Contrôle d'usage dans les architectures orientées services


Étudiant	Sarra Kadri
Formation	M2 Technologies de l’Internet, Pau
Type de stage	recherche
Période	5 mois (01/02/2012 → 30/06/2012)
Encadrement	Manuel Munier (LIUPPA)
Localisation	Mont de Marsan, IUT des Pays de l’Adour, LIUPPA (locaux dpt R&T)

Sujet du stage

Contexte

Les architectures orientées services (SOA pour Service Oriented Architectures en anglais) telles que les services Web, le cloud computing,… se développent de plus en plus dans les systèmes d’information des entreprises. D’un point de vue technologique, ces concepts sont actuellement bien maîtrisés: langages de programmation, architecture client/serveur, normalisation des formats d’échanges,… Les préoccupations se posent dorénavant plutôt en termes de sécurité de l’information selon une approche de gestion des risques. Ces SOA tendent effectivement à rendre les systèmes d’information dépendants les uns de autres. Que ce soit au sein d’une même entreprise ou entre des organisations différentes, cette inter-dépendance des SI introduit bien évidemment de nouvelles vulnérabilités et donc, à fortiori, de nouveaux risques pour la sécurité des informations : indisponibilité des services, calculs erronés suite à l’obtention de « fausses » informations, diffusion de données incorrectes (cf. notion de responsabilité, aspects législatifs, image de marque de l’entreprise,…), utilisation non autorisée de services, mauvaises utilisation des services,… Cette liste n’est bien évidemment pas exhaustive !

Fort heureusement, nous ne sommes pas les premiers à nous préoccuper de la sécurité dans ces architectures. Des solutions ont été développées pour répondre à certains besoins : authentification des fournisseurs de services, intégrité des données reçues, chiffrement des données échangées, authentification du client (cf. notion de transaction ou de session). Des études ont été réalisées et des préconisations ont été données pour le développement des services (sécurité côté serveur). Nous estimons que ces aspects sécuritaires ne sont toutefois pas suffisants et ne permettent pas de prendre en compte tous les risques liés à l’utilisation de tels services dans les SI actuels. Nous menons d’ailleurs des travaux de recherche sur ce point sous un angle « gestion des risques » pour la SSI.

Dans le cadre de ce stage de master recherche, nous voudrions étudier et mettre en œuvre des mécanismes de contrôle d’usage au sein des SOA. Des mécanismes de contrôle d’accès existent déjà sur certaines architectures: « tel client a l’autorisation de se connecter à tel fournisseur de service ». Le niveau de granularité peut (éventuellement) permettre de préciser quels sont les services autorisés sur un fournisseur donné. Le contrôle d’usage permet quant à lui d’avoir une meilleure expressivité dans les politiques de sécurité en introduisant par exemple des concepts tels que les obligations, les règles contextuelles,… (cf. des modèles tels qu’OrBAC). Une telle approche est déjà utilisée dans nos travaux de recherche actuels (cf. projet ANR FLUOR) sur les « documents sécurisés autonomes » et les E-DRM (Enterprise Digital Right Management) avec, en plus, des concepts tels traçabilité, audit,…

Attendus

Ce sujet propose donc d’intégrer de tels mécanismes de contrôle d’usage dans une SOA: les services Web. Les WS sont effectivement une technologie très répandue actuellement. En outre, de nombreux standards ont été développés autour de la sécurité des WS. Ces standards sont particulièrement intéressants dans le sens où ils ne définissent pas quels sont les mécanismes de sécurité à utiliser mais comment les mettre en œuvre au sein du protocole SOAP (protocole de communication pour les WS utilisant le format XML). Ils concernent l’authentification des parties, le chiffrement des communications, la gestion des sessions (avec gestion de tokens de sécurité),… A côté de cela, précisons qu’il existe des implémentations Open Source des architectures WS et des standards WSS (ex: Apache Axis2 avec des API pour Java). A noter également qu’étant donné nos collaborations actuelles sur FLUOR nous avons accès aux versions les plus récentes du moteur OrBAC (avec une API pour Java) ainsi qu’aux documentations et diverses informations quant à son utilisation et son développement.

Le sujet que nous proposons n’est pas uniquement orienté développement et mise en œuvre. Après une phase d’expérimentation de ces différentes technologies viendra une phase de modélisation d’une politique de sécurité adaptée aux SOA d’une manière générale. L’idée étant bien évidemment que le modèle développé fournisse également un certain nombre « d’indicateurs » que nous pourrions réutiliser dans nos travaux de recherche sur les gestion des risques dans les SI faisant appel à des SOA, et notamment pour le développement d’un SMSI adapté.

Informations complémentaires

Résultats existants

Manuel Munier. A Secure Autonomous Document Architecture for Enterprise Digital Right Management. In SITIS, 2011.
PDF Diapositives DOI DBLP IEEE HAL BibTex XML
Manuel Munier. A Multi-View Approach for Embedded Information System Security. In CRiSIS, 2010. C
PDF Diapositives DOI DBLP IEEE HAL BibTex XML
certification ISO/IEC 27005:2008 Risk Manager, obtenue en février 2010 (actualisée en septembre 2011)
formation EBIOS à l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information, anciennement la DCSSI), mai 2007

Travaux en cours

projet ANR FLUOR (2008-2011): contrôle de flux et d’usage dans les organisations, documents autonomes, E-DRM, aspects juridiques
thèse Vincent Lalanne « Gestion des risques dans les architectures orientées services »
collaborations avec les juristes de l’UPPA:
- séminaire e-administration (dématérialisation des services publiques, délibérations électroniques,…)
- colloque « sécurité informatique en entreprise », janvier 2012

Dernière mise à jour le janv. 28, 2025

← Hack RF 433MHz juin 26, 2024