Access
Road
Access Road est un simulateur universel des contrôles d'accès, pour améliorer la conception et l'audit en sécurité informatique.
Beaucoup de gens sont concernés par les contrôles d'accès, qui sont un des sommets de la complexité en sécurité informatique. Access Road relève le défi d'être utile à la fois aux informaticiens, aux spécialistes de sécurité, aux administrateurs d'application et aux auditeurs.
Dans l'article en anglais du site CSO Online '8 Dirty Secrets of the IT Security Industry', Joshua Corman signale ce secret inavouable.
Secret Inavouable
5 : le logiciel vulnérable est loin d'être le seul risque
Corman dit que la part du lion du marché de la sécurité est
pour les vulnérabilités des logiciels. Mais le logiciel
représente seulement une des trois voies de compromission de la
sécurité, les deux autres étant les configurations non sûres
et les gens. Malheureusement, dit-il, les deux dernières sont
beaucoup plus dangereuses que la grosse et vilaine faille de
sécurité de la semaine dans un logiciel.
"Alors que nous avons besoin de trouver et corriger les vulnérabilités, nous devons aussi comprendre qu'une organisation n'est pas plus forte que son maillon le plus faible. Il est nécessaire d'accorder une attention accrue à la réduction des deux autres voies de compromission par-delà le logiciel," dit Corman. Pour aller plus loin, voir les documents à droite “Pourquoi simuler les contrôles d'accès ?”.
Access Road est un logiciel libre visant à réduire ces 3 voies de compromission, avec un focus sur les configurations non sûres. Il fournit un support nouveau pour :
- la simulation des contrôles d'accès dans les systèmes informatiques,
- le contrôle de conformité en regard de la politique de sécurité,
- leur communication parmi les personnels impliqués,
- l'apprentissage de ces contrôles d'accès.
Pourquoi
simuler les contrôles d'accès ?
(7 planches)
Dans la version 'béta' 0.6 actuelle, comme exemple de ses capacités, Access Road offre la simulation immédiate de deux programmes:
- au niveau du système d'exploitation, les contrôles d'accès Linux Ubuntu 8.04 sont simulés avec le système de fichiers et le système d'autorisation; cela couvre les droits User-Group-Other de Linux incluant les droits hérités des parents, certaines capacités du noyau Linux, et les autorisations Ubuntu sur les ressources système (sans les ACLs POSIX ni le pare-feu Netfilter, prévus pour une version ultérieure),
- au niveau des applications, une grande application typique qui suit le modèle Role-Based Access Control; cela couvre l'arbre des rôles fonctionnels, les transactions d'application, et les ACLs avec des droits d'attribution ou d'interdiction.
Par conception, le programme modélise plusieurs types d'objets et de contrôle d'accès. Access Road peut être paramétré pour simuler des systèmes réels variés : leurs structures, leurs comportements, leurs objets et leurs droits. Deux méthodes sont proposées : par une dérivation douce depuis une simulation existante, ou par la saisie directe de tous les paramètres de la nouvelle simulation.
Access Road 0.6.0 est capable de simuler, dès maintenant, une certaine variété de logiciels d'application. Le modèle RBAC est un bon représentant des besoins applicatifs. Pour d'autres types de logiciels (logiciel système, logiciel réseau;...), les fonctions de contrôle d'accès et la structure sont souvent plus complexes. Chaque cas doit être analysé attentivement. Les premières cibles prochaines sont MySQL et Apache.
Le nombre de simulations toutes prêtes grandira à l'avenir. Naturellement, la version 0.6 actuelle a un long chemin à parcourir avant de pouvoir simuler la centaine de logiciels importants dans un système d'information. Notre défi est d'atteindre cet objectif en trois ans, de fournir de nouvelles simulations à chaque trimestre, et d'avoir à chaque étape un outil pratique et fiable.
L'interface graphique est très souple, pour faciliter à la fois les simulations simples et complexes. Elle permet à l'utilisateur de travailler sur les détails d'une structure complexe... ou sur la conformité finale à une règle de sécurité. Elle permet de travailler sur de grands textes expliquant une simulation... ou sur un diagramme capturant un résultat en un simple regard. L'interface utilise une charpente (framework) originale, orientée objet, multi-frames et multi-diagrammes.
Si vous n'aimez pas les diagrammes, les textes fourniront toute l'information dont vous avez besoin! Autrement, voyons quelques diagrammes générés par Access Road :
Exemples de diagramme
Ce diagramme simple montre le chemin d'accès depuis le compte ABY vers le fichier F_JERRY. La flèche nous dit que ABY a le droit 'ctrl' ('contrôle total', dans ce contexte) via des noeuds intermédiaires cachés. L'utilisateur a défini un second diagramme avec ces noeuds cachés. ABY et F_JERRY sont encore aux deux extrémités des chemins :
Ainsi, l'utilisateur peut choisir le niveau de détail sur lequel il veut travailler. Pour chaque diagramme, Access Road trouve TOUS les chemins d'accès en continu, cherchant à travers jusqu'à 40 noeuds intermédiaires cachés, s'ils existent.
Exemple d'un diagramme pour vérifier la conformité
Cette vue a une propriété 'No-MoreThan right' qui est égale au droit 'x' ('execute', dans ce contexte).
Dans cette vue, Access Road vérifie en continu si TOUS les objets dans le rectangle bleu (ABY seulement, ici) ont des droits sur l'objet du haut (F_JERRY, ici) qui sont PLUS GRAND que le droit 'x'.
Puisque c'est le cas, Access Road affiche ce critère en rouge. Cette couleur dit à l'utilisateur : “ABY ne respecte pas le critère No-More-Than spécifié, soit 'x'”.
Texte généré : comment deux chemins d'un 'actor' vers un 'groupmember' sont expliqués dans 'See why'
Droits hérités d'un répertoire Linux 'jerry'
Access Road est un programme Java exécuté sur un ordinateur de bureau. Un écran de 17' est recommandé. Ce programme nécessite seulement Java Runtime Environment, version 1.6.
Tout le code est original et copyrighté par ACCBEE. Le code a une licence GNU GPL v3. ACCBEE est une entreprise française créée par Patrick Thazard, en 2008, pour développer et promouvoir ce programme.
L'architecture de Access Road et le code peuvent naturellement être réutilisés dans d'autres projets de logiciel libre. Est intégrée une base de données orientée object originale en Java, avec une solide gestion des contraintes d'intégrité. L'interface graphique est basée sur une charpente nouvelle orientée objet, multi-fenêtres, avec des déclarations des types de la base pour gérer leur création, affichage et mise à jour. Il y a un ensemble de composants graphiques pour afficher les diagrammes, avec un gestionnaire de placement intégré.
Note : cette version 0.6 permet de sauvegarder les données de Access Road dans un format temporaire, et ce format sera remplacé par un autre plus stable au début de 2010. Mais cette version 0.6 est utilisable et fiable, capable d'aider l'utilisateur dans des travaux complexes.
Trois travaux dirigés de 30 minutes sont la documentation de démarrage. Les travaux dirigés utilisent une approche équilibrée pour apprendre à la fois la plate-forme Access Road et l'usage de la simulation d'un logiciel donné. Chaque travaux dirigés couvre un des thèmes suivants : apprentissage, compréhension, et vérification des contrôles d'accès avec Access Road.
Pour télécharger la dernière version de Access Road, les sources et la documentation en anglais et français sur le site Sourceforge, cliquez sur son image à droite:
ACCBEE propose du support, de la formation, du développement et du conseil autour de la simulation des contrôles d'accès.
Pour toute aide gratuite ou information, contacter
: 
Tous les noms déposés sont propriétés de leurs auteurs respectifs. Dernière modification de cette page : Octobre 2009
Copyright © 2009 ACCBEE - Tous Droits Réservés