Academic literature on the topic 'APT (informatique) – Systèmes informatiques – Mesures de sûreté'

La criticité croissante des systèmes industriels les expose davantage aux menaces du monde cyber. En particulier les menaces persistantes avancées ou Advanced Persistent Threats (APT) sont des attaquants sophistiqués dotés de ressources conséquentes et ciblant spécifiquement les systèmes critiques. Les méthodologies de cyber-défense actuelles permettent de protéger les systèmes contre les cyber-menaces classiques mais elles peinent à contrer efficacement les APT. En effet, les APT usent de stratégies complexes et de tactiques de dissimulation qui les rendent difficile à contrecarrer. Pour répondre à ce besoin, la méthodologie d’Operational Design tirée des stratégies militaires permet de mieux comprendre l’établissement de stratégie de ces attaquants sophistiqués. Cette méthodologie axée sur la mission et adaptée au contexte des APT repose sur la fédération de plusieurs processus de spécification, de modélisation et d’analyse pour produire une stratégie opérationnelle. Pour évaluer cette approche, un outillage fédéré complet a été conçu et appliqué à un cas d’étude d’une mission d’attaque de système de pompage d’eau<br>Critical industrial systems are prime targets of cyber threats. In particular the Advanced Persistent Threats (APT) are sophisticated and well-resourced attacks targeting valuable assets. For APTs both the attack and the defense require advanced planning and strategies similar to military operations. The existing cyber-security-aware methodologies achieve valuable results for regular cyberthreats, however they fail to adequately address APTs due to their refined strategies and evasive tactics. The Operational Design methodology of military forces helps in better understanding how APTs devise their strategies. This mission-driven methodology adapted to the APT context relies on the federationof several processes of specification, modeling and analysis in order to produce an operational strategy. To evaluate this approach, a complete federation framework has been developed and applied to the case study of a mission of attack on a water pumping station

Security critical applications often store keys on dedicated HSM or key-management servers to separate highly sensitive cryptographic operations from more vulnerable parts of the network. Access to such devices is given to protocol parties by the means of Security APIs, e.g., the RSA PKCS#11 standard, IBM's CCA and the TPM API, all of which protect keys by providing an API that allows to address keys only indirectly. This thesis has two parts. The first part deals with formal methods that allow for the identification of secure configurations in which Security APIs improve the security of existing protocols, e.g., in scenarios where parties can be corrupted. A promising paradigm is to regard the Security API as a participant in a protocol and then use traditional protocol analysis techniques. But, in contrast to network protocols, Security APIs often rely on the state of an internal database. When it comes to an analysis of an unbounded number of keys, this is the reason why current tools for protocol analysis do not work well. We make a case for the use of MSR as the back-end for verification and propose a new process calculus, which is a variant of the applied pi calculus with constructs for manipulation of a global state. We show that this language can be translated to MSR rules while preserving all security properties expressible in a dedicated first-order logic for security properties. The translation has been implemented in a prototype tool which uses the tamarin prover as a back-end. We apply the tool to several case studies among which a simplified fragment of PKCS#11, the Yubikey security token, and a contract signing protocol. The second part of this thesis aims at identifying security properties that a) can be established independent of the protocol, b) allow to catch flaws on the cryptographic level, and c) facilitate the analysis of protocols using the Security API. We adapt the more general approach to API security of Kremer et.al. to a framework that allows for composition in form of a universally composable key-management functionality. The novelty, compared to other definitions, is that this functionality is parametric in the operations the Security API allows, which is only possible due to universal composability. A Security API is secure if it implements correctly both key-management (according to our functionality) and all operations that depend on keys (with respect to the functionalities defining those operations). We present an implementation which is defined with respect to arbitrary functionalities (for the operations that are not concerned with key-management), and hence represents a general design pattern for Security APIs.

Le piratage informatique est apparu avec les premiers micro-ordinateurs vers 1980 et depuis n'a cessé de s'amplifier. Au début, cette pratique était essentiellement individuelle et ludique. Elle est désormais principalement constituée par les activités des personnes qui, individuellement ou en groupe, avec des motivations très diverses, piratent les ordinateurs des autres. Aujourd'hui, l'explosion des moyens de communications électroniques fait que la sécurité des données concerne sans cesse de nouvelles populations. Cette thèse examine dans un premier temps, d’un point de vue technique et sociologique, les méthodes et procédures d’attaques et de défense en matière de piratage informatique. Dans un second temps, elle expose une théorisation de ces mécanismes d’attaques et de défense, avant de proposer une nouvelle conception de la sécurité qui n’est plus seulement centrée sur des moyens techniques mais également sur la prise en compte de la dimension sociale des attaques et de défense<br>Hacking activities appeared around 1980 with first personal computers and since did not stop developing. At the beginning, this practice was primarily individual and playful. Now it is mainly made up by the activities of groups, with very various motivations. Today, due to the development of electronic means of communication, data security concerns a wider public. This thesis examines initially, from a technical and sociological point of view, attacks and defense mechanisms, and proposes a new concept of the security which is not only any centered on technical solutions but also takes in consideration the social dimension of the problem

De l'instant de l'attaque logicielle contre le système, jusqu'aux conséquences macro-économiques induites, nous suivrons la propagation du dommage et ses implications juridiques en matière d'obligations et de responsabilité. Cela nous donnera tout d'abord l'occasion d'aborder l'aspect répressif de la sécurité au travers de la sanction pénale de l'acte. Mais tout autant nous nous intéresserons aux relations contractuelles qui vont naître de la prévention du dommage, au travers des mesures prises par la victime, le maître du système, pour protéger ses intérêts. Nous envisagerons les recours qui s'offrent non seulement à ce dernier mais aussi aux utilisateurs du système attaqué, qui subiront parfois un préjudice du fait d'une atteinte, à leurs biens, à la qualité d'un service, ou à leur vie privée. Enfin la sécurité informatique est à nos yeux un impératif d'ordre public et ce sont les dommages potentiels à l'économie dans son ensemble qui concluront donc cette étude.

Cette thèse présente une nouvelle approche pour l’évaluation quantitative de la sécurité des systèmes informatiques. L’objectif de ces travaux est de définir et d’évaluer plusieurs mesures quantitatives. Ces mesures sont des mesures probabilistes visant à quantifier les influences de l’environnement sur un système informatique en présence de vulnérabilités. Dans un premier temps, nous avons identifié les trois facteurs ayant une influence importante sur l’état du système : 1) le cycle de vie de la vulnérabilité, 2) le comportement de la population des attaquants et 3) le comportement de l’administrateur du système. Nous avons étudié ces trois facteurs et leurs interdépendances et distingué ainsi deux scénarios principaux, basés sur la nature de la découverte de la vulnérabilité, malveillante ou non. Cette étape nous a permis d'identifier les états possibles du système en considérant le processus d’exploitation de la vulnérabilité et de définir quatre mesures relatives à l'état du système qui peut être vulnérable, exposé, compromis, corrigé ou sûr. Afin d'évaluer ces mesures, nous avons modélisé ce processus de compromission. Par la suite, nous avons caractérisé de manière quantitative les événements du cycle de vie de la vulnérabilité à partir de données réelles issues d'une base de données de vulnérabilités pour paramétrer nos modèles de manière réaliste. La simulation de ces modèles a permis d’obtenir les valeurs des mesures définies. Enfin, nous avons étudié la manière d’étendre le modèle à plusieurs vulnérabilités. Ainsi, cette approche a permis l’évaluation de mesures quantifiant les influences de différents facteurs sur la sécurité du système<br>This thesis presents a new approach for quantitative security evaluation for computer systems. The main objective of this work is to define and evaluate several quantitative measures. These measures are probabilistic and aim at quantifying the environment influence on the computer system security considering vulnerabilities. Initially, we identified the three factors that have a high influence on system state: 1) the vulnerability life cycle, 2) the attacker behaviour and 3) the administrator behaviour. We studied these three factors and their interdependencies and distinguished two main scenarios based on nature of vulnerability discovery, i. E. Malicious or non malicious. This step allowed us to identify the different states of the system considering the vulnerability exploitation process and to define four measures relating to the states of the system: vulnerable, exposed, compromised, patched and secure. To evaluate these measures, we modelled the process of system compromising by vulnerability exploitation. Afterwards, we characterized the vulnerability life cycle events quantitatively, using real data from a vulnerability database, in order to assign realistic values to the parameters of the models. The simulation of these models enabled to obtain the values of the four measures we had defined. Finally, we studied how to extend the modelling to consider several vulnerabilities. So, this approach allows the evaluation of measures quantifying the influences of several factors on the system security

Les mecanismes de protection les plus repandus actuellement sur les systemes d'information proposent certaines formes de barrages ne pouvant etre franchis que par des utilisateurs autorises (mots de passe) dans le cas ou ces filtres sont franchis, la plupart des systemes deviennent completement accessibles et a la merci de l'intrus. L'idee directrice de notre travail est d'apporter un complement aux mecanismes d'authentification traditionnels. Ce complement n'a aucunement la pretention d'etre infaillible, mais il permet de generer un facteur de risque dont l'effet peut etre particulierement dissuasif. Notre travail a porte sur l'etude d'une methode de conception d'un outil permettant de confirmer periodiquement l'authenticite d'un sujet agissant sur un systeme d'information donne. Ce complement d'authentification s'exerce apres le passage des mecanismes de securite traditionnels. Cette authentification doit s'effectuer de maniere transparente pour le sujet et peut s'apparenter a une verification comportementale. Le comportement du sujet controle doit correspondre dans une certaine mesure au comportement attendu. Une methode de decomposition arborescente d'un probleme de securite complexe en sous problemes a ete definie. Cette methode permet de resoudre une requete d'authentification en resolvant un certain nombre de sous requetes dont l'equivalence avec la premiere est quantifiee par une approche probabiliste. Les feuilles de l'arborescence representent des requetes fondamentales dont la complexite de resolution peut etre variable. Pour la resolution de requetes fondamentales complexes, nous proposons une strategie de choix de parametres mesurables dont la correlation entre eux est une consequence de l'authenticite du sujet etudie. Des resultats d'experiences sont exposes ensuite. Une premiere experience evoque la conception d'un systeme d'authentification dont le but est de limiter les fraudes bancaires dues a une utilisation illicite des cartes de paiement. Une deuxieme experience concerne l'etude de cas d'un utilisateur de systeme unix dont l'authenticite peut etre confirmee par l'analyse de la vitesse de frappe de son mot de passe par un perceptron, ainsi que par les commandes qu'il utilise

Le paradigme de l'informatique diffuse suppose implicitement un modèle d'interaction dynamique qui s'appuie en premier lieu sur la découverte d'applications ambiantes et d'appareils environnants. Quoique la découverte soit au cœur de tels systèmes, en particulier ceux qui s'organisent selon une architecture orientée services, le besoin de sécuriser ce composant critique et la complexité de cette tâche ont été largement sous-estimés, voire négligés jusqu'à aujourd'hui. Cette thèse s'attaque à la conception de protocoles sécurisés et d'architectures fiables pour résoudre les problèmes des techniques actuelles de découverte de service. Après avoir présenté les besoins de sécurité de ce type de protocole, nous proposons trois solutions sécurisées pour la découverte de services correspondant à des degrés divers d'organisation et d'échelle de l'infrastructure sur laquelle le mécanisme est déployé. Nous montrons tout d'abord comment le chiffrement est suffisant pour protéger des architectures décentralisées de type LAN ou WLAN en restreignant l'accès aux messages de découverte diffusés d'après une politique à base d'attributs. Nous proposons ensuite l'utilisation de politiques de découvertes comme concept essentiel à la sécurisation de la découverte de services dans les architectures centralisées qui s'appuient sur un registre comme tiers de confiance. Nous introduisons enfin une architecture pour le déploiement d'un mécanisme de découverte de services sécurisé à plus grande échelle s'appuyant sur un système d'indexation pair à pair accessible via une couche de routage anonyme. Dans une deuxième partie de la thèse, nous analysons l'efficacité des mécanismes de découverte de service sécurisée proposés par une étude de performance. Un modèle Markovien est construit afin de calculer différents paramètres de performances liées à la robustesse, la disponibilité, l'efficacité ou le coût en termes de ressources consommées lors de l'exécution d'un processus de découverte en charge normale aussi bien que soumis à une attaque de déni de service. Nous discutons finalement dans une dernière partie des problèmes de sécurité et de confiance liés à l'introduction de sensibilité contextuelle dans les mécanismes de découverte de service.

L’avènement de l’informatique pervasive permet la mise en place d’environnements intelligents et communicants offrant à l’utilisateur la possibilité de faire interagir ses équipements avec son environnement de manière aisée et transparente. La mobilité de l’utilisateur et la multiplication des dispositifs légers et autonomes accentuent et rendent plus complexes les problèmes de sécurité. En effet, la mise en place d’environnements pervasifs permet à l’utilisateur nomade de solliciter ou de communiquer avec d’autres utilisateurs, des ressources ou des services au sein d’environnements ou de domaines qui lui sont inconnus et réciproquement. Les mécanismes et les solutions existants sont inadéquats pour pallier les nouveaux challenges issus principalement des problèmes d’authentification, de contrôle d’accès et de protection de la vie privée. Dans un système aussi fortement distribué et imprédictible, l’existence d’une autorité centralisatrice n’est en effet pas possible. Il est donc nécessaire de rendre la décision d’accès plus autonome et donc répartie. Dans cette thèse, nous défendons l’idée que l’implémentation d’un système de sécurité basé sur la confiance constitue une solution particulièrement adaptée aux environnements pervasifs. Notre travail à conduit à l’élaboration d’une architecture générique de sécurité prenant en charge l’utilisateur depuis l’identification jusqu’à l’attribution de droits d’accès dans des milieux inconnus. Nommée «Chameleon», celle-ci prend en charge les problèmes issus de l’authentification et du contrôle d’accès dans les environnements mobiles et ubiquitaires. La mise en place de notre approche a nécessité l’implémentation d’un nouveau format de certification « X316 » adaptable au contexte de l’utilisateur, ainsi que la définition d’un modèle de confiance inter-organisations (T2D) dont le but est d’étendre le champ d’accès des utilisateurs mobiles aux ressources environnantes<br>While the trust is easy to set up between the known participants of a communication, the evaluation of trust becomes a challenge when confronted with unknown environment. It is more likely to happen that the collaboration in the mobile environment will occur between totally unknown parties. An approach to handle this situation has long been to establish some third parties that certify the identities, roles and/or rights of both participants in a collaboration. In a completely decentralized environment, this option is not sufficient. To decide upon accesses one prefer to rely only on what is presented to him by the other party and by the trust it can establish, directly by knowing the other party or indirectly, and vice-versa. Hence a mobile user must for example present a set of certificates known in advance and the visited site may use these certificates to determine the trust he can have in this user and thus potentially allow an adapted access. In this schema the mobile user must know in advance where she wants to go and what she should present as identifications. This is difficult to achieve in a global environment. Moreover, the user likes to be able to have an evaluation of the site she is visiting to allow limited access to her resources. And finally, an user does not want to bother about the management of her security at fine grain while preserving her privacy. Ideally, the process should be automatized. Our work was lead to define the Chameleon architecture. Thus the nomadic users can behave as chameleons by taking the "colors" of their environments enriching their nomadic accesses. It relies on a new T2D trust model which is characterized by support for the disposition of trust. Each nomadic user is identified by a new morph certification model called X316. The X316 allows to carry out the trust evaluation together with the roles of the participants while allowing to hide some of its elements, preserving the privacy of its users

L'évolution des besoins en sécurité des applications grand public a entraîné la multiplication du nombre de systèmes sur puces doués de capacités de chiffrement. En parallèle, l'évolution des techniques de cryptanalyse permet d'attaquer les implantations des méthodes de chiffrement utilisées dans ces applications. Cette thèse porte sur le développement d'une méthodologie permettant l'évaluation de la robustesse apportée par des protections intégrées dans le circuit. Cette évaluation est basée d'une part sur l'utilisation de plates-formes laser pour étudier les types de fautes induits dans un prototype de circuit sécurisé ; et d'autre part, sur l'utilisation d'une méthode basée sur des simulations pendant la phase de conception pour comparer l'influence sur les canaux cachés de protections contre les fautes. Cette méthodologie a été utilisée dans un premier temps sur le cas simple d'un registre protégé par redondance d'information, puis sur des primitives cryptographiques telles qu'une S-Box AES et des co-processeurs AES et RSA. Ces deux études ont montré que l'ajout de capacités de détection ou de correction améliore la robustesse du circuit face aux différentes attaques<br>L'évolution des besoins en sécurité des applications grand public a entraîné la multiplication du nombre de systèmes sur puces doués de capacités de chiffrement. En parallèle, l'évolution des techniques de cryptanalyse permet d'attaquer les implantations des méthodes de chiffrement utilisées dans ces applications. Cette thèse porte sur le développement d'une méthodologie permettant l'évaluation de la robustesse apportée par des protections intégrées dans le circuit. Cette évaluation est basée d'une part sur l'utilisation de plates-formes laser pour étudier les types de fautes induits dans un prototype de circuit sécurisé ; et d'autre part, sur l'utilisation d'une méthode basée sur des simulations pendant la phase de conception pour comparer l'influence sur les canaux cachés de protections contre les fautes. Cette méthodologie a été utilisée dans un premier temps sur le cas simple d'un registre protégé par redondance d'information, puis sur des primitives cryptographiques telles qu'une S-Box AES et des co-processeurs AES et RSA. Ces deux études ont montré que l'ajout de capacités de détection ou de correction améliore la robustesse du circuit face aux différentes attaques

Dans cette thèse, nous étudions le domaine de la sécurité de l'information en s'appuyant sur les méthodes formelles. Nous définissons un cadre sémantique générique qui permet de formaliser et de comparer des politiques et des systèmes de sécurité. Nous décrivons deux approches de formalisation des politiques de sécurité, l'une à base de propriétés, et l'autre à base de règles. De plus, nous montrons de quelle manière nous exprimons des politiques de sécurité administratives selon ces deux approches. Nous présentons la notion de systèmes de sécurité qui consiste à mettre en oeuvre une politique de sécurité par un système de transition. Un système de sécurité peut être obtenu en appliquant une politique de sécurité à un système de transition indépendant, ou en créant un système de transition directement à partir d'une politique de sécurité. Nous introduisons trois préordres qui permettent de comparer des politiques et des systèmes de sécurité. Le préordre sur les politiques de sécurité caractérise une notion de traduction d'information de sécurité, tandis que les deux préordres sur les systèmes de sécurité reposent sur des traductions de labels. Nous appliquons les définitions introduites dans notre cadre en formalisant et en comparant des politiques de contrôle de permissions, d'accès et de flots d'information, des politiques de sécurité administratives, et des systèmes de sécurité. D'autre part, nous mettons en perspective notre travail avec des travaux connexes. Enfin, nous exposons deux applications pratiques réalisées avec l'atelier Focalize, le test d'une politique de contrôle d'accès multi-niveaux, et le développement d'une bibliothèque de politiques de sécurité.