en uvre quel que soit le programme d application par exemple contr le de type contr le des valeurs d indice de tableaux etc ou sp cifiques du logiciel d application par exemple fourchettes de valeurs possibles cart maximal par rapport au r sultat pr c dent dans un contr le de processus continu
91. s curit d Unix La principale conf rence sur la recherche dans ce domaine est le symposium annuel d Oakland IEEE Computer Society Symposium on Research in Security and Privacy R f rences bibliographiques Abadir 82 J Abadir Y Deswarte Programme d auto test des processeurs du syst me Sargos Proceedings of the 3rd International Conference on Reliability and Maintainability CNES ESA CNET and SEE Toulouse France October 1982 pp 639 648 Avizienis 84 A Avizienis J P J Kelly Fault tolerance by design diversity concepts and experiments IEEE Computer vol 17 n 8 August 1984 pp 67 80 Avizienis 85 A Avizienis P Gunningberg J P J Kelly PJ Traverse K S Tso U Voges The UCLA DEDIX system a distributed testbed for multiple version software Proceedings of the 15th International Symposium on Faut Tolerant Computing FTCS 15 Ann Arbor Mi USA June 1985 IEEE pp 126 134 48 Tol rance aux fautes s curit et protection dans les syst mes r partis Banatre 86 J P Banatre M Banatre G Lapalme F Ployette The design and building of ENCHERE a distributed electronic marketing system Communications of the ACM vol 29 n 1 January 1986 pp 19 29 Banatre 87 J P Banatre M Banatre G Muller F Ployette Quelques aspects du syst me GOTHIC Technique et Science Informatique T S I vol 6 n 2 1987 pp 170 174 Bartlett 87 J Bartlet
92. s confidentielles Fabre 89 3 3 3 Elimination des fautes V rification de la s curit L limination des fautes dans un syst me traitant des informations sensibles vise aussi bien les fautes d origine intentionnelle que celles d origine accidentelle e les techniques de v rification de la s ret de fonctionnement classique s appliquent relecture du code preuve formelle etc e une conception structur e facilite grandement cette v rification deux approches sont couramment utilis es concevoir le sous syst me de s curit comme un noyau de s curit c est dire sous forme d un sous ensemble compact du logiciel syst me et du mat riel uniquement responsable de la s curit d composition en niveaux d abstraction pour faciliter la mise en uvre d une preuve hi rarchique Le test des m canismes de pr vention et de tol rance aux intrusions peut se faire par une analyse de p n tration Tiger Team mais il faut se rappeler qu un test permet de prouver qu il y a des fautes mais ne permet en aucun cas d assurer qu il n y en a plus 45 Tol rance aux fautes s curit et protection dans les syst mes r partis 3 3 4 Pr vision des fautes valuation de la s curit Il existe des m thodes globales d valuation de la s curit d une installation informatique En France les plus utilis es sont MARION Lam re 85 d velopp e et soutenue par l APS
93. s m canismes de d tection n est pas totale et qu il est donc possible qu une erreur soit propag e avant le blocage de l unit d faillante Cependant d apr s les informations publi es par Tandem il appara t que les d faillances globales de leurs syst mes soient en forte majorit dues des fautes logicielles ou des fautes d exploitation la plupart tant des Heisenbugs Gray 86 c est dire non diagnostiqu es car difficiles reproduire 14 Tol rance aux fautes s curit et protection dans les syst mes r partis 2 3 Compensation d erreur La compensation d erreur est un traitement particulier effectu sur l tat du syst me pour fournir un service conforme en d pit des erreurs qui pourraient affecter cet tat Ainsi qu il a t indiqu plus haut la compensation d erreur peut tre soit syst matique masquage soit cons cutive une d tection d erreur d tection et compensation Dans les deux cas il est utile de signaler l erreur de fa on d clencher le traitement de faute cf 2 1 2 En effet s il n est pas effectu de traitement de faute la redondance peut tre d grad e l insu des utilisateurs et conduire d faillance lorsqu une autre faute est activ e C est pourquoi la plupart des mises en uvre du masquage d erreur comportent galement des moyens de d tection d erreur mais dans ce cas la d tection peut tre men e apr s
94. serveurs dans les quels il a confiance Les protocoles utilisent deux types de certificats les tickets Tc s et les authentifieurs s t Un ticket Te s est caract ristique d une session entre C et S et il est valable pendant toute la dur e de la session Te s contient l identit s du serveur l identit c du client l adresse IP adr du client l instant tg de d but de la session la dur e life maximale pour la session et la cl de session Kc s le tout chiffr par la cl permanente Ky du serveur Tes s c adr tg life Ko s K 30 Tol rance aux fautes s curit et protection dans les syst mes r partis L authentifieur Ac s t est un certificat g n r l instant t par le client C pour se faire recon na tre par le serveur S Ac s t contient l identit c du client adr son adresse IP et instant le tout chiffr par la cl de session Kes Ac s t cadrt K L tablissement d une session entre le client C o l utilisateur U se connecte et le serveur S n cessite 5 tapes Le client C transmet au serveur Kerberos K l identit u de l utilisateur U qui vient de lancer son login sur C K recherche dans sa base de donn es le mot de passe mdp en clair enregistr pour u mdp servira de cl pour chiffrer le message renvoy par K C l tape K g n re alors une valeur al atoire Kest qui servira de cl de session entre C et le serveur de tickets ST
95. strictement iden tiques de fa on ce qu ils ne soient pas soumis aux m mes fautes ou que les erreurs provoqu es soient diff rentes par exemple on pourra utiliser des unit s identiques mat riel et logiciel mais isol es g ographiquement on tire alors profit de la r partition du syst me pour se pr munir des fautes de mode commun viaire o les aspects de s curit au sens safety sont primordiaux pour ce processeur la d tection d erreur est bas e sur des techniques de codage et de signature associ e chaque donn e la couverture obtenue est tr s bonne mais au prix d un surco t logiciel colossal pour N lignes de code fonctionnel il faut compter de l ordre de 100 x N lignes de code ex cutable 9 Tol rance aux fautes s curit et protection dans les syst mes r partis ou ayant des traitements d cal s dans le temps Fabre 82 S il n est pas possible de faire ces hypoth ses simplificatrices sur les fautes c est dire s il faut prendre en compte les fautes d interaction humaines fautes des op rateurs et intrusions ou les fautes de conception intentionnelles ou accidentelles du mat riel ou du logiciel il faut que les exemplaires soient diversifi s vis vis de ces hypoth ses de fautes d veloppements ind pendants de plusieurs variantes de logiciel pour les fautes de conception du logiciel utilisation de mat riels diff rents pour les fautes de conception du mat riel
96. syst me ou d application qui devient ainsi un cheval de Troie Un virus peut tre galement porteur d une bombe logique Les virus se propagent d un syst me un autre par change de support de fichiers disquettes ou par r seau Il faut noter que pour s ex cuter les virus doivent s attacher des programmes d application ou des programmes du syst me dont le boor Ils ne s attachent pas en principe aux fichiers de donn es Il peut n anmoins exister un certain nombre d exceptions e Sur Macintosh les fichiers de donn es peuvent poss der des sections ex cutables dans le resource fork pour l initialisation des fen tres le lancement d applications etc Un virus peut donc tre ex cut s il s attache a ces sections ex cutables C est la cas du virus WDEF qui infecte le fichier de donn es syst mes Desktop 24 Tol rance aux fautes s curit et protection dans les syst mes r partis e Dans certaines applications des commandes peuvent tre enregistr es comme des donn es c est le cas des formules de calcul dans certains tableurs ou bases de donn es Ce que l utilisateur pense tre un fichier de donn es peut donc contenir des parties ex cutables susceptibles d tre contamin es par des virus sp cifiques Jusqu a pr sent la plupart des virus ont t con us pour des micro ordinateurs Ceci tient en particulier l absence de m canismes de p
97. t J Gray B Horst Fault tolerance in Tandem computer systems in Dependable Computing and Fautl Tolerant Systems Vol 1 The Evolution of Fault Tolerant Computing Ed A Avizienis H Kopetz J C Laprie Springer Verlag ISBN 0 387 81941 X 1987 pp 55 76 Bell 74 DE Bell L J LaPadula Secure computer systems unified exposition and Multics interpreta tion Tech Rept MTR 2997 AD A 020 445 The MITRE Corporation April 1974 Biba 75 K J Biba Integrity consideration for secure computer systems Tech Rept MTR 3153 ESD TR 76 372 The MITRE Corporation June 1975 Brewer 89 D F C Brewer M J Nash The Chinese Wall Security Policy Proceedings of the 1989 IEEE Computer Society Symposium on Security and Privacy IEEE Oakland Ca USA May 1989 pp 206 214 Brunner 82 J Brunner Sur l onde de choc J ai lu n 1368 ISBN 2 277 21368 3 1982 Titre original The shockwave rider Clark 87 D D Clark DR Wilson A comparison of commercial and military computer security poli cies Proceedings of the 1987 IEEE Computer Society Symposium on Security and Privacy IEEE Oakland Ca USA May 1987 pp 184 194 Cohen 86 F Cohen Computer Viruses Ph D dissertation University of Southern California January 1986 Cohen 87 F Cohen Computer Viruses Theory and Experiments Computers and Security North Holland vol 6 n 1 February 1987 pp 22 35 Cristian 85 F Cristia
98. te ins rer un troisi me partenaire dans une communication bi point pour garantir l authenticit des changes e le bourrage e des techniques de routage sp cifiques etc Il faut noter que la disponibilit est absente de la liste des fonctions de s curit pr conis e par l ISO et que les m canismes propos s sont bien adapt s aux communications bi point mais pas la diffusion 4 CONCLUSION Si ce rapport a montr que la r partition des syst mes tait favorable la tol rance aux fautes cela ne surprend personne bien plus il est difficile aujourd hui de concevoir un syst me tol rant aux fautes qui ne soit pas r parti Il ne faut pas en conclure pour autant qu un syst me r parti tol re de facto les fautes un soin particulier doit tre accord la conception des m canismes de d tection et de recouvrement des erreurs ou de compensation des erreurs pour obtenir une couverture suffisante et ainsi 47 Tol rance aux fautes s curit et protection dans les syst mes r partis viter une propagation d erreurs qui serait favoris e par les interactions inh rentes aux syst mes r partis En revanche les syst mes r partis ont toujours t consid r s comme mal adapt s au traitement de donn es sensibles parce que leur dispersion g ographique et leur ouverture vers d autres syst mes rendent difficiles sinon impossibles les contr les d acc s physiques et parce que leur complex
99. th Synchronizing clocks in the presence of faults Journal of the ACM vol 32 n 1 January 1985 pp 52 78 Laprie 89 J C Laprie S ret de fonctionnement des syst mes informatiques et tol rance aux fautes Les Techniques de l Ing nieur n H 4 450 septembre 1989 pp 1 12 Laprie 89b J C Laprie B Courtois M C Gaudel D Powell S ret de fonctionnement des syst mes informatiques Dunod Informatique ISBN 2 04 016942 3 1989 51 Tol rance aux fautes s curit et protection dans les syst mes r partis Laprie 92 J C Laprie Dependability Basic Concepts and Terminology in English French German Italian and Japanese S rie Dependable Computing and Fault Tolerant Systems A Avizienis H Kopetz J C Laprie Eds Vol 5 Springer Verlag 265 p ISBN 3 211 82296 8 and 0 387 82296 8 1992 Lee 90 P A Lee T Anderson Fault Tolerance Principles and Practice and revised edition Springer Verlag Collection Dependable Computing and Fault Tolerant Systems vol 3 Editors A Avizienis H Kopetz and J C Laprie ISBN 3 211 82077 9 1990 Merlin 78 P M Merlin B Randell State restoration in distributed systems Proceedings of the 8th International Symposium on Fault Tolerant Computing FTCS 8 Toulouse France June 1978 IEEE pp 129 134 Morris 79 R H Morris K Thompson Unix password security Communications of the ACM vol 22 n 11 November
100. tilise la m me cl pour le chiffrement et le d chiffrement M M x lx Le DES Data Encryption Standard est un exemple de chiffre sym trique dont l algorithme a t publi et normalis 29 Tol rance aux fautes s curit et protection dans les syst mes r partis Soient deux entit s A et B d un syst me r parti A voulant se faire identifier par B Soit SA un serveur d authentification connu de et B Pour chaque entit E du syst me r parti SA conserve une cl secr te Ke connue uniquement de E et de SA Pour emp cher qu un intrus en coute passive puisse rejouer une fransaction c est dire un ensemble de messages chang s selon un protocole donn pour chaque transaction on g n re un identificateur unique I I peut tre g n r al atoirement Le protocole d tablissement d une session entre A et B comprend 5 tapes A envoie SA son identit a l identit b de B et l identificateur de transaction li SA g n re al atoirement une cl de session Kap et envoie A un message M Mi l b Kab Tab Kk O Tab Kaba tK A d chiffre M l aide de sa cl secr te K m morise Kap et envoie B le mes sage M Tab B d chiffre M2 l aide de sa cl secr te Ky et m morise Kab pour s assurer que M n est pas le rejeu d une ancienne transaction il envoie A un identificateur L chiffr par K M3 I2 x A d chiffre
101. tre part des fautes de classes diff rentes peuvent conduire des erreurs tr s similaires en fait la notion de faute douce ou dure incorpore la subjectivit associ e ces difficult s y compris le fait qu une faute peut tre d clar e comme douce simplement parce que le diagnostic a chou Heisenbugs Gray 861 e ces notions peuvent prendre en compte des subtilit s sur les modes d action de certaines fautes transitoires par exemple faut il appeler faute temporaire une faute interne dormante qui r sulte de l action de particules alpha due l ionisation r siduelle des bo tiers de circuits ou d ions lourds dans l espace sur des l ments de m moire au sens large du terme incluant les bascules Quoiqu il en soit une telle faute est une faute douce Les d finitions pr c dentes s appliquent aux fautes physiques aussi bien qu aux fautes de conception les classes de fautes qui peuvent tre tol r es d pendent des hypoth ses de fautes qui sont prises en compte lors de la conception et donc reposent sur l ind pendance des redondances vis vis du processus de cr ation et d activation des fautes Consid rons par exemple la tol rance aux fautes physiques et la tol rance aux fautes de conception Une m thode largement utilis e pour obtenir de la tol rance aux fautes consiste faire ex cuter des traitements multiples par des unit s multiples Quand c est la tol rance aux fautes
102. ts qui s ex cutent pour son compte Supposons que la politique d autorisation se d finisse informellement de la mani re suivante un utilisateur peut cr er des fichiers dont il devient alors propri taire le propri taire d un fichier peut d cider quels utilisateurs sont autoris s lire ses fichiers les utilisateurs qui n ont pas le droit de lire un fichier ne doivent pas pouvoir en conna tre le contenu Une telle politique n est pas r alisable par des m canismes d autorisation discr tionnaire e si sy est un sujet s ex cutant pour le compte de l utilisateur u propri taire du fichier f7 il peut donner au sujet s2 s ex cutant pour u2 le droit de lecture sur f7 s1 f1 propri taire gt s2 f1 lire e s peut cr er un fichier f2 dans lequel il peut donc crire sur lequel il peut donner le droit de lecture s3 s ex cutant pour u3 s2 f2 cr er gt s2 f2 crire A s3 f2 lire e s2 peut donc recopier f dans f2 pour transmettre les informations de f s3 Pinsu du propri taire s7 s2 fj lire A s2 f2 crire A s3 f2 lire gt s3 k f1 lire Une politique discr tionnaire n est donc applicable que dans la mesure o il est possible de faire totalement confiance aux utilisateurs et aux sujets qui s ex cutent pour leur compte une telle politique est donc vuln rable aux abus de pouvoir provoqu s par maladresse ou par malveillance Ainsi s il est poss
103. ue et r duire les possibilit s d op ration ce qui est indispensable c est le principe du moindre privil ge qui peut se formuler de la fa on suivante un utilisateur ne doit pouvoir acc der un instant donn qu aux informations et services strictement n cessaires pour l accomplissement du travail qui lui a t confi Dans le cas des syst mes o la confidentialit est l objectif principal comme certains syst mes militaires ou gouvernementaux un principe quivalent pr vaut le besoin d en conna tre need to know en anglais un individu ne pourra lire que les informations qu il a besoin de conna tre pour accomplir correctement sa t che Les contr les d acc s se classent en deux cat gories e les contr les d acc s administratifs et physiques externes au syst me informatique e les contr les d acc s logiques c est dire r alis s par le syst me informatique qui eux m mes se d composent en authentification et autorisation 3 2 1 Contr les d acc s administratifs et physiques Les contr les d acc s administratifs et physiques sont un ensemble de contr les externes au syst me informatique Ils sont l objet de ce qu on appelle g n ralement la s curit du personnel la s curit physique et la s curit proc durale e La s curit du personnel consiste d terminer les personnes qui sont dignes de confiance pour certaines op rations et donc

Download Pdf Manuals

image

Related Search

Related Contents

  THE TROPICAL AGRICULTURE RESEARCH AND HIGHER  KN DP-2000  Samsung MINI MX-D850 User Manual  

Copyright © All rights reserved.
Failed to retrieve file