Systèmes

d’Exploitation

Didier Verna
E PITA

Généralités Systèmes d’Exploitation

Authentification

Attaques
Protection et Sécurité
Internes
Externes

Protection
Didier Verna
Modèles
formels
didier@lrde.epita.fr
http://www.lrde.epita.fr/˜didier

Version E PITA du 28 septembre 2009

1/26
 Table des matières

Systèmes
d’Exploitation

Didier Verna 1 Généralités

E PITA

Généralités

Authentification
2 Authentification des utilisateurs
Attaques
Internes
Externes 3 Attaques
Protection Internes
Modèles
formels
Externes

4 Mécanismes de protection

5 Modèles formels

2/26
 Protection 6= sécurité

Systèmes
d’Exploitation Sécurité = définir une politique de fonctionnement
Didier Verna (problème externe)
E PITA
I Notion politique, légale, administrative etc.
Généralités I Problématique générale, prise en compte de
Authentification l’environnement du système (sécurité physique,
Attaques authentification des personnes etc.)
Internes
Externes Protection = appliquer (implémenter) cette politique
Protection (problème interne)
Modèles I Notion technique
formels
I Problématique du système d’exploitation (gestion et
contrôle d’accès aux ressources etc.)
Remarque : Les problèmes de protection et sécurité
ne s’adressent plus qu’aux concepteurs de systèmes,
mais aussi aux programmeurs et aux utilisateurs.

4/26
 Les 3 problèmes de sécurité

Systèmes
d’Exploitation Nature des menaces
Didier Verna I Confidentialité / exposition
E PITA
I Intégrité / corruption
Généralités I Disponibilité / déni de service (D O S)
Authentification Intrusions
Attaques
Internes
I Passives (du p’tit curieux au vrai espion)
Externes I Actives (du p’tit malin au vrai voleur)
Protection I Non humaines (virus, vers etc.)
Modèles
formels Perte accidentelle de données
I Impondérables (feux, inondations etc.)
I Dysfonctionnement technique (disques, bugs etc.)
I Erreurs humaines (rm -fr etc.)

5/26
 Authentification 6= identification

Systèmes
d’Exploitation Outils
Didier Verna I Connaissances utilisateur : identificateur, mot de
E PITA
passe, phrase de passe etc.
Généralités I Possessions utilisateur : clé, carte magnétique, carte
Authentification à puce, « smart card » (8bit, 4MHz, 16K ROM, 8K
Attaques EEPROM, 512b RAM, 9600bps) etc.
Internes
Externes
I Attributs utilisateur : empreinte digitale, rétinienne,
Protection vocale, signature etc., tout en restant
Modèles
psychologiquement acceptable pour les usagers.
formels
Contre-mesures
I Tout enregistrer
I Protection par « callback »
I Piéger le système

7/26
 Le drame des mots de passe

Systèmes
d’Exploitation Faiblesses
Didier Verna I Exposition intentionnelle : Transfert à un tiers, postit
E PITA
etc.
Généralités I Exposition accidentelle : Surveillance visuelle, vidéo,
Authentification informatique
Attaques I Découverte par test : connaissance de l’utilisateur
Internes
Externes
(mots de passe trop évidents : 80%), force brute
Protection (dictionnaires)
Modèles Mesures préventives
formels
I Interdire les mots de passe trop simples
I Changer les mots de passe à intervalles réguliers
I Encrypter les transmissions
I Stocker et cacher les formes encryptées
I Le silence est d’or

8/26
 Attaques internes

Systèmes
d’Exploitation Cheval de Troie : code malveillant dans une coquille
Didier Verna bénigne.
E PITA
I Unix : attention au PATH, aux typos etc.
Généralités I Windows : .exe récupérés sur l’internet, .exe vs.
Authentification .com, raccourcis du bureau etc.
Attaques
Internes
Login spoofing : vrai-faux écran de login. Seule
Externes
protection : forcer une séquence clavier non
Protection
récupérable (ex. CTRL-ALT-DEL)
Modèles
formels Bombe logique : se déclenche par absence
d’intervention
Porte de contournement : (backdoor, trapdoor,
« passer par derrière »). Contourner les procédures
normales de sécurité pour un utilisateur précis.

10/26
 Attaques internes (suite)

Systèmes
d’Exploitation Défauts de programmation : avec des langages non
Didier Verna
E PITA
sûrs (ex. débordements de buffers en C)
Défauts de conception :
Généralités
I Unix :
Authentification
• lpr avait une option pour effacer les fichiers après
Attaques
Internes
impression etc.
Externes • ln -s /etc/passwd core.
Protection I TENEX : (DEC-10). Craquage de mots de passe en
Modèles
formels
128n au lieu de 128n (callback utilisateur sur les défauts
de page)

11/26
 Attaques externes

Systèmes
d’Exploitation Virus : fragment de code intégré dans un programme
Didier Verna
E PITA
légitime. Reproduction par contamination d’autres
programmes. Aucun antivirus universel : les antivirus
Généralités
évoluent en même temps que les virus.
Authentification

Attaques
Vers : programme autonome et auto-reproducteur.
Internes
Externes
Consommation (voire épuisement) des ressources
Protection systèmes. Dissémination à travers les réseaux
Modèles informatiques.
formels

12/26
 Virus

Systèmes
d’Exploitation Exécutables : « virus de remplacement » (écrasent
Didier Verna
E PITA
des programmes avec eux-mêmes), « virus parasites »
(s’attachent à des programmes, en tête, en queue, ou
Généralités
dans des cavités).
Authentification

Attaques
Résidents : caché en RAM en permanence.
Internes Redirection de trap, attendre un exec etc.
Externes

Protection Boot sector : exécutés avant même le chargement du

Modèles système. Point de départ fréquent des virus résidents.
formels
Pilotes : chargés « officiellement » par le système,
exécutés en mode noyau.
Macros / scripts : VB dans Office, ELisp dans Emacs
etc. Transmission par mail croissante. Peu de
qualifications requises.
Source : contaminent les sources plutôt que les
exécutables.
13/26
 Propagation

Systèmes
d’Exploitation Freewares, sharewares sur le web
Didier Verna
E PITA Floppies, zips, clés U SB etc.
Généralités Internet, L AN etc.
Authentification Mails news (attachements, carnets d’adresses)
Attaques
Internes Plugins pour les navigateurs
Externes

Protection
etc.
Modèles
formels

=⇒ Éduquer les utilisateurs ! ! (de Windows)

14/26
 Techniques anti-(anti-(. . . )) virales

Systèmes
d’Exploitation Scanners : comparaison de tous les exécutables avec
Didier Verna une base de données. Mises à jour régulière.
E PITA
I Recherche floue (plus coûteuse, risque de fausses
Généralités alarmes).
Authentification • Préserver les dates originales des fichiers infectés, leur
Attaques longueur (compression), se différencier des bases de
Internes données (encryption)
Externes
• La procédure de décryptage ne peut pas être encryptée
Protection • Virus polymorphes (moteur de mutation)
Modèles
formels Vérificateurs d’intégrité : calcul (puis comparaison)
de sommes de contrôle à partir d’un état sain
I Écraser les sommes avec les nouvelles
I Encrypter les sommes (avec une clé externe)
Vérificateurs de comportement : antivirus résidents.
Travail difficile.

15/26
 Le vers de Morris

Systèmes
d’Exploitation
Attaque rsh
Didier Verna Attaque finger (buffer overflow)
E PITA Attaque sendmail (option debug)
Hook
Généralités
Requ
Authentification ête d
e ver
s
Attaques Attaque mots de passe
Internes
Vers Vers
Externes
Téléchargement du vers
Protection
Machine cible Machine infectée
Modèles
formels

Lancé le soir du 2 Novembre 1988, détecté pour cause

de DoS, solutions proposées le 3, neutralisé en
quelques jours.
rtm fait la une du New York Times à cause d’un ami etc.
Polémiques autour de sa condamnation, création du
C ERT (Computer Emergency Response Team).
16/26
 Modélisation

Systèmes
d’Exploitation Un système informatique est
Didier Verna I Un ensemble de processus
E PITA
I Un ensemble d’objets matériels (CPU, mémoire etc.)
Généralités I Un ensemble d’objets logiciels (programmes, fichiers
Authentification etc.)
Attaques I Un ensemble d’opérations processus −→ objet
Internes
Externes
(les opérations peuvent dépendre des objets)
Protection Principe de « nécessité d’accès »
Modèles I Restreindre l’accès aux seules ressources nécessaires
formels
I Restreindre l’accès aux seules opérations nécessaires

18/26
 Notion de domaine de protection

Systèmes
d’Exploitation Définitions
Didier Verna I Droit d’accès : paire (objet / ensemble de droits)
E PITA
(O, {D1 , D2 , . . .})
Généralités I Domaine : ensemble de droits d’accès
Authentification {DA1 , DA2 , . . .}
Attaques
Internes
Remarques
Externes I Les domaines ne sont pas forcément disjoints
Protection I Chaque processus s’exécute dans un domaine
Modèles
formels Liaison processus / domaine
I Statique : ensemble de ressources disponibles fixe. Le
principe de nécessité d’accès requiert un mécanisme
de modification des contenus de domaines.
I Dynamique : requiert un mécanisme de « commutation
de domaine » (pas nécessairement de modification).

19/26
 Réalisation de domaines

Systèmes
d’Exploitation Domaine = Utilisateur : les objets auxquels on peut
Didier Verna accéder dépendent de l’utilisateur qui y accède.
E PITA
Commutation de domaine au changement d’utilisateur.
Généralités I Unix : Bit « setuid » (root) : indique un éventuel
Authentification changement d’identité pour les accès (privilégiés).
Attaques Domaine = Processus : les objets auxquels on peut
Internes
Externes accéder dépendent du processus qui y accède.
Protection Commutation de domaine à la commutation de
Modèles
formels
contexte.
Domaine = Procédure : les objets auxquels on peut
accéder correspondent aux variables utilisées par la
procédure. Commutation de domaine à chaque appel
de procédure.
I Multics : 7 domaines de protection organisés en
anneaux (par quantité de privilèges).
• Espace d’adressage segmenté
• « Liste de guichets » : points d’entrée par anneaux
20/26
 Matrice de droits

Systèmes
d’Exploitation Définition
Didier Verna I Matrice domaine / objet [Di , Oj ] contenant les droits
E PITA
I Domaine d’exécution d’un processus choisi par le
Généralités système d’exploitation
Authentification I Droits (Di , Oj ) spécifiés par les utilisateurs
Attaques
Internes
Entrées particulières
Externes I Commutation de domaine : les domaines sont vus
Protection comme des objets
Modèles I Modification de droits : les entrées (Di , Oj ) sont vues
formels
comme des objets

21/26
 Implémentation de la matrice de droits

Systèmes
d’Exploitation Complète : table globale en mémoire. Grande taille,
Didier Verna
E PITA
matrice creuse.
Par colonne : « ACL » (Access Control List). Pour
Généralités

Authentification
chaque objet : liste de paires domaines (utilisateurs) /
Attaques
droits non vides. Extension par listes de droits par
Internes
Externes
défaut.
Protection Par ligne : « Capacités de domaines ». Pour chaque
Modèles
formels
domaine (processus) : liste de paires objets / droits non
vides.

22/26
 Rions un peu

Systèmes
d’Exploitation Orange Book
Didier Verna I Classification du Département Américain de la Défense
E PITA
(7 niveaux de sécurité)
Généralités I Windows obtient 0/7
Authentification I Unix obtient 2/7
Attaques
Internes
Pourquoi les systèmes actuels sont-ils si peu sûr ?
Externes I Coût (conception et réalisation)
Protection I Charge (temps administratif humain et CPU)
Modèles I Rétro-compatibilité (pression commerciale, utilisateurs)
formels
I Fonctionnalités et sécurité sont contradictoires (« keep
it simple »)

24/26
 Sécurité multi-niveau

Systèmes
d’Exploitation Idée : Contrôle d’accès sous l’égide du système plutôt
Didier Verna
E PITA
que des utilisateurs (régulation du flot d’information
plutôt que de l’information elle-même).
Généralités
Sécurité : Bell / La Padula
Authentification

Attaques
I Un processus ne peut lire des objets qu’à niveau
Internes inférieur ou égal au sien
Externes
I Un processus ne peut écrire des objets qu’à niveau
Protection
supérieur ou égal au sien
Modèles
formels Intégrité : Biba
I Un processus ne peut écrire des objets qu’à niveau
inférieur ou égal au sien
I Un processus ne peut lire des objets qu’à niveau
supérieur ou égal au sien

25/26
 Covert channels
La fuite d’information est toujours possible. . .

Systèmes
d’Exploitation 1 = « while (1) ; », 0 = sleep () ;
Didier Verna
E PITA (Dé)Vérouillage,test d’existence de fichier
Généralités
Réquisition / relâchement de périphériques
Authentification Stéganographie
Attaques
Internes
etc.
Externes

Protection

Modèles
formels

26/26