Plan du site  
pixel
pixel

Articles - Étudiants SUPINFO

Les architectes informatiques sont-ils responsables de l'état de la sécurité aujourd'hui ?

Par Fayçal SIDI ALI MEBAREK Publié le 25/03/2020 à 16:37:27 Noter cet article:
(0 votes)
En attente de relecture par le comité de lecture

En ce qui concerne le support matériel pour atténuer les problèmes de sécurité des logiciels, il existe un écart important entre les produits disponibles aujourd'hui et les solutions connues. Cet article examine l'histoire du support architectural, résume les philosophies de recherche et examine les raisons possibles de la relative faiblesse du support de la sécurité logicielle dans les systèmes actuels.

Historique de l'architecture de soutien à la sécurité

Ceci est le l'évolution du soutien de l'ISA à la sécurité dans les entreprises de transformation des produits de base.

La figure ci-dessus fournit une chronologie du soutien architectural pour les défenses pratiques, telles qu'on les trouve dans les produits commerciaux. La plupart des dispositifs de sécurité existants sur la chronologie se répartissent en quatre catégories :

- Virtualisation - Donner au code l'illusion qu'il se trouve dans un environnement autre que celui sur lequel il est réellement exécuté. Cela peut prendre la forme d'un support matériel pour la mémoire virtuelle (qui isole les processus les uns des autres) ou d'un support matériel pour les machines virtuelles (qui isolent des systèmes d'exploitation entiers les uns des autres).

- Attestation - Fournir aux systèmes les moyens d'attester ou de vérifier l'intégrité de leurs composants. Cela commence généralement par une racine de confiance : un petit ensemble de matériel de confiance qui peut 1) vérifier sa propre intégrité, et 2) l'utiliser pour étendre et vérifier l'intégrité d'autres composants du système.

- Accélération - Ajout d'un support matériel pour réduire les frais d'exécution des fonctions de sécurité. L'ajout d'accélérateurs matériels dédiés pour accélérer les calculs de cryptage et de décryptage en est un exemple typique.

- Balisage - Les emplacements de la mémoire sont "balisés" avec des métadonnées, qui peuvent signaler des choses comme les types de données ou les niveaux d'autorisation.

Approches en matière de sécurité

Si l'industrie a pris quelques mesures pour améliorer la sécurité, il existe un plus grand nombre de paradigmes qui ont été proposés et développés dans la communauté de recherche sur l'architecture informatique pour atteindre la sécurité.

- Méthodes formelles - Construire des preuves logiques pour vérifier ou réfuter certaines propriétés d'un système. Par exemple, une vérification formelle d'un circuit booléen peut prouver que le circuit n'effectue jamais une action indésirable pour toute entrée pouvant être fournie par l'adversaire. Cette approche peut être puissante, mais elle est souvent limitée par 1) des hypothèses sur l'environnement du système, 2) l'énorme quantité de puissance de calcul nécessaire pour vérifier formellement des systèmes complexes, et 3) la difficulté à spécifier des actions indésirables. Également connue sous le nom d'approche "correcte par construction" de la sécurité.

- Cryptographie - Crypter des informations sensibles à l'aide de systèmes de cryptographie. Les cryptosystèmes sont conçus de telle manière qu'il est pratiquement impossible pour un adversaire de déchiffrer les informations chiffrées (également appelées cryptogrammes) sans posséder de clés secrètes. La cryptographie constitue une partie essentielle de nos pratiques actuelles les plus connues en matière de protection de la confidentialité et de l'intégrité. Le défi que représente l'utilisation de techniques cryptographiques pour sécuriser le système est lié à la gestion sécurisée des clés et, dans de nombreux cas, à leur exécution efficace.

- Isolement - Gardez les éléments de confiance et de non confiance séparés l'un de l'autre et surveillez attentivement toute interaction entre les deux. En isolant, et donc en réduisant, la portée et la taille des composants de confiance, il devient plus facile pour les systèmes de vérifier et d'étendre les garanties d'intégrité des composants potentiellement non fiables. Les systèmes d'isolation idéaux visent à appliquer une propriété appelée "non-interférence" qui, en gros, signifie que chaque programme doit terminer son exécution sans être affecté par un facteur pouvant être contrôlé par un attaquant.

- Méta-données/approches de flux d'information - Tout ce qui se trouve dans un système est un objet comportant deux types d'entités : les données et les métadonnées. Lorsque des calculs sont appliqués aux données, des calculs fantômes se produisent sur les métadonnées correspondantes, qui détectent et signalent les modifications illégitimes des données. Certains de ces systèmes sont également capables de détecter les modifications illégales des métadonnées (dans une certaine mesure). La nature exacte des calculs fantômes et des métadonnées est déterminée par les spécificités des politiques de sécurité. Les violations des politiques détectées par les calculs de métadonnées doivent être traitées par un processus plus privilégié. Les données de la définition ci-dessus pourraient également inclure des instructions.

- Approches de cibles mouvantes - L'observation qui engendre cette approche est la croyance que presque toutes les attaques (auront) des défenses, et toutes les défenses (auront) des attaques. En d'autres termes, dans un monde où les attaquants et les défenseurs tentent constamment de s'améliorer mutuellement, les approches de cibles mobiles minimisent l'avantage des attaquants en modifiant le fonctionnement du système/défenses au fil du temps. Les principaux problèmes à résoudre sont les considérations de déploiement/maintenance avec des systèmes en constante évolution, et les compromis entre le taux de changement, la performance et la sécurité.

- Diversification - Si chaque système était distinct, cela obligerait l'agresseur à préparer des exploits sur mesure, augmentant son travail et réduisant ses profits. Un exemple extrême est celui où chaque ordinateur a une ISA différente (secrète ou non secrète). Comme les ISA sont différents, la même technique d'exploitation et la même charge utile ne peuvent pas être utilisées aveuglément, ce qui empêche les prises de contrôle massives. Les défis à relever ici sont des considérations de déploiement/maintenance en raison des différences entre les systèmes.

- Détection des anomalies - Ce paradigme est issu de la philosophie selon laquelle les systèmes seront toujours peu sûrs, indépendamment de la présence d'autres mécanismes de sécurité. L'objectif est de surveiller les systèmes pour détecter les comportements anormaux ou inhabituels, qui peuvent indiquer une attaque antagoniste sur la sécurité d'un système. Il peut s'agir soit d'une détection basée sur la signature, qui vérifie si le comportement du système correspond à un modèle de comportement malveillant, soit d'une détection des abus, qui vérifie si le comportement du système s'écarte d'un modèle de comportement bénin.

En pratique, aucune de ces approches n'est sûre en soi, et doivent être combinées pour obtenir des garanties de sécurité raisonnables. Cela est problématique, car le soutien commercial à la sécurité ne couvre que quelques-unes de ces approches.

Regard sur le passé et l'avenir

Après une période d'intérêt et de soutien très actif pour la sécurité au cours des années 70 et du début des années 80, il semble qu'il y ait eu un hiatus à la fin des années 80 et 90, qui coïncide avec l'ère des guerres de fréquences et des architectures RISC. Qu'est-ce qui pourrait expliquer ce manque de soutien à la sécurité dans les produits commerciaux ?

Peut-être que l'état d'esprit des vendeurs commerciaux était qu'une marée montante (performance) soulève tous les bateaux. Cependant, une performance plus élevée ne résout pas nécessairement le problème. Notre paradigme est que la sécurité est une exigence fondamentale pour une exécution correcte (et non l'inverse) car une exécution non sécurisée produit des résultats erronés ou inattendus. Et d'une manière générale, aucun gain de performance ne peut compenser une exécution incorrecte. Ainsi, s'il est vrai qu'une marée montante soulève tous les bateaux, elle ne soulève pas ceux qui sont condamnés à couler !

Une autre explication du manque de soutien dans les conceptions commerciales est que la sécurité, en particulier celle qui profite aux masses, n'était pas essentielle dans les années 80, car l'informatique personnelle et l'Internet étaient encore dans leur nascence, et les attaques de masse étaient de plus en plus rares. Cependant, les ISA ont une longue durée de vie. Nous vivons donc maintenant (dangereusement) au 21e siècle avec des concepts d'ISA conçus pour la vie au 20e siècle ! En outre, le manque d'attention portée à la sécurité dans les années 80 et 90 a créé des bulles dans le pipeline des talents humains pour la sécurité architecturale, dont les effets continuent à se faire sentir.

On peut également affirmer que l'industrie de transformation a été déconnectée de la réalité en termes d'exigences de sécurité. Bien que des améliorations de sécurité aient été apportées aux anciens systèmes ISA dans l'ère de l'après-guerre des fréquences, cette prise en charge s'est limitée à des fonctionnalités qui servent principalement les intérêts des entreprises (par exemple, la gestion des droits numériques pour les jeux ou le multimédia, la virtualisation dans le nuage), et très peu pour aider directement les masses (par exemple, la prise en charge matérielle pour la détection/prévention des logiciels malveillants). Cela pourrait s'expliquer par le fait que les exigences futures en matière de conception des processeurs sont beaucoup plus déterminées par les grandes entreprises acheteuses que par les gens ordinaires.

Les nouvelles normes ISA à source ouverte offrent une solution potentielle pour sortir de notre dilemme actuel. Toutefois, d'un point de vue pratique, les anciennes normes ISA ne disparaîtront pas de sitôt et la sécurité des systèmes qui contiennent des processeurs avec d'anciennes et de nouvelles normes ISA se réduit à la sécurité de la norme ISA la plus faible. Nous avons donc peut-être besoin de meilleurs moyens pour comprendre comment adapter les paradigmes de sécurité aux ISA existantes tout en remodelant les systèmes pour l'avenir.

Bibliographie

https://www.sigarch.org/are-computer-architects-to-blame-for-the-state-of-security-today/

A propos de SUPINFO | Contacts & adresses | Enseigner à SUPINFO | Presse | Conditions d'utilisation & Copyright | Respect de la vie privée | Investir
Logo de la société Cisco, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société IBM, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Sun-Oracle, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Apple, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Sybase, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Novell, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Intel, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Accenture, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société SAP, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Prometric, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Toeic, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo du IT Academy Program par Microsoft, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management

SUPINFO International University
Ecole d'Informatique - IT School
École Supérieure d'Informatique de Paris, leader en France
La Grande Ecole de l'informatique, du numérique et du management
Fondée en 1965, reconnue par l'État. Titre Bac+5 certifié au niveau I.
SUPINFO International University is globally operated by EDUCINVEST Belgium - Avenue Louise, 534 - 1050 Brussels