Modèles de Sécurité logicielle pour les plates-formes à composants de service (SOP)

• Main Author: Parrend, Pierre
• Language: FRE
• Published: INSA de Lyon 2008
• Subjects: [INFO:INFO_NI] Computer Science/Networking and Telecommunication; [INFO:INFO_SE] Computer Science/Software Engineering; Middleware; Génie Logiciel; Sécurité; Composants; Programmation Orientée Service; Language Java; Analyse statique; vulnérabilités de code
• Online Access: http://tel.archives-ouvertes.fr/tel-00362486; http://tel.archives-ouvertes.fr/docs/00/36/24/86/PDF/pparrend08phd.pdf; http://tel.archives-ouvertes.fr/docs/00/36/24/86/ANNEX/parrend08phd_v3_short.pdf

Les plates-formes dynamiques de services (SOP, pour ?service-oriented programming') sont des environnements d'exécution génériques qui définissent un modèle d'architecture logicielle structuré: les composants communiquent par le biais d'interfaces explicites, ce qui facilite la configuration et l'évolution de ces systèmes. Les plates-formes SOP utilisent leur envi- ronnement réseau pour réaliser des tâches fonctionnelles, mais également pour améliorer leur capacité de gestion et d'évolution. Elles sont exploitées dans des contextes variés, des serveurs d'application aux systèmes embarqués médicaux ou automobiles. La flexibilité apportée par les plates-formes SOP permet l'intégration de composants de plusieurs sources aussi bien lors de la conception qu'à l'exécution. Cette tendance induit cependant un risque important. Peu d'outils existent pour évaluer la qualité des systèmes résultants, et aucun ne garantit que les composants sélectionnés ne sont pas malicieux. Dans des contextes applicatifs tels que les systèmes e-Business ou les systèmes embarqués sensibles, l'existence d'attaques n'est pas à exclure. L'assurance de sécurité logicielle (Software Security Assurance) définit des méthodes pour le développement d'applications sûres, mais se concentre sur les systèmes monolithiques. Son principe est le suivant: les vulnérabilités doivent être identifiées et résolues tôt dans le cycle de vie pour éviter les attaques lors de l'exécution et limiter les coûts de réparation. Cepen- dant, cette approche ne peut s'appliquer directement aux applications à composants, où le développement n'est pas nécessairement contrôlé par l'intégrateur, et où l'intégration peut avoir lieu à l'exécution de manière automatisée. Nous proposons par conséquent de réaliser une analyse de sécurité pour une plate-forme SOP de référence, la plate-forme OSGi, et de fournir des mécanismes de protection adaptés aux besoins ainsi identifiés. L'analyse de sécurité de la plate-forme OSGi est réalisée par une méthode spécifique, SPIP , le Processus Spirale de Prévention d'Intrusion (Spiral Process for Intrusion Prevention). Elle permet l'évaluation des vulnérabilités du système cible et de la protection apportée par les mécanismes de sécurité associés. Le résultat de l'analyse est : les vulnérabilités de la plate-forme Java/OSGi, et les vulnérabilités des composants SOP Java. Plusieurs mécanismes de protection sont développés pour prévenir l'exploitation des vul- nérabilités identifiées. Ils sont implémentés dans la plate-forme elle-même et au niveau des composants. OSGi Robuste (Hardened OSGi) est un ensemble de recommandations pour la mise en oeuvre de plates-formes OSGi résistantes. CBAC, le contrôle d'accès basé composants (Component-based Access Control) est un mécanisme de contrôle d'accès qui vérifie lors de l'installation qu'un composant n'exécute que les appels explicitement autorisés. Son objectif est d'être plus flexible que le gestion de sécurité Java, de garantir que seuls les composants valides soient installés et de réduire autant que possible le coût de vérification en terme de performance. WCA, l'analyse de composants faibles (Weak Component Analysis), est un outil pour identifier les vulnérabilités exploitables dans les composants SOP selon l'exposition des classes: les objets partagés tels les services SOP, les classes partagées et les classes internes des composants ne sont pas concernés par les mêmes vulnérabilités. Nos propositions sont validées par leur intégration avec une JVM sécurisée dédiée aux applications OSGi, la JnJVM. Les propriétés de sécurité de l'environnement ainsi réalisé sont encourageantes.